ADFS-Setup mit lokalem AD und Azure AD ohne Dir Sync

Question 1

Vorausgesetzt, dies ist für O365 oder Intune - DirSync ist eine erforderliche Komponente. DirSync ermöglichtDasselbeAnmeldung, d. h. die Passwörter sind in beiden Umgebungen gleich. Durch das Hinzufügen von ADFS könneneinzelAnmeldung, d. h. Benutzer können sich nahtlos authentifizieren, ohne zur Eingabe von Anmeldeinformationen aufgefordert zu werden. DirSync ist eine grundlegende Komponente sowohl für die gleiche Anmeldung als auch für die einmalige Anmeldung.

Eine einmalige Anmeldung bei einem Azure AD-Mandanten ist mit ADFS allein nicht möglich.

Answer

Vorausgesetzt, dies ist für O365 oder Intune - DirSync ist eine erforderliche Komponente. DirSync ermöglichtDasselbeAnmeldung, d. h. die Passwörter sind in beiden Umgebungen gleich. Durch das Hinzufügen von ADFS könneneinzelAnmeldung, d. h. Benutzer können sich nahtlos authentifizieren, ohne zur Eingabe von Anmeldeinformationen aufgefordert zu werden. DirSync ist eine grundlegende Komponente sowohl für die gleiche Anmeldung als auch für die einmalige Anmeldung.

Eine einmalige Anmeldung bei einem Azure AD-Mandanten ist mit ADFS allein nicht möglich.

Question 2

Ich hatte die gleiche Frage und den Kommentar vonAbonnierenhat mich auf den richtigen Weg gebracht. Ich habe ein wenig recherchiert, es zum Laufen gebracht und hier ist, was bei mir funktioniert hat.

Ich bin mir nicht sicher, ob dies die "unterstützte" Lösung ist, denn sie scheinen ihr DirSync wirklich zu mögen. Es macht jedoch Sinn, dass es unterstützt wird, weilAbonnierenerwähnt - nämlich die Möglichkeit, dass Infrastrukturen ohne Active Directory weiterhin über SSO in Office 365 verfügen.

Folgendes müssen Sie tun:

Aktivieren Sie SSO für die Domäne auf der Office 365-Seite, indem Sie das Powershell-Applet Convert-MsolDomainToFederated ausführen. Das haben Sie wahrscheinlich schon getan.
Erstellen Sie die Benutzerkonten, für die Sie SSO auf der Office 365-Seite aktivieren möchten, manuell oder per PowerShell.
Sobald Sie sie erstellt haben, müssen Sie die ObjectGUID verwenden aufdeinObjekt des AD-Kontos als unveränderliche ID auf der Azure-Seite.

Ich habe diese als Referenz verwendet, werde die Informationen jedoch hinzufügen, falls diese URLs in Zukunft verschwinden:

http://blogs.technet.com/b/stevenha/archive/2012/11/13/script-to-convert-an-ms-online-directory-immutable-id-to-an-ad-guid-and-vice-versa.aspx

http://answers.flyppdevportal.com/categories/azure/WindowsAzureAD.aspx?ID=2b72a210-6a6e-4add-a420-f3fd81c68532
Sie müssen die ObjectGUID für Ihren Benutzer base64-kodieren und festlegen. Die GUID, die Sie kodieren, sollte die Klammern nicht enthalten:

Das folgende Skript führt die Konvertierung für Sie durch: http://gallery.technet.microsoft.com/office/Covert-DirSyncMS-Online-5f3563b1

AD-Objekt-GUID (im „Registrierungsformat“) 748b2d72-706b-42f8-8b25-82fd8733860f

Codiert: ci2LdGtw+EKLJYL9hzOGDw==

Das legst du auf dem Konto auf Azure per Powershell fest:

Set-MsolUser -UserPrincipalName[email geschützt]-ImmutableId "ci2LdGtw+EKLJYL9hzOGDw=="
Stellen Sie sicher, dass der UPN Ihres Benutzerkontos (auf der Seite Ihrer AD-Domäne) mit dem übereinstimmt[email geschützt]UPN, den Office 365 auf seiner Seite hat, sonst erhalten Sie auf der Azure-Seite einen seltsamen Fehler. Ich glaube, der Fehlercode ist 8004786C
Wenn Sie das UPN-Suffix nicht zur Verfügung haben, um es für Ihren Benutzer in Ihrer AD-Umgebung festzulegen, müssen Sie dieses Suffix über „Active Directory-Domänen und -Vertrauensstellungen“ hinzufügen. Oder wenn Sie clever sein wollen, legen Sie ein anderes Attribut für Ihr AD-Konto fest und lassen Sie ADFS dieses Attribut als unveränderliche ID senden. Wenn Sie nicht wissen, was ich meine, legen Sie einfach den UPN fest. :)
Microsoft Office 365 wird in einem von ADFS IDP initiierten Dropdown-Menü auf Ihrem Server nicht als Option angezeigt. Es sieht so aus, als wäre es von SP initiiert und Sie müssen den SAML-Tanz auslösen, indem Sie zuerst zu deren Portal gehen:https://portal.microsoftonline.com
Sie können etwas wie Fiddler verwenden, um die SSL-Konversation abzufangen und dann einige Informationen auszuwertenhttp://community.office365.com/en-us/wikis/sso/using-smart-links-or-idp-initiated-authentication-with-office-365.aspxum mehr das Gefühl zu vermitteln, dass es von einem IDP initiiert wurde, wo der Benutzer auf Ihren Link klickt und durch die gesamte Route zu einer angenehmen, reibungslosen Anmeldung bei Office 365 weitergeleitet wird, ohne irgendetwas eingeben zu müssen.

