這是單點登錄系列的最后一篇文章,前面4篇文章其實都是在為這篇文章的內容做准備,我把這四篇文章的鏈接放在下面,如果大家有需要,可以參考我以下的鏈接:
Office 365實現單點登錄系列(2)—Azure AD Connect安裝與配置
Office 365實現單點登錄系列(3)—使用Azure AD Connect 進行目錄同步
話不多說,直接為大家演示實現單點登錄的步驟~
1.安裝Azure AD PowerShell
要實現單點登錄功能,我們需額外安裝Azure AD PowerShell,安裝指導和安裝包下載參考以下鏈接
http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185
2. 添加 DNS 記錄
在 Office 365 管理員界面綁定域名.
(PS:由於不是這個系列探討的重點,所以這里不詳細介紹域名綁定的流程了,如果大家在綁定過程中遇到了困難,可以給我留言~)
3.配置單點登錄
打開 PowerShell for Windows Azure AD,輸入 connect-MsolService 連接到 Azure AD。此 cmdlet 將你連接到雲服務。輸入 Office 365 管理員賬戶和密碼,連接到 Azure AD。
這里注意:如果是由21V世紀互聯運營的Azure(又稱Mooncake),使用 PowerShell for Windows Azure AD 連接 Azure AD 時候,不可以直接輸入 connect-MsolService(會連接到 Global O365),而應該使用 connect- MsolService-AzureEnvironment china
輸入 Get-MsolDomain 查看現在綁定的域名。
 |
運行 Set-MsolAdfscontext -Computer <AD FS primary server>,其中 <AD FS primary server> 是主 AD FS 服務器的內部 FQDN 名稱。此 cmdlet 創建將你連接到 AD FS的上下文。如果已在主 AD FS 服務器上安裝了 Microsoft Azure Active Directory 模塊,則不需要運行此 cmdlet。
運行 Convert-MsolDomainToFederated –DomainName <domain>,其中,<domain>是要轉換的域,如 lipiaoliang.top,該 cmdlet 會將域從標准身份驗證更改為單一登錄。
![clip_image0089_thumb[1]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5Mjc0MjQ0MC0xOTQwNzcxNDc3LmpwZw==.png "clip_image0089_thumb[1]") |
這里注意:如果全局管理員的賬號已經是 lipiaoliang.top 則無法轉換,需要使用一個Office 365 默認的 onmicrosoft.com 的全局管理員賬號。
輸入 get-msoldomain 來驗證我們已經將 lipiaoliang.top 轉換成聯合域。
|
|
![clip_image0109_thumb[1]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5Mjc0NDQwOS0xNzEzNzU5NjExLmpwZw==.png "clip_image0109_thumb[1]")
由 於 ADFS 服務 器 是 Win Server 2016, 在 Windows PowerShell for WindowsAzure Active Directory上 運 行 Set- AdfsProperties –EnableIdpInitiatedSignonPage $True 命令行,才可以成功配置單點登錄。
在 AD DC 服務器上的 DNS 上配置 A 記錄,輸入 AD FS 對應的內網 IP 地址。
輸入 https://<domain name>/adfs/ls/idpinitiatedsignon.aspx 測試是否可以登錄,如果可以,說明 AD FS 配置成功。比如,這里我們訪問的就是https://lipiaoliang.top/adfs/ls/idpinitiatedsignon.aspx
使用本地 AD 信息登錄 Office 365,將會展現出一下的界面,提示重新定位到組織的登錄界面。
由於我們是外網接入,需要輸入域控服務器的用戶名和密碼,與域控服務器(本地 Active Directory) 進行連接。
輸入用戶密碼后成功登陸 Office 365。
這里額外說一下,如果本地配置了客戶端,在登錄客戶端的時候,可能會出現報錯的情況,這是由於沒有在DNS記錄中添加客戶端對應的Cname記錄,以及ADFS默認登錄方式的選擇上,如下圖:默認情況下,內網走的是Windows Auth,我們需要把Intranet對應的修改為Form Auth;並且添加相應的CName記錄。
![image_thumb[3]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5MzU0NjM5My0xMjQ2MzMzNTY2LnBuZw==.png "image_thumb[3]")
![image_thumb[2]](/image/aHR0cHM6Ly9pbWFnZXMyMDE3LmNuYmxvZ3MuY29tL2Jsb2cvMTMwNjk0Ni8yMDE4MDEvMTMwNjk0Ni0yMDE4MDEwNDE5Mjc1NTI2OC0xNTc0MzEyNjY1LnBuZw==.png "image_thumb[2]")
結語
至此我們就把單點登錄這一個系列更新完啦,我花費了5個篇幅和大家去分享Office 365單點登錄的整個過程,包括在Azure上配置環境、安裝Azure AD Connect、使用Azure AD Connect進行目錄同步、安裝AD FS服務器、配置單點登錄這些過程,希望對大家有所幫助和啟發,也歡迎大家與我交流。由於本人文筆有限,才疏學淺,文中若有不正之處,還請多多指教。