本文分兩個部分探討
一:是否有必要部署ADFS服務器
二:怎樣快速部署ADFS
衆所周知,ADFS是全稱是活動目錄聯合認證服務,主要是用於做單點登錄和聯合認證的,在實施Office 365項目的時候往往會因爲ADFS本身的複雜性(需要公網證書,需要至少2臺/考慮高可用4臺服務器,需要複雜的配置),讓人由愛生恨!
好在產品組體恤民情,在最新版本的目錄同步工具Azure AD Connect裏面,做了兩個重大的改進
1:Azure AD Connect可以實現單點登錄功能
2:Azure AD Connect自動配置ADFS3.0
一:使用Azure AD Connect新功能,降低部署ADFS服務器的必要性
通過最新的Azure AD Connect,儘量不要去部署ADFS服務器,我們看看Azure AD Connect最新的功能
其中圈一,我們叫直通模式,通過Azure AD Connect,把Azure AD和本地AD直接打通,當用戶在Azure AD上去認證的時候,後臺直接把認證引向本地AD
傳統的方式,因爲Azure AD和本地AD沒有直接打通,導致需要通過ADFS來跳轉
圈二,通過直通模式,實現統一認證源的單點登錄
通過直通模式這一個新功能,讓我們在一下情況可以不需要考慮ADFS
1:不同步密碼密文
傳統方式因爲不同步密碼,爲了方便一般都會通過ADFS來跳轉到本地AD,現在通過直通模式,直接實現本地AD認證:
2:只實現單點登錄需求
將ADFS的單點登錄功能實現了,無需部署ADFS服務器
3:其他待大家補充
以上情況還需要考慮ADFS
1:聯合認證/本地MFA
和第三方系統做聯合認證,需要依賴於ADFS,另外就是做本地MFA,比如使用賽門鐵克VIP做短信/電話+AD用戶/密碼做雙因素驗證時候,必須要考慮
2:訪問控制等ADFS高級功能
MDM,用戶訪問控制等ADFS自帶的高級功能
3:基於ADFS的身份管理功能二次開發
提供了標準的接口,供開發實現需求
總結:總的說來,密碼不同步和單點登錄這兩個是最常見的需求,已經通過Azure AD Connect實現,極大降低了部署難度。
二:通過Azure AD Connect自動配置ADFS功能,快速部署ADFS3.0
傳統部署ADFS服務器,需要一臺一臺服務器部署,現在通過Azure AD Connect自動配置ADFS功能,可以快速部署,但是需要注意一下事項
1:ADFS需要使用3.0版本,Windows Server 2012R2及Windows Server 2016自帶ADFS3.0
2:Azure AD Connect安裝的服務器,需要Windows Server 2012R2及Windows Server 2016,否則很多功能無法使用
3:ADFS Web Application Proxy(WAP) 服務器一定要加域(不加域會遇到一個已知的BUG,導致配置過程巨複雜,等待產品組修復)
A:準備工作
同步服務器:Windows Server 2012 R2,加域,安裝Azure AD Connect,建議不要在AD服務器上
ADFS服務器:Windows Server 2016,加域,防火牆關閉
ADFS WAP服務器:Windows Server 2016,加域,防火牆關閉
Office 365綁定公網域名wumaoge.cn, 本地AD的UPN後綴修改爲wumaoge.cn,保證Azure AD和本地AD的UPN後綴統一
管理員賬戶一個,UPN後綴千萬不要用wumaoge.cn(因爲這個賬戶認證千萬不可以通過ADFS跳轉)
通配符公網證書一個,綁定wumaoge.cn(感謝Digicert的贊助)
B:運行Azure AD Connect
選擇自定義後,按照默認下一步,我就只說明要注意的地方
1:鏈接Azure AD 時,千萬不要使用wumaoge.cn後綴的管理員賬戶,建議使用系統默認後綴賬戶
2:選擇新建ADFS場,導入公網證書,在內部DNS服務器上添加A記錄,把FS.wumaoge.cn執行ADFS服務器的內部IP(供內部用戶登錄),在域名提供商那裏把FS.wumaoge.cn執行ADFS WAP服務器的公網IP(供外部用戶登錄)
3:添加ADFS和ADFSWAP服務器(如果考慮高可用,可以選擇多個服務器)
最後一隻下一步,到最後,點擊驗證成功後,ADFS服務器部署完畢
總結:通過Azure AD Connect,結合ADFS3.0功能,極大提高了部署效率