继续我们的实验,前面的步骤可以返回到第一篇:http://gshao.blog.51cto.com/3512873/1788027

----------------------------------我是略污的中折线-------------------------------------

大概的思路步骤如下:

1.添加UPN,配置用户的UPN后缀(这个跟你内外域名是否一致有关系,如果一致直接错过这步骤)  
2.申请证书(公网)
    
3.安装AD FS服务    
4.内部DNS服务器新建正向区域解析    
5.添加外网dns记录,配置443端口映射出去    
6.在office 365添加自定义域名,配置相关外网记录    
7.将自定义域名转换成联盟域    
8.在office 365激活目录同步,安装AAD    
9.配置目录同步和AD FS    
10.验证用户的登陆状态

----------------------------------我是略污的中折线-------------------------------------

安装AD FS服务

1.在添加角色和功能向导,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第1张图片

2.在选择安装类型,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第2张图片

3.在选择目标服务器,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第3张图片

4.在选择服务器角色,勾选Active Directory Federation Services,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第4张图片

5.在选择功能,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第5张图片

6.在Active Directory联合身份验证服务(AD FS),点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第6张图片

7.在确认安装所选内容,点击安装;

Office 365之AD FS 3.0实现SSO(二)_第7张图片

8.在安装进度,点击在此服务器上配置联合身份验证服务;

Office 365之AD FS 3.0实现SSO(二)_第8张图片

9.在欢迎界面,选择在联合服务器场中创建第一个联合服务器,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第9张图片

10.在连接到Active Directory域服务,指定账号,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第10张图片

11.在指定服务属性,选择申请的公网证书,填写联合身份验证服务显示名称,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第11张图片

12.在指定服务账号,出现警告;

Office 365之AD FS 3.0实现SSO(二)_第12张图片

13.在powershell输入Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Office 365之AD FS 3.0实现SSO(二)_第13张图片

14.在指定服务账号,填写账号和密码,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第14张图片

15.在指定配置数据库,选择在此服务器上使用windows内部数据库创建数据库,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第15张图片

16.在查看选项,确保内容无误后,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第16张图片

17.在先决条件检查,点击配置;

Office 365之AD FS 3.0实现SSO(二)_第17张图片

18.在结果,点击关闭;

Office 365之AD FS 3.0实现SSO(二)_第18张图片

内部DNS服务器新建正向区域解析

19.在DNS服务器,在正向查找区域,右键新建区域(Z);

Office 365之AD FS 3.0实现SSO(二)_第19张图片

20.在新建区域向导,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第20张图片

21.在区域类型,选择主要区域,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第21张图片

22.在Active Directory区域传送作用域,选择至此域中域控制器上运行的所有DNS服务器(D):gshinternel.com,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第22张图片

23.在区域名称,输入adfs.gshcloud.com(对外ADFS的FQDN),点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第23张图片

24.在动态更新,点击下一步;

Office 365之AD FS 3.0实现SSO(二)_第24张图片

25.在正在完成新建区域向导,点击完成;

Office 365之AD FS 3.0实现SSO(二)_第25张图片

26.在新建的区域,右键新建主机(A或AAAA)(S);

Office 365之AD FS 3.0实现SSO(二)_第26张图片

27.在新建主机,名称为空,IP地址指向AD FS的内部IP,点击添加主机(H);

Office 365之AD FS 3.0实现SSO(二)_第27张图片

28.确保主机记录添加成功;

Office 365之AD FS 3.0实现SSO(二)_第28张图片

29.在域内验证AD FS url是否正常(

https://adfsname.domain.com/adfs/ls/IdpInitiatedSignon.aspx

Office 365之AD FS 3.0实现SSO(二)_第29张图片

30.在Internet选项-安全-本地Intranet,添加ADFS地址;

Office 365之AD FS 3.0实现SSO(二)_第30张图片

31.重新打开 AD FSurl,就可以看到登陆成功;

Office 365之AD FS 3.0实现SSO(二)_第31张图片

添加外网dns记录,配置443端口映射出去 

32.在万网添加别名记录,指向到云服务器地址(提示:我这边是在云上搭建的环境,如果在本地企业部署的话,就指向到外网IP地址)

Office 365之AD FS 3.0实现SSO(二)_第32张图片

33.确保能正常解析到

Office 365之AD FS 3.0实现SSO(二)_第33张图片

34.在adfs0604服务器上添加终结点(提示:如果在本地部署,就在防火墙做映射端口);

Office 365之AD FS 3.0实现SSO(二)_第34张图片

35.添加443端口;

Office 365之AD FS 3.0实现SSO(二)_第35张图片

36.确保添加成功,以及外网能够正常telnet 443端口;

Office 365之AD FS 3.0实现SSO(二)_第36张图片

Office 365之AD FS 3.0实现SSO(二)_第37张图片