Office 365實現單點登陸系列(1)—域環境搭建

 

Hello 小夥伴們，

2018新年快樂，做爲2018年首篇文章，怎麼能不給你們帶來點乾貨呢？這篇文章其實我9月底的時候已經在MSDN上發佈過了，爲表誠意，我更新了這篇文章，並把它組成了一個系列，2.0版本的相信會對你們更有幫助。

在正式開始以前，咱們有必要聊聊爲何要實現單點登陸。單點登陸簡而言之，就是讓用戶使用一套ID和密碼，就能夠登陸一個或多個系統的受權機制。用戶只須要經過其中一個應用的安全認證以後，再訪問同一服務器其餘應用的資源時不須要再次輸入帳戶和密碼。那聊到Office 365實現單點登陸呢，就有以下幾個好處：

1. 減輕用戶的記憶負擔：用戶不須要記住多套帳戶名和密碼，記住一套密碼就可使用本地DC上的憑據登陸O365的各個服務。
2. 簡化IT的運維難度：管理員只須要管理一套帳戶和密碼，減小了Help Desk的時間。

要在Office 365裏面實現單點登陸的功能，咱們須要配置AD FS聯合認證服務器，以及AD FS Proxy，同時考慮到高可用性，咱們推薦部署至少兩臺以上的AD FS和AD FS代理服務器，部署架構參考下圖：

接下來這一個系列的文章，我將會爲你們分享如何利用Microsoft Azure來搭建環境，配置本地域控服務器、配置Azure AD Connect實現目錄同步、安裝和配置AD FS服務器以及實現單點登陸的功能，能夠算是從0到1爲你們展示這整個過程吧。貼心如我，一個系列的文章更新完，都要回來把連接放上去方便你們查看：

Office 365實現單點登陸系列(2)—Azure AD Connect安裝與配置

Office 365實現單點登陸系列(3)—使用Azure AD Connect 進行目錄同步

Office 365實現單點登陸系列(4)—安裝AD FS

Office 365實現單點登陸系列(5)—配置單點登陸

這第一篇文章的主題呢，是爲你們演示如何在Azure上去搭建環境，建立虛擬機，搭域控服務器。若是本地已經有了現成的DC環境，那就能夠移步第二篇文章啦。話很少說，咱們就開始吧~

---

 

1. 構建虛擬機

---

咱們開始搭建域控服務器。首先在Azure 中建立一個虛擬機，選擇適當大小，配置相應的參數。在這裏咱們選擇Win Server 2016來進行環境搭建。

配置可選的功能以後，接受協議，建立虛擬機。

2. 配置域控服務器

---

建立好虛擬機後，進入虛擬機的服務器管理界面，點擊「Add Role and Features Wizard」， 安裝 Active Directory Domain Service。

安裝好後，配置相應的參數。因爲咱們模擬的是一個全新的環境，所以選擇添加一個新的林。

設置目錄服務還原模式（Directory Service Restore Mode）的密碼。

配置成功。

配置好 Active Directory Domain Service 以後，這做爲咱們的域控服務器。咱們能夠在本地這臺服務器上添加用戶、組等信息。

3. 添加本地用戶和組的帳號信息

---

在右上角「Tools」工具裏面，點擊 Active Directory Users and Computers，對目錄用戶進行操做。

點擊「Action」下面的「New」添加新的計算機、組、用戶、或者其餘角色。

添加了相應的用戶和組以後，咱們本地的域環境就基本上搭建完成了。