分步视频: 设置 ADFS 的 Office 365 提供单一登录

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3061192
该视频演示如何设置活动目录联合身份验证服务 (ADF) 向上与 Office 365 一起工作。它不包括 ADFS 代理服务器方案。该视频介绍 ADFS 为 Windows Server 2012 R2。但是,该过程也适用于 ADFS 2.0 — — 除了步骤 1、 3、 7。在每个这些步骤,请参阅"ADFS 2.0" 的说明一节有关如何在 Windows Server 2008 中使用此过程的详细信息。

对视频中的步骤的有用说明

步骤 1: 设置 活动目录的联合身份验证服务

使用添加角色和功能向导添加 ADF。
ADFS 2.0 的注意事项
如果您使用的 Windows Server 2008,您必须下载并安装 ADFS 2.0 能够使用 Office 365。您可以从下面的 Microsoft 下载中心网站获取 ADFS 2.0:


安装完成后,使用 Windows 更新若要下载并安装所有适用的更新。

步骤 2: 从联合身份验证服务器名称的第三方 CA 申请证书

Office 365 要求 ADFS 服务器上受信任的证书。因此,您必须向第三方证书颁发机构 (CA) 获取证书。

自定义证书申请时,请确保在公用名字段中添加联合身份验证服务器的名称。

在本视频中,我们解释只是说明了如何生成证书签名请求 (CSR)。必须将 CSR 文件发送给第三方 CA。CA 将返回到您的签名的证书。然后,执行下列步骤来将证书导入到您的计算机的证书存储区:
  1. 运行 Certlm.msc 打开本地计算机的证书存储区。
  2. 在导航窗格中,展开个人,展开证书、 右键单击证书文件夹,然后单击导入
有关联合身份验证服务器名
联合身份验证服务名称是 ADF 服务器的面向 Internet 的域名称。Office 365 的用户将被重定向到此域进行身份验证。因此,请确保您将添加一个公共的域名记录。

步骤 3: 配置 ADF

作为联合身份验证服务器的名称,不能手动键入的名称。名称取决于本地计算机的证书存储区中的证书的主题名称 (通用名称)。
ADFS 2.0 的注意事项
在 ADFS 2.0 中,联合身份验证服务器名称将绑定到"默认 Web 站点"在 Internet Information Services (IIS) 的证书由确定。ADFS 配置之前,必须将新证书绑定到默认网站。

您可以使用任何帐户作为服务帐户。如果服务帐户的密码已过期,ADFS 将停止工作。因此,请确保该帐户的密码设置为永不过期。

步骤 4: 下载 Office 365 的工具

在 Office 365 门户提供了 Windows Azure 活动目录模块用于 Windows PowerShell 和 Azure 活动目录(AD) 同步装置。要获取此工具,请单击活动用户,然后单击单一登录: 设置

步骤 5: 将您的域添加到 Office 365

视频不介绍如何添加和验证您对 Office 365 的域。有关该过程的详细信息,请参见请验证您在 Office 365 中的域.

第 6 步: 连接到 Office 365 的 ADF

要连接到 Office 365 的 ADF,请在 Windows Azure 目录模块用于 Windows PowerShell 运行下面的命令。

注意:在设置 MsolADFSContext 命令中,指定服务器的 FQDN,ADFS 中内部域而不是联合身份验证服务器名。

Enable-PSRemoting Connect-MsolService Set-MsolADFSContext –computer <the FQDN of the ADFS server>Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>
如果命令成功运行,您应该看到以下项目:
  • "Microsoft Office 365 识别平台"信赖方信任被添加到您 ADFS 的服务器。
  • 使用自定义域名作为一个电子邮件地址后缀到 Office 365 门户登录的用户被重定向到您 ADFS 的服务器。

第 7 步: 同步本地 活动目录(AD) 用户帐户添加到 Office 365

如果内部域名用作电子邮件地址后缀的外部域名称不同,您需要将外部域的名称添加为本地 活动目录(AD) 域中的备用 UPN 后缀。例如,内部域名为"company.local",但是外部的域的名称是"company.com"。在此情况下,您需要添加其他 UPN 后缀"company.com"。

通过目录同步工具同步到 Office 365 的用户帐户。

ADFS 2.0 的注意事项
如果您使用的 ADF 2.0,您必须将更改用户帐户的 UPN"company.local"为"company.com"before 同步到 Office 365 的科目。否则,用户将不会在 ADFS 服务器上生效。

步骤 8: 将客户端计算机配置单一登录

联合身份验证服务器名称添加到本地 Intranet 区域在 Internet Explorer 中后,当用户试图在 ADFS 服务器上进行身份验证时使用 NTLM 身份验证。因此,他们不会提示输入用户凭据。

管理员可以配置单一登录解决方案加入到域中的客户端计算机上的组策略设置来实现。

属性

文章 ID:3061192 - 上次审阅时间:08/15/2015 02:30:00 - 修订版本: 3.1

Microsoft Office 365 for enterprises, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2012 Foundation

  • kbsurveynew kbexpertiseinter kbhowto kbmt KB3061192 KbMtzh
反馈