我有azure色的本地AD和AD,我有ADFS和ADFS代理服务器设置来validation本地AD上的用户。 我已经按照Microsoft网站上的所有步骤设置了Azure AD和本地AD之间的信任关系。 但是,为了实现本地和云端AD中的用户的SSO,目录同步是必要的。 我不想使用Dir Sync,我希望我的ADFS能够从本地AD和Azure ADvalidation用户身份。
任何人都可以让我知道为了实现它的步骤。
假设这是O365或Intune – DirSync是必需的组件。 DirSync将允许相同的login,这意味着这两个环境中的密码是相同的。 添加ADFS将允许单点login,这意味着用户将无需提示input凭据即可进行无缝validation。 DirSync是同一login和单一login的基础组件。
您无法单独使用ADFS对Azure AD租户进行单点login。
我有同样的问题, maweeras的评论使我走上了正轨。 我做了一些研究,得到了它的工作,这是什么对我有用。
不知道这是“支持”的解决scheme,因为他们真的好像他们的DirSync。 然而, maweeras提到的原因是支持的 – 即允许非Active Directory基础架构仍然拥有SSO到Office 365。
这是你需要做的:
通过运行Convert-MsolDomainToFederated PowerShell小程序,SSO启用Office 365端的域。 你可能已经这样做了。
手动或PowerShell创build您希望在Office 365端启用SSO的用户帐户。
创build完成后,您需要使用AD帐户对象上的ObjectGUID作为Azure端的不可变ID。
我使用这些作为参考,但我会包括信息,以防这些URL在未来消失:
你需要base64为你的用户编码ObjectGUID并设置它。 您编码的GUID不应包含括号:
这里的脚本为您做转换: http : //gallery.technet.microsoft.com/office/Covert-DirSyncMS-Online-5f3563b1
AD对象GUID(“registry格式”)748b2d72-706b-42f8-8b25-82fd8733860f
编码:ci2LdGtw + EKLJYL9hzOGDw ==
您可以在Azure上的帐户上通过powershell进行设置:
Set-MsolUser -UserPrincipalName [email protected] -ImmutableId“ci2LdGtw + EKLJYL9hzOGDw ==”
确保您的用户帐户(位于您的AD域)上的UPN与Office 365具有的[email protected] UPN相匹配,否则您将在Azure方面出现奇怪的错误。 我认为错误代码是8004786C
如果您的AD环境中没有可供您的用户设置的UPN后缀,则必须通过“Active Directory域和信任关系”添加该后缀。 或者,如果您想巧妙地在您的AD帐户上设置另一个属性,并让ADFS将该属性作为不可变的ID发送。 如果你不知道我的意思 – 那就设置UPN。 🙂
Microsoft Office 365将不会显示在服务器上的ADFS IDP启动下拉菜单中。 看起来这是SP发起的,您必须首先访问他们的门户来触发SAML舞蹈: https : //portal.microsoftonline.com
你可以使用像Fiddler这样的东西来抓取SSL会话,然后parsing出一些信息http://community.office365.com/en-us/wikis/sso/using-smart-links-or-idp-initiated-authentication-with -office-365.aspx为了让更多的IDP开始感受,用户点击链接并一直路由到一个很好的顺利login到Office 365而不input任何内容。
这有帮助吗? http://technet.microsoft.com/en-us/library/dn296436.aspx
我已经做了你所问的一段时间了,但那是在我的笔记里。