Office 365之AD FS 3.0實現SSO（四）

繼續咱們的實驗，前面的步驟能夠返回到

第一篇：http://gshao.blog.51cto.com/3512873/1788027

第二篇：http://gshao.blog.51cto.com/3512873/1788038

第三篇：http://gshao.blog.51cto.com/3512873/1788048

----------------------------------我是略污的中折線-------------------------------------

大概的思路步驟以下：

1.添加UPN，配置用戶的UPN後綴（這個跟你內外域名是否一致有關係，若是一致直接錯過這步驟）  
2.申請證書（公網）        
3.安裝AD FS服務    
4.內部DNS服務器新建正向區域解析    
5.添加外網dns記錄，配置443端口映射出去        
6.在office 365添加自定義域名，配置相關外網記錄    
7.將自定義域名轉換成聯盟域    
8.在office 365激活目錄同步，安裝AAD    
9.配置目錄同步和AD FS    
10.驗證用戶的登錄狀態

----------------------------------我是略污的中折線-------------------------------------

配置目錄同步和AD FS

1.在用戶登陸，選擇使用AD FS進行聯合身份驗證，點擊下一步；

2.在鏈接到Azure AD ，輸入帳號和密碼，點擊下一步；

3.在鏈接目錄，輸入帳號和密碼，點擊下一步；

4.點擊下一步；

5.選擇要同步的ou，點擊下一步；

6.在惟一標識用戶，點擊下一步；（這個動做的意思是相似SID的概念，就是你要定義一個標識，而這個標識是不能更改的，就是SID號的概念）

7.點擊下一步；（這個玩意主要是爲了後面的MDM\Sway\Intune服務）

8.在可選功能，點擊下一步；

9.在AD FS場，瀏覽到AD FS服務器，點擊下一步；

（友情提示：其實這一步能夠不用在AAD Connect操做的，你在AAD powershell輸入Set-MsolADFSContext -computer adfsServerfqdn）

10.輸入域管理員憑據，點擊下一步；（其實到這一步，你們均可以發現AAD Connect 遠程計算機安裝AD FS服務）

11.在AD FS服務帳號，點擊下一步；

12.在Azure AD域，點擊下一步；

13. 點擊下一步；

14. 出現這種狀況的錯誤，檢查一下目錄同步狀態是否已激活；

15. 步驟14問題排查後，出現這個狀況，是由於沒開啓WINRM遠程管理；

 

16.安裝完成，點擊驗證；（下面出現的錯誤是解析問題）

驗證用戶的登錄狀態

17.在office 365管理界面，能夠看到本地目錄同步到office 365的用戶帳號信息了；

18.給本地用戶分配許可證；

19.用域內用戶登陸域內計算機，打開Exchange Online（outlook.office.com）；

20.輸入對外域名後綴的郵箱地址，會自動跳轉到AD FS驗證；

21.能夠看到成功跳轉到ad fs服務器作驗證，輸入帳號和密碼，並記住個人憑據；

22.能夠看到正常訪問到Exchange Online OWA界面；

23.用Skype for Business 客戶端登錄；

24.Skype for Business Online也能夠正常登錄。

 

結束話：

        本次實驗環境大概就這樣實現，由於我此次是簡單的搭建，其實少了TMG或者WAP服務器作反向代理（對於作過TMG的反向代理的工程師，這個步驟不復雜），並且咱們在證書申請的時候預先配置好能夠導出私鑰。若是大型環境就要考慮多臺AD FS服務器配置NLB，組建AD FS服務器場。若是我這幾篇文章有什麼遺漏或者什麼地方不對的，能夠留言給我，也歡迎各位大神多多拍磚支持。