标签:开始 限制 管理员 完成 打开 实现 res ble style
开篇简单介绍了我们要做的事,和需要准备的东西,相信基本上还是可以看的明白的,下边进入主题,我们来看一下如何部署ADFS首先来讲一下ADFS大概的架构,一般来说在生产环境,我们是推荐将ADFS部署成FARM的,也就是通过多台ADFS共同承载流量,ADFS本身是要面向公网的,身份验证的请求会从AAD转到ADFS,这样就会产生ADFS直接暴露在公网的问题,所以在生产环境我们还会推荐部署ADFS Proxy,将Proxy放在ADFS前承载流量,这样可以把后端整个ADFS和AD环境保护起来。一般推荐的部署方式如下表所示
| 角色 | 推荐部署方式 | 推荐部署位置 |
| DC | 推荐>1 | 域控,部署在内网 |
| ADFS | 推荐>1 | 加域,部署在内网 |
| ADFS Proxy | 推荐>1 | 一般不加域,部署在DMZ |
总体来说需要部署的角色其实并不多,也不会太过复杂,本次环境中使用部署方式如下表所示,因为并非生产环境,只是做Poc,所以部署的都是单点的
| 角色 | OS | 部署方式 | 部署位置 |
| DC | Windows Server 2012 R2 | 1台 | 域控,部署在内网 |
| ADFS | Windows Server 2012 R2 | 1台 | 加域,部署在内网 |
| ADFS Proxy | Windows Server 2012 R2 | 1台 | 不加域,部署在DMZ |
ADFS的部署其实之前的blog里已经介绍过了,那个时候部署ADFS感觉步骤非常多,还非常容易出错,但是过去这么久之后微软推出了一种新的部署方式,将ADFS的部署过程大大地简化了,称之为傻瓜式部署也不为过,基本上点点鼠标就能搞定了,下边来介绍下如何部署
现在部署ADFS时我们已经可以通过AAD Connect来实现,ADFS以及Proxy的部署都已经整合到了AAD Connect中作为一个选项来提供(实际上只是提供了通过各种脚本快速部署的方式,如果想单独部署ADFS,依然可以通过Windows Server里的向导实现)
AAD Connect的作用不过多介绍了,之前用过Dir sync的基本都知道,以前的博客里也介绍过Dir sync,可以理解AAD Connect就是将本地AD与AAD集成的一种工具,AAD Connect一般不推荐部署到DC上,推荐部署到一台加域的服务器中即可,如果用户规模不大的话可以考虑单点
AAD Connect 介绍
https://docs.microsoft.com/zh-cn/azure/active-directory/connect/active-directory-aadconnect
AAD Connect 1.1.647.0 下载
https://www.microsoft.com/en-us/download/details.aspx?id=47594
1.下载AAD Connect之后双击打开,下一步
2.同意条款
3. 这里选择自定义的配置,因为我们需要部署很多组件
4.直接点击安装,直接使用默认的SQL Express数据库即可,一般情况下还不会用到其他版本的SQL Server
5.安装中
6.这里选择与ADFS做联盟
7.这里会连接到你的AAD中,所以要输入你的O365 Global Admin账号
8.添加需要的域
9.输入本地AD管理员的信息,连接到本地AD
10.添加完成
11.这里可以选择筛选要同步的OU,默认是所有的OU都会被同步,如果有一些信息是不想或者不需要同步到AAD的,那么可以在这里进行筛选
12.这里选择标识用户的方法,source anchor是AAD Connect里很重要的一个概念,一般来说这里推荐使用默认的配置
13.这里选择要筛选的用户
14.之后在可选的功能这里,可以设置密码同步,这样用户的密码也可以被同步到AAD中
到这里AAD Connect的安装就差不多了,如果没部署ADFS的话点击下一步差不多就会自动安装AAD Connect,然后开始进行同步了
但是因为我们要部署ADFS,所以这还不算完!后边重点来介绍ADFS以及Proxy的部署
O365结合ADFS限制用户登录地址 (二) - 安装AAD Connect
标签:开始 限制 管理员 完成 打开 实现 res ble style
原文地址:http://blog.51cto.com/mxyit/2071506
