所以经过前面几篇文章,我们准备了AAD将本地用户同步到Office365中了,部署了ADFS的高可用架构并发布到了公网,那么接下来我们就需要进行SSO的配置了。
此部分包括将本地和Office365中的域转换为联合域以及建立Office365与ADFS的信赖关系等
进行这一步操作的时候,需要用到两个工具:登录助手和AAD Powershell模块下载链接如下:
https://www.microsoft.com/zh-cn/download/details.aspx?id=39267
http://g.microsoftonline.com/0BX20zh-CHS/423
这两个工具貌似后面会有更新,请在项目中问21V或国际版技术支持工程师索要最新的版本
安装完后,我们需要通过powershell连接到Office365,并将POC环境中的ucssi.cn转换为联合域
连接到online
设置ADFS服务器
使用convert命令将ucssi.cn转换为联合域名
注意啦,如果需要将两个以上的域名转换为联合域名则需要在最后添加一个-suuportmultipledomain参数来支持多个联合域
接下来登录到proxy服务器点击发布任务(偷偷告诉大家:如果AAD不勾选同步密码而勾选ADFS联合验证,这里以后的步骤都不需要操作。#笑哭#)
信赖方选择office365
然后填写各种信息
然后发布
发布成功后使用本地AD同步到Office365的用户登录Office365
真心觉得这个默认的ADFS登录页面很丑是不是,先给个彩蛋后期有博文介绍如果将这个页面做的牛逼一点,至少比特斯拉的ADFS登录页面更加好看,功能更多https://sso.tesla.com/adfs/ls
至此SSO配置完成,非常简单,毫无总结性可言。
转载于:https://blog.51cto.com/scnbwy/2173407