how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO_程序开发

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

admin

2023-03-20 04:01:36

0次

1.首先登录Office 365:https://login.partner.microsoftonline.cn/

添加域：nos.hk.cn

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

在域名解析设置里添加TXT记录：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

这里先跳过添加用户的步骤。

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

在域名解析中添加以上的记录：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

其中：login 和 owa两条记录为了方便登录建议添加.

然后返回office 365 验证：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

显示已经添加成功！！

接下来设置AD同步：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

接下来

准备单一登录

环境：

AD DC windows server 2008 R2 DC08.nos.hk.cn

AD FS windows server 2012 R2 FS.nos.hk.cn

WebProxy windows server 2012 R2 WAP (不能加域，放在DMZ区)

2.先决条件：https://docs.microsoft.com/zh-cn/azure/active-directory/connect/active-directory-aadconnect-prerequisites

1）Azure AD Connect:https://www.microsoft.com/en-us/download/details.aspx?id=47594

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

在DC08上安装 AzureADConnect.msi,Azure AD Connect 服务器必须安装 .NET Framework 4.5.1 或更高版本和 Microsoft PowerShell 3.0 或更高版本

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

安装 PS 3.0 /.net 4.5.1: Azure AD Connect 依赖于 Microsoft PowerShell 和 .NET Framework 4.5.1

https://www.microsoft.com/zh-cn/download/details.aspx?id=40855

Windows6.1-KB2819745-x64-MultiPkg:https://download.microsoft.com/download/3/D/6/3D61D262-8549-4769-A660-230B67E15B25/Windows6.1-KB2819745-x64-MultiPkg.msu

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

Microsoft .NET Framework 4.5.1 (Offline Installer): https://download.microsoft.com/download/1/6/7/167F0D79-9317-48AE-AEDB-17120579F8E2/NDP451-KB2858728-x86-x64-AllOS-ENU.exe

2)为 Azure AD Connect 启用 TLS 1.2:

如果使用 Windows Server 2008R2，请确保已启用 TLS 1.2。 Windows Server 2012 服务器及更高版本上应该已经启用了 TLS 1.2。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

出错了，

如果目标服务器已加入域，请确保已启用“Windows 远程托管”
在权限提升的 PSH 命令窗口中，使用命令 Enable-PSRemoting –force
如果目标服务器是未加入域的 WAP 计算机，则需要满足一些额外的要求
在目标计算机（WAP 计算机）上：
确保 winrm（Windows 远程管理/WS-Management）服务正在通过“服务”管理单元运行
在权限提升的 PSH 命令窗口中，使用命令 Enable-PSRemoting –force
在运行向导的计算机上（如果目标计算机未加入域或者是不受信任的域）：
在权限提升的 PSH 命令窗口中，使用命令：

Set-Item WSMan:\localhost\Client\TrustedHosts –Value -Force –Concatenate

在服务器AD FS上运行：Enable-PSRemoting –force

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

在WAP服务器上：

运行：Enable-PSRemoting –force

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

在DC08上运行：

Set-Item WSMan:\localhost\Client\TrustedHosts –Value WAP -Force –Concatenate

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

在WAP无法解析adfs.nos.hk.cn

在DC的DNS服务器和添加：

adfs和wap两条记录：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

和WAP服务器中host文件中添加：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

再添加WAP服务器成功：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

出错了：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO 在AD FS服务器上打开：AD FS Management

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

添加：urn:federation:MicrosoftOnline

然后返回重试：

然后又出错了：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

在WAP手动上安装：WAP

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

得先导入证书：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

返回向导,就可以选择证书了：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO 发布成功！！！

然后返回Azure AD Connect配置,点重试！

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

配置完成，下一步：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

配置外网DNS添加A记录：

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO

配置防火墙端口映射：

将外网IP的443 端口映射到DMZ区的WAP服务器的443

接下来验证一下ADFS是否OK?

To verify that a federation server is operational

Open a browser window and in the address bar, type the federation server name, and then append it withfederationmetadata/2007-06/federationmetadata.xml to browse to the federation service metadata endpoint. For example,https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml .
If in your browser window you can see the federation server metadata without any SSL errors or warnings, your federation server is operational.
You can also browse to the AD FS sign-in page (your federation service name appended with adfs/ls/idpinitiatedsignon.htm, for example, https://fs.contoso.com/adfs/ls/idpinitiatedsignon.htm). This displays the AD FS sign-in page where you can sign in with domain administrator credentials.

1.在IE访问：https://adfs.nos.hk.cn/federationmetadata/2007-06/federationmetadata.xml

how to deployment Office 365 AD FS SSO --布署 Office 365 AD FS SSO