O365結合ADFS限制用戶登錄地址 (二) - 安裝AAD Connect
首先來講一下ADFS大概的架構,一般來說在生產環境,我們是推薦將ADFS部署成FARM的,也就是通過多臺ADFS共同承載流量,ADFS本身是要面向公網的,身份驗證的請求會從AAD轉到ADFS,這樣就會產生ADFS直接暴露在公網的問題,所以在生產環境我們還會推薦部署ADFS Proxy,將Proxy放在ADFS前承載流量,這樣可以把後端整個ADFS和AD環境保護起來。一般推薦的部署方式如下表所示
角色 | 推薦部署方式 | 推薦部署位置 |
DC | 推薦>1 | 域控,部署在內網 |
ADFS | 推薦>1 | 加域,部署在內網 |
ADFS Proxy | 推薦>1 | 一般不加域,部署在DMZ |
總體來說需要部署的角色其實並不多,也不會太過復雜,本次環境中使用部署方式如下表所示,因為並非生產環境,只是做Poc,所以部署的都是單點的
角色 | OS | 部署方式 | 部署位置 |
DC | Windows Server 2012 R2 | 1臺 | 域控,部署在內網 |
ADFS | Windows Server 2012 R2 | 1臺 | 加域,部署在內網 |
ADFS Proxy | Windows Server 2012 R2 | 1臺 | 不加域,部署在DMZ |
ADFS的部署其實之前的blog裏已經介紹過了,那個時候部署ADFS感覺步驟非常多,還非常容易出錯,但是過去這麽久之後微軟推出了一種新的部署方式,將ADFS的部署過程大大地簡化了,稱之為傻瓜式部署也不為過,基本上點點鼠標就能搞定了,下邊來介紹下如何部署
現在部署ADFS時我們已經可以通過AAD Connect來實現,ADFS以及Proxy的部署都已經整合到了AAD Connect中作為一個選項來提供(實際上只是提供了通過各種腳本快速部署的方式,如果想單獨部署ADFS,依然可以通過Windows Server裏的向導實現)
AAD Connect的作用不過多介紹了,之前用過Dir sync的基本都知道,以前的博客裏也介紹過Dir sync,可以理解AAD Connect就是將本地AD與AAD集成的一種工具,AAD Connect一般不推薦部署到DC上,推薦部署到一臺加域的服務器中即可,如果用戶規模不大的話可以考慮單點
AAD Connect 介紹
https://docs.microsoft.com/zh-cn/azure/active-directory/connect/active-directory-aadconnect
AAD Connect 1.1.647.0 下載
https://www.microsoft.com/en-us/download/details.aspx?id=47594
1.下載AAD Connect之後雙擊打開,下一步
2.同意條款
3. 這裏選擇自定義的配置,因為我們需要部署很多組件
4.直接點擊安裝,直接使用默認的SQL Express數據庫即可,一般情況下還不會用到其他版本的SQL Server
5.安裝中
6.這裏選擇與ADFS做聯盟
7.這裏會連接到你的AAD中,所以要輸入你的O365 Global Admin賬號
8.添加需要的域
9.輸入本地AD管理員的信息,連接到本地AD
10.添加完成
11.這裏可以選擇篩選要同步的OU,默認是所有的OU都會被同步,如果有一些信息是不想或者不需要同步到AAD的,那麽可以在這裏進行篩選
12.這裏選擇標識用戶的方法,source anchor是AAD Connect裏很重要的一個概念,一般來說這裏推薦使用默認的配置
13.這裏選擇要篩選的用戶
14.之後在可選的功能這裏,可以設置密碼同步,這樣用戶的密碼也可以被同步到AAD中
到這裏AAD Connect的安裝就差不多了,如果沒部署ADFS的話點擊下一步差不多就會自動安裝AAD Connect,然後開始進行同步了
但是因為我們要部署ADFS,所以這還不算完!後邊重點來介紹ADFS以及Proxy的部署
O365結合ADFS限制用戶登錄地址 (二) - 安裝AAD Connect