1. 程式人生 > >Office 365實現單點登錄系列(5)—配置單點登錄

Office 365實現單點登錄系列(5)—配置單點登錄

-m col 詳細介紹 運行 環境搭建 可以登錄 rate 目錄同步 tof

這是單點登錄系列的最後一篇文章,前面4篇文章其實都是在為這篇文章的內容做準備,我把這四篇文章的鏈接放在下面,如果大家有需要,可以參考我以下的鏈接:

Office 365實現單點登錄系列(1)—域環境搭建

Office 365實現單點登錄系列(2)—Azure AD Connect安裝與配置

Office 365實現單點登錄系列(3)—使用Azure AD Connect 進行目錄同步

Office 365實現單點登錄系列(4)—安裝AD FS

話不多說,直接為大家演示實現單點登錄的步驟~

1.安裝Azure AD PowerShell


要實現單點登錄功能,我們需額外安裝Azure AD PowerShell,安裝指導和安裝包下載參考以下鏈接

http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185

2. 添加 DNS 記錄


在 Office 365 管理員界面綁定域名.

(PS:由於不是這個系列探討的重點,所以這裏不詳細介紹域名綁定的流程了,如果大家在綁定過程中遇到了困難,可以給我留言~)

3.配置單點登錄


打開 PowerShell for Windows Azure AD,輸入 connect-MsolService 連接到 Azure AD。此 cmdlet 將你連接到雲服務。輸入 Office 365 管理員賬戶和密碼,連接到 Azure AD。

這裏註意:如果是由21V世紀互聯運營的Azure(又稱Mooncake),使用 PowerShell for Windows Azure AD 連接 Azure AD 時候,不可以直接輸入 connect-MsolService(會連接到 Global O365),而應該使用 connect- MsolService-AzureEnvironment china

技術分享圖片

輸入 Get-MsolDomain 查看現在綁定的域名。

技術分享圖片

運行 Set-MsolAdfscontext -Computer <AD FS primary server>,其中 <AD FS primary server> 是主 AD FS 服務器的內部 FQDN 名稱。此 cmdlet 創建將你連接到 AD FS的上下文。如果已在主 AD FS 服務器上安裝了 Microsoft Azure Active Directory 模塊,則不需要運行此 cmdlet。

運行 Convert-MsolDomainToFederated –DomainName <domain>,其中,<domain>是要轉換的域,如 lipiaoliang.top,該 cmdlet 會將域從標準身份驗證更改為單一登錄。

技術分享圖片

這裏註意:如果全局管理員的賬號已經是 lipiaoliang.top 則無法轉換,需要使用一個Office 365 默認的 onmicrosoft.com 的全局管理員賬號。

輸入 get-msoldomain 來驗證我們已經將 lipiaoliang.top 轉換成聯合域。

技術分享圖片

由 於 ADFS 服務 器 是 Win Server 2016, 在 Windows PowerShell for WindowsAzure Active Directory上 運 行 Set- AdfsProperties –EnableIdpInitiatedSignonPage $True 命令行,才可以成功配置單點登錄。

技術分享圖片

在 AD DC 服務器上的 DNS 上配置 A 記錄,輸入 AD FS 對應的內網 IP 地址。

技術分享圖片

輸入 https://<domain name>/adfs/ls/idpinitiatedsignon.aspx 測試是否可以登錄,如果可以,說明 AD FS 配置成功。比如,這裏我們訪問的就是https://lipiaoliang.top/adfs/ls/idpinitiatedsignon.aspx

技術分享圖片

使用本地 AD 信息登錄 Office 365,將會展現出一下的界面,提示重新定位到組織的登錄界面。

由於我們是外網接入,需要輸入域控服務器的用戶名和密碼,與域控服務器(本地 Active Directory) 進行連接。

技術分享圖片

輸入用戶密碼後成功登陸 Office 365。

這裏額外說一下,如果本地配置了客戶端,在登錄客戶端的時候,可能會出現報錯的情況,這是由於沒有在DNS記錄中添加客戶端對應的Cname記錄,以及ADFS默認登錄方式的選擇上,如下圖:默認情況下,內網走的是Windows Auth,我們需要把Intranet對應的修改為Form Auth;並且添加相應的CName記錄。

技術分享圖片

技術分享圖片

結語


至此我們就把單點登錄這一個系列更新完啦,我花費了5個篇幅和大家去分享Office 365單點登錄的整個過程,包括在Azure上配置環境、安裝Azure AD Connect、使用Azure AD Connect進行目錄同步、安裝AD FS服務器、配置單點登錄這些過程,希望對大家有所幫助和啟發,也歡迎大家與我交流。由於本人文筆有限,才疏學淺,文中若有不正之處,還請多多指教。

Office 365實現單點登錄系列(5)—配置單點登錄