O365結合ADFS限制用戶登錄地址 (一) - 開篇介紹
雲服務的一個很大的優勢就是開箱即用,省去了很多部署的步驟,但是相對應的,有一些在本地可以控制的東西,但因為雲的基礎架構本身是用戶觸碰不到的,所以上雲之後可能就沒辦法像本地一樣能夠完全掌控全局了。
當然絕大部分用戶希望能控制的內容,雲廠商都會出相應的接口把控制的權限交給用戶,有一些本身雲服務不方便做的,也可以結合一些其他產品來實現。比如今天要介紹的O365結合ADFS,ADFS本身並不神秘,這個產品出現到現在已經過了10年以上的時間了(沒記錯的話),通常來說我們會使用它來做一些聯合的身份驗證,比如說不同的域之間要控制一些訪問的權限等
ADFS本身的功能不做過多的介紹了,很多人基本都已經知道了,O365結合ADFS其實也很常見,通常來說有一些企業上雲之後希望把訪問控制的權限依然放在本地,不希望使用AAD來驗證用戶的身份,這對於很多大企業來說很有可能是不合規的,這種情況下我們都會使用ADFS來將身份驗證的請求轉回本地,使用本地的AD驗證用戶的身份,然後再將消息轉給AAD,來完成最終身份驗證的過程,這是ADFS最基本的使用方法
但是實際上ADFS還有很多其他的功能,我們可以根據自己的需求在ADFS上編輯各種各樣的rules來限制用戶的訪問,今天要介紹的就是其中一種用法,有些客戶使用O365之後希望員工只能在辦公室裏訪問自己的郵件,這種需求其實也好辦,在DNS上做做手腳大概的需求就能實現了,但是如果說希望有些組可能不受限制的訪問,大部分員工只能在辦公室訪問,這種怎麽搞?
這就需要用到ADFS+O365的方式了。這也是這個系列的博客主要介紹的內容,通過ADFS+O365實現控制某些組可以不受限制的訪問O365,某些組是只能在特地條件下訪問,這就是我們需要實現的。
需要用到的資源包括
1:國內版O365訂閱
2:國內版Azure訂閱(用來部署ADFS,本地也可以,但是需要有公網IP)
3:公網證書一張(用於ADFS和ADFS Proxy,自簽名的在外網沒導入過根證書,沒測試過,推薦公網證書)
大概的結構圖如下:
另外環境中ADFS使用的是Windows Server 2012 R2的,如果是Windows Server 2016 有可能會不一樣,這個要註意
O365結合ADFS限制用戶登錄地址 (一) - 開篇介紹