Friki de todos los oficios: Office 365 SSO: Una guía de instalación simplificada
Instalar, configurar y activar single sign-on dentro de Office 365 son un proceso largo, pero vale la pena.
Greg Shields
Office 365 podría ser tu mejor amigo. Puede descargar una amplia gama de responsabilidades de administración compleja. Firmar un contrato mensual único y gran parte del dolor de la administración de Exchange, SharePoint y Lync automáticamente se convierte en trabajo de alguien más.
Sin embargo, muchos fans de Office 365 Haz obstaculizados cuando quieren aplicar su capacidad de single sign-on (SSO). Usted puede descargar el Microsoft Online Services Sign-In Assistant (MOS SIA) para optimizar la autenticación para aplicaciones de cliente, pero no es cierto SSO. Simplemente combina las dos contraseñas que cada usuario necesita: uno para Active Directory y otra para Office 365.
Consolidar las dos contraseñas en uno requiere implementar servicios Active Directory Federation (ADFS), que puede parecer anormalmente compleja. Echa un vistazo a la documentación en línea de Microsoft para hacerlo, y rápidamente puede conseguir sumido en sus detalles. En este caso, Microsoft ha proporcionado casi demasiada información. Como resultado, Office 365 SSO con ADFS puede parecer más problemas que merece la pena, pero no lo es.
Si estás entre las filas de la confusión cuando se trata de activar Office 365 SSO, considero la Guía de instalación simplificada. No abordar cada situación, pero es un comienzo de baja complejidad, pequeña a los ambientes de la mediana empresa (PYME).
Paso 1. Preparar su dominio de Active Directory
Office 365 SSO requiere un nombre de dominio Internet resueltas para usar como sufijo en el nombre de usuario de cada usuario. No se preocupe, sin embargo, si su nombre de dominio de Active Directory no cumple este requisito. La mayoría de ellos no. Usted puede hacer cosas trabajar dando a los usuarios una alternativa Principal nombre usuario (UPN) que coincide con cualquier nombre de dominio público que posee.
Supongamos que su nombre de dominio público es contoso.com, pero su dominio dentro del servidor de seguridad de Active Directory es contoso.local. No puede resolver contoso.local a través de servidores de Internet, por lo tanto, usted no será capaz con los servidores DNS de Office 365. Dicho esto, puede utilizar Federación para poner un nombre de dominio público resueltas UPN de cada usuario y deje que inicie la sesión como username@contoso.com.
Mientras que UPN cada usuario debe parecer una dirección de correo electrónico, no tiene nada que ver con SMTP o protocolo de inicio de sesión. Este cambio sólo mapas de cuentas de Active Directory de los usuarios con una dirección externa que puede entender Office 365.
Lanzamiento de dominios de Active Directory y confianzas y ver las propiedades de su nodo de nivel superior. En el cuadro titulado sufijos UPN alternativa, introduzca su nombre de dominio público resueltas y haga clic en Agregar. A continuación, ejecute Active Directory Users and Computers y ver las propiedades de una cuenta de usuario. En su ficha de cuenta, ahora puede establecer el nombre de inicio de sesión de usuario para ese nombre de dominio público resueltas. Hacer esto para cada usuario habilitado para Office 365. Utilizará esta como su nombre de usuario de Office 365 en un minuto.
Paso 2. Preparar sus servidor e instalar ADFS
ADFS puede instalar en un controlador de dominio o en otro servidor. Primero, necesitará configurar unos requisitos previos. Los siguientes pasos suponen que está instalando Windows Server 2008 R2.
Mediante el administrador de servidor, instale el papel IIS y Microsoft .NET Framework 3.5.1. Luego compre e instale un certificado de autenticación del servidor de una autoridad pública. Asegúrese de que coincida con el nombre de sujeto del certificado con el nombre de dominio completo del servidor. Iniciar el administrador de IIS y el certificado de importación para el sitio Web predeterminado.
Siguiente, Descargar ADFS 2.0. Acepte los valores predeterminados de instalación, seleccione servidor de Federación cuando se le solicite. El instalador debe instalar automáticamente las revisiones necesarias, aunque puede que deba instalar ADFS 2.0 Update Rollup 2.
