Office 365实现单点登录系列(5)—配置单点登录
这是单点登录系列的最后一篇文章,前面4篇文章其实都是在为这篇文章的内容做准备,我把这四篇文章的链接放在下面,如果大家有需要,可以参考我以下的链接:
Office 365实现单点登录系列(2)—Azure AD Connect安装与配置
Office 365实现单点登录系列(3)—使用Azure AD Connect 进行目录同步
话不多说,直接为大家演示实现单点登录的步骤~
1.安装Azure AD PowerShell
要实现单点登录功能,我们需额外安装Azure AD PowerShell,安装指导和安装包下载参考以下链接
http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185
2. 添加 DNS 记录
在 Office 365 管理员界面绑定域名.
(PS:由于不是这个系列探讨的重点,所以这里不详细介绍域名绑定的流程了,如果大家在绑定过程中遇到了困难,可以给我留言~)
3.配置单点登录
打开 PowerShell for Windows Azure AD,输入 connect-MsolService 连接到 Azure AD。此 cmdlet 将你连接到云服务。输入 Office 365 管理员账户和密码,连接到 Azure AD。
这里注意:如果是由21V世纪互联运营的Azure(又称Mooncake),使用 PowerShell for Windows Azure AD 连接 Azure AD 时候,不可以直接输入 connect-MsolService(会连接到 Global O365),而应该使用 connect- MsolService-AzureEnvironment china
输入 Get-MsolDomain 查看现在绑定的域名。
 |
运行 Set-MsolAdfscontext -Computer <AD FS primary server>,其中 <AD FS primary server> 是主 AD FS 服务器的内部 FQDN 名称。此 cmdlet 创建将你连接到 AD FS的上下文。如果已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块,则不需要运行此 cmdlet。
运行 Convert-MsolDomainToFederated –DomainName <domain>,其中,<domain>是要转换的域,如 lipiaoliang.top,该 cmdlet 会将域从标准身份验证更改为单一登录。
![clip_image0089_thumb[1]](http://images2017.cnblogs.com/blog/1306946/201801/1306946-20180104192741815-2123989742.jpg "clip_image0089_thumb[1]") |
这里注意:如果全局管理员的账号已经是 lipiaoliang.top 则无法转换,需要使用一个Office 365 默认的 onmicrosoft.com 的全局管理员账号。
输入 get-msoldomain 来验证我们已经将 lipiaoliang.top 转换成联合域。
|
|
![clip_image0109_thumb[1]](http://images2017.cnblogs.com/blog/1306946/201801/1306946-20180104192743346-555058397.jpg "clip_image0109_thumb[1]")
由 于 ADFS 服务 器 是 Win Server 2016, 在 Windows PowerShell for WindowsAzure Active Directory上 运 行 Set- AdfsProperties –EnableIdpInitiatedSignonPage $True 命令行,才可以成功配置单点登录。
在 AD DC 服务器上的 DNS 上配置 A 记录,输入 AD FS 对应的内网 IP 地址。
输入 https://<domain name>/adfs/ls/idpinitiatedsignon.aspx 测试是否可以登录,如果可以,说明 AD FS 配置成功。比如,这里我们访问的就是https://lipiaoliang.top/adfs/ls/idpinitiatedsignon.aspx
使用本地 AD 信息登录 Office 365,将会展现出一下的界面,提示重新定位到组织的登录界面。
由于我们是外网接入,需要输入域控服务器的用户名和密码,与域控服务器(本地 Active Directory) 进行连接。
输入用户密码后成功登陆 Office 365。
这里额外说一下,如果本地配置了客户端,在登录客户端的时候,可能会出现报错的情况,这是由于没有在DNS记录中添加客户端对应的Cname记录,以及ADFS默认登录方式的选择上,如下图:默认情况下,内网走的是Windows Auth,我们需要把Intranet对应的修改为Form Auth;并且添加相应的CName记录。
![image_thumb[3]](http://images2017.cnblogs.com/blog/1306946/201801/1306946-20180104193545690-363186295.png "image_thumb[3]")
![image_thumb[2]](http://images2017.cnblogs.com/blog/1306946/201801/1306946-20180104192754549-632197669.png "image_thumb[2]")
结语
至此我们就把单点登录这一个系列更新完啦,我花费了5个篇幅和大家去分享Office 365单点登录的整个过程,包括在Azure上配置环境、安装Azure AD Connect、使用Azure AD Connect进行目录同步、安装AD FS服务器、配置单点登录这些过程,希望对大家有所帮助和启发,也欢迎大家与我交流。由于本人文笔有限,才疏学浅,文中若有不正之处,还请多多指教。
