how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

1.首先登录Office 365:https://login.partner.microsoftonline.cn/

添加域:nos.hk.cn

在域名解析设置里添加TXT记录:

这里先跳过添加用户的步骤。

在域名解析中添加以上的记录:

其中:login 和 owa两条记录为了方便登录建议添加.

然后返回office 365 验证:

显示已经添加成功!!

接下来设置AD同步:

接下来

准备单一登录

环境:

AD DC  windows server 2008 R2    DC08.nos.hk.cn

AD FS  windows server 2012 R2    FS.nos.hk.cn

WebProxy windows server 2012 R2  WAP  (不能加域,放在DMZ区)

2.先决条件:https://docs.microsoft.com/zh-cn/azure/active-directory/connect/active-directory-aadconnect-prerequisites

1)Azure AD Connect:https://www.microsoft.com/en-us/download/details.aspx?id=47594

在DC08上安装 AzureADConnect.msi,Azure AD Connect 服务器必须安装 .NET Framework 4.5.1 或更高版本和 Microsoft PowerShell 3.0 或更高版本

安装 PS 3.0 /.net 4.5.1: Azure AD Connect 依赖于 Microsoft PowerShell 和 .NET Framework 4.5.1

https://www.microsoft.com/zh-cn/download/details.aspx?id=40855

Windows6.1-KB2819745-x64-MultiPkg:https://download.microsoft.com/download/3/D/6/3D61D262-8549-4769-A660-230B67E15B25/Windows6.1-KB2819745-x64-MultiPkg.msu

Microsoft .NET Framework 4.5.1 (Offline Installer): https://download.microsoft.com/download/1/6/7/167F0D79-9317-48AE-AEDB-17120579F8E2/NDP451-KB2858728-x86-x64-AllOS-ENU.exe

2)为 Azure AD Connect 启用 TLS 1.2:

  1. 如果使用 Windows Server 2008R2,请确保已启用 TLS 1.2。 Windows Server 2012 服务器及更高版本上应该已经启用了 TLS 1.2。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001

出错了,

  • 如果目标服务器已加入域,请确保已启用“Windows 远程托管”
  • 在权限提升的 PSH 命令窗口中,使用命令 Enable-PSRemoting –force
  • 如果目标服务器是未加入域的 WAP 计算机,则需要满足一些额外的要求
  • 在目标计算机(WAP 计算机)上:

    确保 winrm(Windows 远程管理/WS-Management)服务正在通过“服务”管理单元运行

  • 在权限提升的 PSH 命令窗口中,使用命令 Enable-PSRemoting –force

    在运行向导的计算机上(如果目标计算机未加入域或者是不受信任的域):

  • 在权限提升的 PSH 命令窗口中,使用命令 :

Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate

在服务器AD FS上运行:Enable-PSRemoting –force

在WAP服务器上:

运行:Enable-PSRemoting –force

在DC08上运行:

Set-Item WSMan:\localhost\Client\TrustedHosts –Value WAP -Force –Concatenate

在WAP无法解析adfs.nos.hk.cn

在DC的DNS服务器和添加:

adfs和wap两条记录:

和WAP服务器中host文件中添加:

再添加WAP服务器成功:

出错了:

在AD FS服务器上打开:AD FS Management

添加:urn:federation:MicrosoftOnline

然后返回重试:

然后又出错了:

在WAP手动上安装:WAP

得先导入证书:

返回向导,就可以选择证书了:

发布成功!!!

然后返回Azure AD Connect配置,点重试!

配置完成,下一步:

配置外网DNS添加A记录:

配置防火墙端口映射:

将外网IP的443 端口映射到DMZ区的WAP服务器的443

接下来验证一下ADFS是否OK?

To verify that a federation server is operational

  1. Open a browser window and in the address bar, type the federation server name, and then append it withfederationmetadata/2007-06/federationmetadata.xml to browse to the federation service metadata endpoint. For example,https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml .

    If in your browser window you can see the federation server metadata without any SSL errors or warnings, your federation server is operational.

  2. You can also browse to the AD FS sign-in page (your federation service name appended with adfs/ls/idpinitiatedsignon.htm, for example, https://fs.contoso.com/adfs/ls/idpinitiatedsignon.htm). This displays the AD FS sign-in page where you can sign in with domain administrator credentials.

1.在IE访问:https://adfs.nos.hk.cn/federationmetadata/2007-06/federationmetadata.xml

2.访问:https://adfs.nos.hk.cn/adfs/ls/idpinitiatedsignon.htm

这说明ADFS配置成功。

接下来,我们配置加入域的客户端SSO

组策略设置IE受信任站点:

1、在计算机配置 - 管理模板 - Windows组件 - Internet控制面板中,有一项站点到区域分配列表:

确保https://adfs.nos.hk.cn 加受信任的区域:

确保IE设置高级中的“启用集成Windows 验证”选中:

然后在IE中打开owa.nos.hk.cn登录 OWA:

自动跳转到adfs.nos.hk.cn

输入要登录的域账号和密码,并选中“记住我的凭据”:

以后就会自动登录不用在输入账号密码会自动登录 啦!

