本文分两个部分探讨
一:是否有必要部署ADFS服务器
二:怎样快速部署ADFS
众所周知,ADFS是全称是活动目录联合认证服务,主要是用于做单点登录和联合认证的,在实施Office 365项目的时候往往会因为ADFS本身的复杂性(需要公网证书,需要至少2台/考虑高可用4台服务器,需要复杂的配置),让人由爱生恨!
好在产品组体恤民情,在最新版本的目录同步工具Azure AD Connect里面,做了两个重大的改进
1:Azure AD Connect可以实现单点登录功能
2:Azure AD Connect自动配置ADFS3.0
一:使用Azure AD Connect新功能,降低部署ADFS服务器的必要性
通过最新的Azure AD Connect,尽量不要去部署ADFS服务器,我们看看Azure AD Connect最新的功能
其中圈一,我们叫直通模式,通过Azure AD Connect,把Azure AD和本地AD直接打通,当用户在Azure AD上去认证的时候,后台直接把认证引向本地AD
传统的方式,因为Azure AD和本地AD没有直接打通,导致需要通过ADFS来跳转
圈二,通过直通模式,实现统一认证源的单点登录
通过直通模式这一个新功能,让我们在一下情况可以不需要考虑ADFS
1:不同步密码密文
传统方式因为不同步密码,为了方便一般都会通过ADFS来跳转到本地AD,现在通过直通模式,直接实现本地AD认证:
2:只实现单点登录需求
将ADFS的单点登录功能实现了,无需部署ADFS服务器
3:其他待大家补充
以上情况还需要考虑ADFS
1:联合认证/本地MFA
和第三方系统做联合认证,需要依赖于ADFS,另外就是做本地MFA,比如使用赛门铁克VIP做短信/电话+AD用户/密码做双因素验证时候,必须要考虑
2:访问控制等ADFS高级功能
MDM,用户访问控制等ADFS自带的高级功能
3:基于ADFS的身份管理功能二次开发
提供了标准的接口,供开发实现需求
总结:总的说来,密码不同步和单点登录这两个是最常见的需求,已经通过Azure AD Connect实现,极大降低了部署难度。
二:通过Azure AD Connect自动配置ADFS功能,快速部署ADFS3.0
传统部署ADFS服务器,需要一台一台服务器部署,现在通过Azure AD Connect自动配置ADFS功能,可以快速部署,但是需要注意一下事项
1:ADFS需要使用3.0版本,Windows Server 2012R2及Windows Server 2016自带ADFS3.0
2:Azure AD Connect安装的服务器,需要Windows Server 2012R2及Windows Server 2016,否则很多功能无法使用
3:ADFS Web Application Proxy(WAP) 服务器一定要加域(不加域会遇到一个已知的BUG,导致配置过程巨复杂,等待产品组修复)
A:准备工作
同步服务器:Windows Server 2012 R2,加域,安装Azure AD Connect,建议不要在AD服务器上
ADFS服务器:Windows Server 2016,加域,防火墙关闭
ADFS WAP服务器:Windows Server 2016,加域,防火墙关闭
Office 365绑定公网域名wumaoge.cn, 本地AD的UPN后缀修改为wumaoge.cn,保证Azure AD和本地AD的UPN后缀统一
管理员账户一个,UPN后缀千万不要用wumaoge.cn(因为这个账户认证千万不可以通过ADFS跳转)
通配符公网证书一个,绑定wumaoge.cn(感谢Digicert的赞助)
B:运行Azure AD Connect
选择自定义后,按照默认下一步,我就只说明要注意的地方
1:链接Azure AD 时,千万不要使用wumaoge.cn后缀的管理员账户,建议使用系统默认后缀账户
2:选择新建ADFS场,导入公网证书,在内部DNS服务器上添加A记录,把FS.wumaoge.cn执行ADFS服务器的内部IP(供内部用户登录),在域名提供商那里把FS.wumaoge.cn执行ADFS WAP服务器的公网IP(供外部用户登录)
3:添加ADFS和ADFSWAP服务器(如果考虑高可用,可以选择多个服务器)
最后一只下一步,到最后,点击验证成功后,ADFS服务器部署完毕
总结:通过Azure AD Connect,结合ADFS3.0功能,极大提高了部署效率