Hello 小夥伴們,
2018新年快樂,作為2018年首篇文章,怎麼能不給大家帶來點乾貨呢?這篇文章其實我9月底的時候已經在MSDN上發佈過了,為表誠意,我更新了這篇文章,並把它組成了一個系列,2.0版本的相信會對大家更有幫助。
在正式開始之前,我們有必要聊聊為什麼要實現單點登錄。單點登錄簡而言之,就是讓用户使用一套ID和密碼,就可以登錄一個或多個系統的授權機制。用户只需要通過其中一個應用的安全認證之後,再訪問同一服務器其他應用的資源時不需要再次輸入賬户和密碼。那聊到Office 365實現單點登錄呢,就有如下幾個好處:
- 減輕用户的記憶負擔:用户不需要記住多套賬户名和密碼,記住一套密碼就可以使用本地DC上的憑據登錄O365的各個服務。
- 簡化IT的運維難度:管理員只需要管理一套賬户和密碼,減少了Help Desk的時間。
要在Office 365裏面實現單點登錄的功能,我們需要配置AD FS聯合認證服務器,以及AD FS Proxy,同時考慮到高可用性,我們推薦部署至少兩台以上的AD FS和AD FS代理服務器,部署架構參考下圖:
接下來這一個系列的文章,我將會為大家分享如何利用Microsoft Azure來搭建環境,配置本地域控服務器、配置Azure AD Connect實現目錄同步、安裝和配置AD FS服務器以及實現單點登錄的功能,可以算是從0到1為大家展現這整個過程吧。貼心如我,一個系列的文章更新完,都要回來把鏈接放上去方便大家查看:
Office 365實現單點登錄系列(2)—Azure AD Connect安裝與配置
Office 365實現單點登錄系列(3)—使用Azure AD Connect 進行目錄同步
Office 365實現單點登錄系列(4)—安裝AD FS
Office 365實現單點登錄系列(5)—配置單點登錄
這第一篇文章的主題呢,是為大家演示如何在Azure上去搭建環境,創建虛擬機,搭域控服務器。如果本地已經有了現成的DC環境,那就可以移步第二篇文章啦。話不多説,我們就開始吧~
1. 構建虛擬機
我們開始搭建域控服務器。首先在Azure 中創建一個虛擬機,選擇適當大小,配置相應的參數。在這裏我們選擇Win Server 2016來進行環境搭建。
|
|
|
|
|
|
配置可選的功能之後,接受協議,創建虛擬機。
2. 配置域控服務器
創建好虛擬機後,進入虛擬機的服務器管理界面,點擊“Add Role and Features Wizard”, 安裝 Active Directory Domain Service。
安裝好後,配置相應的參數。由於我們模擬的是一個全新的環境,因此選擇添加一個新的林。
設置目錄服務還原模式(Directory Service Restore Mode)的密碼。
|
|
|
|
|
|
配置成功。
配置好 Active Directory Domain Service 之後,這作為我們的域控服務器。我們可以在本地這台服務器上添加用户、組等信息。
3. 添加本地用户和組的賬號信息
在右上角“Tools”工具裏面,點擊 Active Directory Users and Computers,對目錄用户進行操作。
點擊“Action”下面的“New”添加新的計算機、組、用户、或者其他角色。
|
|
|
|
|
|
添加了相應的用户和組之後,我們本地的域環境就基本上搭建完成了。
