我有本機 AD 和 Azure 上的 AD,並且我有 ADFS 和 ADFS 代理伺服器設定來對本機 AD 上的使用者進行身份驗證。我已按照 Microsoft 網站上的所有步驟在 Azure AD 和本機 AD 之間設定信任。然而,它表示,為了為本地和雲端 AD 中的使用者實現 SSO,Dir Sync 是必要的。我不想使用 Dir Sync,並且希望我的 ADFS 也能夠對本機 AD 和 Azure AD 中的使用者進行身份驗證。
誰能告訴我實現它的步驟。
答案1
假設這是針對 O365 或 Intune - DirSync 是必要的元件。 DirSync 將允許相同的登錄,這意味著兩個環境中的密碼相同。新增 ADFS 將允許單身的登錄,這意味著用戶將無縫進行身份驗證,而無需提示輸入憑證。 DirSync 是相同登入和單一登入的基礎元件。
無法僅使用 ADFS 對 Azure AD 租用戶進行單一登入。
答案2
我有同樣的問題和評論馬維拉斯讓我走上正軌。我做了一些研究,讓它發揮作用,這就是對我有用的。
不確定這是「受支援」的解決方案,因為他們似乎真的很喜歡他們的 DirSync。然而,它受到支持是有道理的馬維拉斯提到 - 即允許非 Active Directory 基礎架構仍透過 SSO 進入 Office 365。
您需要執行以下操作:
透過執行 Convert-MsolDomainToFederated powershell 小程序,SSO 在 Office 365 端啟用網域。你可能已經這樣做過。
手動或 powershell 建立要在 Office 365 端啟用 SSO 的使用者帳戶。
建立它們後,您需要使用 ObjectGUID你的AD 帳戶的物件作為 Azure 端的不可變 ID。
我使用這些作為參考,但我將包含這些信息,以防這些 URL 將來消失:
您需要為您的使用者對 ObjectGUID 進行 Base64 編碼並進行設定。您編碼的 GUID 不應包含括號:
這裡的腳本為您完成轉換: http://gallery.technet.microsoft.com/office/Covert-DirSyncMS-Online-5f3563b1
AD 物件 GUID(「註冊表格式」)748b2d72-706b-42f8-8b25-82fd8733860f
編碼:ci2LdGtw+EKLJYL9hzOGDw==
您可以透過 powershell 在 Azure 上的帳戶上進行設定:
設定-MsolUser -UserPrincipalName[電子郵件受保護]-ImmutableId“ci2LdGtw+EKLJYL9hzOGDw==”
確保您的使用者帳戶(在 AD 網域端)上的 UPN 與[電子郵件受保護]Office 365 擁有 UPN,否則您會在 Azure 端收到奇怪的錯誤。我認為錯誤代碼是8004786C
如果您沒有可在 AD 環境中為使用者設定的 UPN 後綴,則必須透過「Active Directory 網域和信任」新增該後綴。或者,如果您想聰明地在 AD 帳戶上設定另一個屬性,並讓 ADFS 將該屬性作為不可變 ID 傳送過來。如果你不明白我的意思 - 那麼只需設定 UPN 即可。 :)
Microsoft Office 365 不會在伺服器上的 ADFS IDP 啟動下拉選單中顯示為選項。看起來是 SP 發起的,您必須先訪問他們的門戶來觸發 SAML 舞蹈:https://portal.microsoftonline.com
您可以使用 Fiddler 之類的工具來抓取 SSL 會話,然後解析出一些訊息http://community.office365.com/en-us/wikis/sso/using-smart-links-or-idp-initied-authentication-with-office-365.aspx為了有更多 IDP 發起的感覺,使用者點擊您的連結並一路路由到 Office 365 的順利登錄,而無需輸入任何內容。
答案3
這樣有幫助嗎?http://technet.microsoft.com/en-us/library/dn296436.aspx
我已經有一段時間沒有完成你所要求的事情了,但這已經在我的筆記中了。