Después de instalar y parchear ADFS, iniciar administración de ADFS 2.0 desde herramientas administrativas. En la página de resumen, inicie al Asistente de configuración de servidor de Federación de ADFS. Crear un nuevo servicio de Federación en una implementación independiente y verificar el certificado SSL está utilizando partidos que se han importado en el sitio de Web IIS predeterminado. El asistente también le solicitará una cuenta de servicio. Suministrarlo con una cuenta de Active Directory se establece cuya contraseña nunca caduque.
Cuando el Asistente concluye, verás un mensaje señalando que la configuración requerida está incompleta y es necesario agregar una parte confiante de confianza. Voy hacer esto en un minuto, así que usted puede ignorar este mensaje.
Probar la instalación desplazándose a https://<serverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml en su navegador Web. Haga clic en cualquier error de certificado que ves. Estamos verificando que IIS está correctamente sirviendo contenido XML.
Paso 3. Agregar tu dominio UPN a Office 365
En el ejemplo anterior se utiliza un nombre de dominio público resueltas de contoso.com con un dominio de Active Directory interno de contoso.local. El tuyo puede ser nada. El nombre de Active Directory no necesita alinear con el dominio externo que utiliza direcciones de correo electrónico, aunque hacerlo así facilita las cosas para los usuarios a recordar.
Si el nombre de dominio público resueltas elegido ya no está vinculado a Office 365, hacerlo a través de la Portal de servicios en línea de Microsoft. Haga clic en dominios en la consola del administrador y, a continuación, seleccione Agregar un dominio. El asistente le solicite el nombre de dominio y luego darle una de dos opciones para la autenticación de la propiedad. Deberás agregar registro MX o TXT al servidor DNS público alojado el dominio.
Puede tomar en cualquier lugar de 15 minutos a 72 horas para la actualización propagar completamente, por lo que podría tardar un tiempo antes de poder completar el proceso de validación. Validación afirma Office 365 que poseen sus clientes más tarde utilizará para autenticar el nombre de dominio. No es necesario tener los servidores dentro de este dominio de Federación, para la función. Todo lo que necesitas para completar este paso es el dominio de sí mismo que puede resolver desde Internet.
Paso 4. Conecte ADFS con Office 365
El siguiente paso es que Office 365 saber que va a federar la autenticación del usuario. Este proceso confía su dominio de Active Directory interno con autenticación de usuarios, permitiendo que Office 365 confiar simplemente en respuesta de autenticación de su dominio. Que es la magia de la Federación — sin contraseñas nunca se transfieren entre ADFS y Office 365.
Conectar estos dos necesita invocar unos comandos de Windows PowerShell. Estos a su vez requieren la instalación de la Microsoft Online Services Module y la creación de una conexión a Office 365. En una columna anterior, se detallan los pasos para lograrlo "administrar Office 365 con Windows PowerShell." Con esa conexión establecida, ejecutar estos dos comandos de Windows PowerShell. El primero crea un contexto que le conecta con ADFS. El segundo convierte el dominio de autenticación estándar a SSO:
Set-MsolAdfscontext -Computer <AD FS server FQDN> Convert-MsolDomainToFederated -DomainName <domain name>
En función de sus actividades, su servidor ADFS generará automáticamente y regularmente, utilizar y posteriormente expirar certificados autofirmados de firma de tokens. Office 365 necesita saber cuándo cambian de dichos certificados. Sincronizar sus actividades mediante la descarga de la Herramienta de Microsoft Office 365 Federación metadatos actualización Automatización instalación. Esta herramienta llega como una secuencia de comandos de Windows PowerShell que podrá ejecutar en el servidor ADFS. Ejecute el script y proporcionar sus credenciales administrativas solicitadas para sincronización de instalar Active Directory y Office 365.
Paso 5. Sincronizar la información de cuenta de usuario de Active Directory para Office 365
Federación elimina la necesidad de enviar contraseñas entre Active Directory y Office 365, aún requiere sincronizar las cuentas de usuario de cada uno. Puede realizar esta sincronización manualmente, agregar usuarios de Office 365 que coinciden con cada cuenta de usuario de Active Directory.