Answer

Ich hatte die gleiche Frage und den Kommentar vonAbonnierenhat mich auf den richtigen Weg gebracht. Ich habe ein wenig recherchiert, es zum Laufen gebracht und hier ist, was bei mir funktioniert hat.

Ich bin mir nicht sicher, ob dies die "unterstützte" Lösung ist, denn sie scheinen ihr DirSync wirklich zu mögen. Es macht jedoch Sinn, dass es unterstützt wird, weilAbonnierenerwähnt - nämlich die Möglichkeit, dass Infrastrukturen ohne Active Directory weiterhin über SSO in Office 365 verfügen.

Folgendes müssen Sie tun:

Aktivieren Sie SSO für die Domäne auf der Office 365-Seite, indem Sie das Powershell-Applet Convert-MsolDomainToFederated ausführen. Das haben Sie wahrscheinlich schon getan.
Erstellen Sie die Benutzerkonten, für die Sie SSO auf der Office 365-Seite aktivieren möchten, manuell oder per PowerShell.
Sobald Sie sie erstellt haben, müssen Sie die ObjectGUID verwenden aufdeinObjekt des AD-Kontos als unveränderliche ID auf der Azure-Seite.

Ich habe diese als Referenz verwendet, werde die Informationen jedoch hinzufügen, falls diese URLs in Zukunft verschwinden:

http://blogs.technet.com/b/stevenha/archive/2012/11/13/script-to-convert-an-ms-online-directory-immutable-id-to-an-ad-guid-and-vice-versa.aspx

http://answers.flyppdevportal.com/categories/azure/WindowsAzureAD.aspx?ID=2b72a210-6a6e-4add-a420-f3fd81c68532
Sie müssen die ObjectGUID für Ihren Benutzer base64-kodieren und festlegen. Die GUID, die Sie kodieren, sollte die Klammern nicht enthalten:

Das folgende Skript führt die Konvertierung für Sie durch: http://gallery.technet.microsoft.com/office/Covert-DirSyncMS-Online-5f3563b1

AD-Objekt-GUID (im „Registrierungsformat“) 748b2d72-706b-42f8-8b25-82fd8733860f

Codiert: ci2LdGtw+EKLJYL9hzOGDw==

Das legst du auf dem Konto auf Azure per Powershell fest:

Set-MsolUser -UserPrincipalName[email geschützt]-ImmutableId "ci2LdGtw+EKLJYL9hzOGDw=="
Stellen Sie sicher, dass der UPN Ihres Benutzerkontos (auf der Seite Ihrer AD-Domäne) mit dem übereinstimmt[email geschützt]UPN, den Office 365 auf seiner Seite hat, sonst erhalten Sie auf der Azure-Seite einen seltsamen Fehler. Ich glaube, der Fehlercode ist 8004786C
Wenn Sie das UPN-Suffix nicht zur Verfügung haben, um es für Ihren Benutzer in Ihrer AD-Umgebung festzulegen, müssen Sie dieses Suffix über „Active Directory-Domänen und -Vertrauensstellungen“ hinzufügen. Oder wenn Sie clever sein wollen, legen Sie ein anderes Attribut für Ihr AD-Konto fest und lassen Sie ADFS dieses Attribut als unveränderliche ID senden. Wenn Sie nicht wissen, was ich meine, legen Sie einfach den UPN fest. :)
Microsoft Office 365 wird in einem von ADFS IDP initiierten Dropdown-Menü auf Ihrem Server nicht als Option angezeigt. Es sieht so aus, als wäre es von SP initiiert und Sie müssen den SAML-Tanz auslösen, indem Sie zuerst zu deren Portal gehen:https://portal.microsoftonline.com
Sie können etwas wie Fiddler verwenden, um die SSL-Konversation abzufangen und dann einige Informationen auszuwertenhttp://community.office365.com/en-us/wikis/sso/using-smart-links-or-idp-initiated-authentication-with-office-365.aspxum mehr das Gefühl zu vermitteln, dass es von einem IDP initiiert wurde, wo der Benutzer auf Ihren Link klickt und durch die gesamte Route zu einer angenehmen, reibungslosen Anmeldung bei Office 365 weitergeleitet wird, ohne irgendetwas eingeben zu müssen.

Question 3

Hilft das überhaupt?http://technet.microsoft.com/en-us/library/dn296436.aspx

Es ist eine Weile her, seit ich das getan habe, worum Sie gebeten haben, aber das stand in meinen Notizen.

Answer

Hilft das überhaupt?http://technet.microsoft.com/en-us/library/dn296436.aspx

Es ist eine Weile her, seit ich das getan habe, worum Sie gebeten haben, aber das stand in meinen Notizen.

ADFS-Setup mit lokalem AD und Azure AD ohne Dir Sync

Antwort1

Antwort2

Antwort3

verwandte Informationen