首先,让我描述一下这个场景。 我试图为一个相对较小的私人组织build立一个小型的组织networking(假设约有30-40人),主要服务是电子邮件,日历和共享文件。 这里没有实体店面,所以严格来说没有“本地”,每个人都将在网上访问它。 不需要内部networking,也不需要join域的机器。 另外,现在还没有部署 – 这是从零开始构build的。 预算也相当有限。
理想情况下,我们希望采用全云解决scheme,以尽量减less维护的麻烦。 同时,我们也想把每个用户的每月成本降到最低。 看起来最有效的方法是获得Office 365 Exchange Online Kiosk计划(价格为2美元/用户,这会给出电子邮件和日历,但不包括文档),然后启动运行SharePoint Foundation的最便宜(A0)Azure虚拟机就可以提供文件服务。 虽然后者对于服务器来说是非常慢的,但是这也是很less被访问的东西,几乎不会同时发生,主要是读取而不是作者,因此性能影响是可以接受的。 而由于预算紧张,从所有30个用户每月支付15美元的费用(而不是额外的2美元/用户费用)升级到Office 365 Enterprise K1(其中包括SharePoint Online)的成本节省很大。
现在就这个问题本身。 通过这种设置,我希望Office 365身份成为用户的主要身份,而且他们只需记住一个login名和密码; 如果可能的话,我想避免必须在该虚拟机上运行和维护任何本地服务。 所以,理想情况下,我想通过某种方式告诉本地SharePoint实例来对照Office 365对用户进行身份validation,并将其留在那里。 如果这是不可能的,我需要想出一些scheme来启用SharePoint VM上的本地AD实例和Office 365之间的帐户共享和/或同步。
试图找出如何做到这一点已被certificate是相当困难的,但。 关于本地域与Office 365之间的互操作的主题有很多文档,但他们似乎都假定本地身份是主要的,所以同步方向是从内部到云,而不是反过来,因为我打算。 还有很多看似重叠和混乱的技术覆盖该领域 – ADFS,Azure FS,DirSync是三个不断涌现的。
那么,我到底需要去看什么,我需要学习什么,弄清楚如何设置这一切,我想要的方式? 如果有几种不同的select,那么从长远来看哪一个将是最脆弱和最重维护的?
Sharepoint 2013接受使用SAML 1.1authentication的login。 由于您使用Office365,您的用户在Azure AD实例中。 Azure AD直接支持大量身份validation,但SAML 1.1。 不是其中之一。 但是,Azure访问控制服务可以作为“中继”,为您提供基于SAML 1.1的身份validation服务。 你会发现大量的关于设置的博客文章,但我会引用你从MS Technet的官方文档: 使用Microsoft Azure活动目录进行SharePoint 2013身份validation 。
也就是说,使用Sharepoint Online显然要容易得多,所以如果我是你的话,我会在设置自己的Sharepoint基础架构之前,先检查一下是否符合你的要求。
你试图实现的是一个小企业非常复杂,我无法想象你将如何支持将来发生的问题,因为你试图实施一个不受支持的解决scheme。
使用相同的Office 365帐户允许用户对SharePoint进行身份validation的唯一可能方式是对本地内容(或您的情况,Azure虚拟机)启用Synced(Azure AD Connect)或联合(ADFS )Active Directory部署,你目前没有。 https://support.office.com/en-us/article/Understanding-Office-365-identity-and-Azure-Active-Directory-06a189e7-5ec6-4af2-94bf-a22ea225a7a9
如果成本是一个问题,@PJ马霍尼提供了一个很好的build议,教育你的用户存在两个不同的系统,让他们生活在一起。 请记住,这可能会有支持和维护两个不同系统的隐藏成本。
如果成本不是问题,那么使用Office 365 Business Essentials计划(每月/用户费用为5美元),在交易之前获得Skype用于业务,这将使原来build议的2美元的价格翻倍因为,但从长远来看,我认为这是一个更好的投资,保持组织和简单的事情。