总结:Office 365 与AD FS 做SSO 主要注意有以下几点:

1.要有一张公网的证书,本次实验用的Symantec的免费证书,只支持一个域名,(之前的StarSSL证书不能用了)

2.用最新的Azure AD Connect  1.1.524.0 发布时间为:2017/5/17 最好是先安装好ADFS和WebProxy服务器,

不然会出现本次实验中的两次错误。

3.在做AD FS之前最好先做密码同步。

时间: 2024-10-10 20:32:34

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO的相关文章

如何批量部署Office 2013 (三)——单机部署Office 2013

接下来我们来看Office的部署方法,首先来看单机环境下的 1.将Office 2013安装文件复制到网络存储位置 2.将制作好的OCT文件拷贝到updates文件夹下 3.在客户端计算机中打开命令提示符 4.客户端计算机中此前已经安装了Office 2010 5.在命令提示符中输入pushd \\192.168.8.14\storehouse\Office Deployment\ 6.输入setup回车 7.部署过程已经开始,因为是无人参与并且无提示的部署,所以在操作界面中只会看到Office

三种扩展 Office 软件功能的开发模型对比 – Office Add-In Model, VBA 和 VSTO

当 Office 用户需要针对文档自定义新功能时,可以求助于 VBA 或者 VSTO 两种方式.Office 2013 富客户端以后,微软为 Office 平台上的开发者提供了一种新模型 --- Office Add-In Model,它允许在 Office 应用程序中创建一片区域,并在这片区域中展现网页与文档的交互.开发者可以将高度定制化的 Web 应用或服务集成在 Office 中,使之在整个 Office 平台上可用. 应用程序实际上并没有安装在运行 Office 的计算机上,而是托管在开

BEGINNING SHAREPOINT&#174; 2013 DEVELOPMENT 第11章节--为Office和SP解决方案开发集成Apps Office新的App模型

BEGINNING SHAREPOINT? 2013 DEVELOPMENT 第11章节--为Office和SP解决方案开发集成Apps  Office新的App模型 Office 2013中新的App模型和SP2013中App模型工作方式相似,给过去开发人员面临的挑战减轻了很多.

BEGINNING SHAREPOINT&#174; 2013 DEVELOPMENT 第11章节--为Office和SP解决方案开发集成Apps Office的JavaScript对象模型

BEGINNING SHAREPOINT? 2013 DEVELOPMENT 第11章节--为Office和SP解决方案开发集成Apps  Office的JavaScript对象模型 Office JavaScript对象模型提供给你的Web应用程序和Office host应用程序交流的能力,

找不到Office的功能请来这[Search Command] - Office 2010 外挂介绍

MS Office 自从2007 版开始变成 Ribbon UI 后, 很多朋友常常找不到功能 不过 MS Office Lab 提供提供了一个外挂功能叫 Search Command 提供使用者输入简单的 Keyword 来搜寻自己需要的功能- MS Office 自从2007 版开始变成 Ribbon UI 后,? 很多朋友常常找不到功能 不过 MS Office Lab 提供提供了一个外挂功能叫 Search Command (居然2011年底才Release, 哇勒) 提供使用者输入简单

Office 365实现单点登录系列(3)—使用Azure AD Connect 进行目录同步

Hello 小伙伴们,我回来了~ 2017年底中招了流感,还得了结膜炎,我也是无奈的···但使命感驱使我还是要把文章更完(这么敬业还不点赞关注(*^__^*) ) 我们接着上一篇文章继续说,上一篇已经和大家介绍了安装Azure AD Connect的方法,现在我们可以开始同步Active Directory到Azure AD. 打开Azure AD Connect,选择"Customize synchronization Options"来自定义同步的选项. 输入 Office 365

单点登录(两种单点登录类型:SSO/CAS、相同一级域名的SSO)

单点登录:SSO(Single Sign On) 什么是单点登录:大白话就是多个网站共享一个用户名和密码的技术,对于普通用户来说,只需要登录其中任意一个网站,登录其他网站的时候就能够自动登陆,不需要再输入 用户名和密码了. 单点登录类型: 1.具有相同一级域名的多个网站,以新浪为例,新浪首页实际上是一个导航页面,它提供了很多很多的旗下网站地址,比如 (1)新浪新闻: http://news.sina.com.cn/ (2)新浪科技:http://tech.sina.com.cn/ (3)新浪博客

【Java EE 学习第68天】【单点登录】【两种单点登录类型:SSO/CAS、相同一级域名的SSO】

什么是单点登录:大白话就是多个网站共享一个用户名和密码的技术,对于普通用户来说,只需要登录其中任意一个网站,登录其他网站的时候就能够自动登陆,不需要再输入用户名和密码了. 单点登录类型: 1.具有相同一级域名的多个网站,以新浪为例,新浪首页实际上是一个导航页面,它提供了很多很多的旗下网站地址,比如 (1)新浪新闻: http://news.sina.com.cn/ (2)新浪科技:http://tech.sina.com.cn/ (3)新浪博客:http://blog.sina.com.cn/

Office Web Apps安装部署(sharepoint2013)

Office Web Apps安装部署(sharepoint2013) 分类: sharepoint 20132014-07-11 11:41 155人阅读 评论(0) 收藏 举报 sharepoint2013microsoft officeasp.netoffice web apps解决方案 目录(?)[+] 原文地址: http://www.cnblogs.com/poissonnotes/p/3238238.html 系统要求为Windows Server 2012, 注意:安装Offic