單一登錄 (Single Sign-On)簡而言之,就是讓用戶使用一套ID和密碼,就可以登錄一個或多個系統的授權機制。用戶只需要通過其中一個應用的安全認證之后,再訪問同一服務器其他應用的資源時不需要再次輸入賬戶和密碼。
我們已經使用Azure AD Connect進行了目錄同步,為了實現單點登錄,我們需要安裝AD FS聯合認證服務器。安全起見,一般情況下我們不會直接把AD FS暴露在公網,而會額外安裝 AD FS代理服務器,同時考慮高可用性(至少兩台以上的AD FS和AD FS代理服務器),由於是測試環境,所以我省略了安裝AD FS Proxy的步驟,只給大家演示AD FS安裝和配置並最終實現單點登陸的過程。
1.安裝 AD FS
第一篇文章Office 365實現單點登錄系列(1)—域環境搭建我和大家提過,這整個系列的文章都是基於Microsoft Azure來搭建的環境。我們在Azure上新建一個Win Server 2016的虛擬機來作為AD FS服務器,將該虛擬機加入到同一個資源組同一個虛擬網絡下面。打開Server Manager,為虛擬機新增一個角色,選擇Active Directory Federation Services(AD FS)。
![clip_image002[5]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5MTE1NTYyOC0xOTk4NTUwMDk1LmpwZw==.png "clip_image002[5]")
輸入本地域控服務器管理員的名稱和密碼,連接到域控服務器。
![clip_image004[4]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5MTE1NzUzNC03NTY2NTk0MzIuanBn.png "clip_image004[4]")
每個聯合服務器都需要有一個服務器身份驗證證書和一個令牌簽名證書,才能參加AD FS 通信。每個聯合服務器代理使用 SSL 客戶端身份驗證證書對聯合身份驗證服務進行身份驗證。導入 SSL 證書,輸入聯合服務器名稱。
![clip_image006[4]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5MTE1OTk1Ni0zMDYxMTY0ODYuanBn.png "clip_image006[4]")
明確服務的賬戶。
![clip_image008[4]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5MTIwMjQ4Ny0xNDM1MzYxOTk4LmpwZw==.png "clip_image008[4]") |
若 AD 數量小於 50000 個,則可以選擇 Windows 自帶的內部數據庫,否則建議選擇 SQL Server Database。
![clip_image010[4]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5MTIwNTE5MC0xNTI5MTUwNzQyLmpwZw==.png "clip_image010[4]") |
系統檢查是否滿足安裝條件,滿足點擊“Configure”。
![clip_image012[4]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5MTIwNzIyMS04Nzc5MjcxMzkuanBn.png "clip_image012[4]") |
安裝成功。