También puede automatizar el proceso con la Herramienta de sincronización de directorios de Microsoft. Esta herramienta replica automáticamente cierta información de cuenta de usuario de Active Directory — incluyendo números telefónicos, direcciones y datos que normalmente se encuentran en una lista de direcciones Global Exchange — a las cuentas de Office 365. Sin embargo, a diferencia de ADFS, se puede instalar la herramienta de sincronización de directorios en un DC, ni usted puede instalarlo en el servidor ADFS.
Primero debe activar la sincronización con una herramienta totalmente independiente: el herramienta de preparación de la implementación de Microsoft Office 365. Lanza esta herramienta y vaya a Admin | Los usuarios | Sincronización de Active Directory. En el Set up y administrar la página de sincronización de Active Directory, haga clic en activar en sincronización con Active Active Directory.
A continuación, podrá instalar y configurar la herramienta de sincronización de directorios. Elija ahora iniciar el Asistente de configuración una vez finalizada la instalación. Deberá suministrar credenciales de Microsoft Online Services y credenciales de Active Directory para una cuenta de usuario con privilegios de administrador de organización. Elija sincronizar directorios ahora en la página final del Asistente para iniciar la sincronización.
Sincronización de directorios pasa por defecto cada tres horas, aunque puede forzar la sincronización por volver a ejecutar al asistente, introducir credenciales y vuelva a seleccionar sincronizar directorios ahora en la página final del asistente. La herramienta también ofrece un cmdlet de Windows PowerShell, Start-OnlineCoexistenceSync, para llevar a cabo la misma función.
Paso 6. Ajustar la configuración de Internet Explorer
Office 365 ofrece servicios a través de una variedad de interfaces, ambos y ricos-cliente basado en Web. Un truco de menos conocidos se pueden utilizar para agilizar aún más la experiencia SSO es agregar la dirección URL del servicio de Federación de servidor de ADFS (típicamente el fqdn de servidor https://<AD FS >) a la zona de intranet Local de Internet Explorer en cada equipo cliente. Directiva de grupo es útil en la provisión de esta configuración para varios equipos a la vez.
Paso 7. Permiten a los usuarios, sincronización de validar y verificar la Federación
Sin necesidad de configuración adicional, la herramienta de sincronización de directorios replicará toda información de cuenta de usuario de Office 365. Debe asignar licencias de Office 365 a cuentas de usuario si son utilizar sus servicios. Este paso adicional es bueno, porque te da la posibilidad de asignar licencias de uso según corresponda.
También querrá validar la sincronización de directorios y probar la experiencia SSO. Para validar la sincronización, simplemente inicie sesión en el Portal de servicios en línea de Microsoft y dar un vistazo a través de unas cuentas de usuario para ver si se ha actualizado su información. Federación de verificación es incluso más fácil. Microsoft ha establecido un sitio Web que puede verificar automáticamente si o no la Federación está configurado correctamente y puede proporcionar sugerencias cuando ocurren problemas.
A veces problemas de autenticación no son fáciles de rastrear, especialmente cuando se trabaja a través de sistemas dispares. Si le pegan completamente, Microsoft ha escrito un excelente Guía que puede ayudarle hacia fuera con una gama de situaciones problemáticas.
Office 365 SSO, la forma simplificada
Incluso estas instrucciones para la aplicación de Office 365 SSO son un poco palabrería. El proceso no es trivial, pero tampoco es tan complicado como sugiere la documentación de Microsoft. Dicho esto, la documentación de la empresa es integral donde no esta guía.
ADFS admite funcionalidad adicional no mencionada aquí. Hay características como SSO para clientes basados en Internet. Usted puede apoyar estos mediante la implementación de un servidor proxy de ADFS en el perímetro de su red. También puede agrupar varios servidores ADFS juntos si la alta disponibilidad es un objetivo de diseño. Hay varias otras personalizaciones también posible sincronizar los usuarios y optimizar la experiencia del usuario. Echa un vistazo a todos los detalles sobre estas y otras arquitecturas de Office 365 SSO.
.jpg)
Greg Shields, MVP, es socio de tecnología concentrada. Obtener más de escudos manitas consejos y trucos en ConcentratedTech.com.