O365結合ADFS限制用戶登錄地址 (三) - 部署ADFS及Proxy
1.在AAD Connect向導裏,首先我們需要創建一個新的ADFS的FARM,然後提供ADFS使用的證書
2.選擇好使用的證書
3.將ADFS服務器加入到FARM裏
4.之後部署ADFS Proxy,因為Proxy不加域,首先在Proxy上添加DNS後綴,在DNS上添加Proxy的DNS記錄
5.在Proxy Servers這裏添加Proxy這臺服務器
6.這裏有個小坑,你可能會發現下邊會報出WIN RM無法連接的錯
7.要解決這個問題其實也不難,需要手動配置下服務器,因為本身部署ADFS或者Proxy也是通過WIN RM來遠程執行PowerShell,如果是加域的話可以走kerberos認證,把WINRM服務開啟後,端口正常監聽,防火墻沒問題就可以通過了,但是如果是不加域的機器,就需要通過設置白名單的方式來實現遠程PowerShell了,首先開啟WINRM服務
通過命令Enable-PSRemoting -Force
8.可以看到服務已經正常開啟了
9.服務開啟後註意還需要添加白名單,步驟按照圖裏的執行即可
10.最後還需要註意你的網卡類型,這個搞不好也會坑到你,完成後再次執行向導,可以看到已經能正常連接了
11.之後輸入你的Domain admin的密碼,他會被用來執行一些腳本配置等
12.這裏配置Service Account,需要輸入你的enterprise account
13.接下來選擇需要做聯盟的域,點擊next
14.開始配置,等待結束即可
15.部署完成後,可以看到賬戶已經被同步到O365中(O365需要提前開啟AD同步,可以手動在portal配置,也可以通過Set-MsolDirSyncEnabled -EnableDirSync $true實現,過程不演示了,比較簡單)
16.之後可以測試下,登陸O365 Portal,輸入域賬號登陸
17.可以看到已經在重定向了
18.這裏可以看到如果是本地AD頒發的證書,這裏是會報信任錯誤的
19.成功跳轉到ADFS Proxy,輸入本地AD的賬號密碼
20.登陸成功!
21.同時如果是登陸失敗的,在ADFS的Log也是可以看到的,ADFS的審核Log有些是需要手動開啟的,這裏暫時不說了
基本的配置就是這樣了,對比以前的部署過程,現在已經可以算是省去了絕大部分時間了!後邊會介紹如何使用ADFS實現我們限制用戶登錄行為的目標
O365結合ADFS限制用戶登錄地址 (三) - 部署ADFS及Proxy