office365技术类参考identities and single sign on身份账户的类型

1、Office 365身份账户理解单点登录Agenda理解身份账户身份账户的类型Types of Identities使用情形Usage Scenarios用户单点体验User Sign-On Experience域的类型Types of Domains理解单点登录目的要求安装和配置部署单点登录2理解身份账户3理解身份账户独立于于本地的凭证验证发生在Office 365的目录服务密码策略存储在Office 365无需本地的服务器管理使用和本地一样的的凭证验证发证在本地的目录服务密码策略存储在本地目录服务器需要本地的目录同步服务器需要本地的ADFS服务器云端账户联盟账户理解身份账户5云端账户云端账

2、户+ DirSync联盟账户类型较小的客户没有本地的活动目录拥有本地活动目录的的大中企业拥有本地活动目录的的大企业优点不需要部署本地的服务器“权威源” 是本地环境启用共存单点登录体验“权威源” 是本地环境2 Factor 验证选项启用共存限制没有单点登录没有 2 Factor 验证选项需要管理两套用户账户不同的密码策略没有单点登录没有 2 Factor 验证选项需要管理两套用户账户不同的密码策略需要本地部署目录同步服务器需要本地部署ADFS服务器需要本地部署目录同步服务器理解身份账户6云端账户联盟账户(加入域的计算机)联盟账户(没有加入域的计算机)Microsoft Outlook 2010

3、on Windows 7 在每个会话中登录在每个会话中登录在每个会话中登录Outlook 2007 on Windows 7在每个会话中登录在每个会话中登录在每个会话中登录Outlook 2010 or Outlook 2007 on Windows Vista or Windows XP在每个会话中登录在每个会话中登录在每个会话中登录Exchange ActiveSync在每个会话中登录在每个会话中登录在每个会话中登录POP, IMAP, Microsoft Outlook for Mac 2011在每个会话中登录在每个会话中登录在每个会话中登录Web Experiences: Office

4、 365 Portal / Outlook Web App / SharePoint Online / Office Web Apps在每个WEB会话中登录无提示在每个WEB会话中登录Office 2010 or Office 2007 using SharePoint Online 在每个SharePoint Online会话中登录在每个SharePoint Online会话中登录在每个SharePoint Online会话中登录Lync Online在每个会话中登录无提示在每个会话中登录Outlook for Mac 2011在每个会话中登录在每个会话中登录在每个会话中登录理解身份账户两种

5、域的类型管理域Managed Domain联盟域Federated Domain域的所有权必须预先验证必须使用公共注册的命名空间 (i.e. 不能使用*.local, etc.)添加新域的选项:Office 365的管理界面Office 365中提供的Powershell模块7理解身份账户身份账户是用来访问Office 365服务的前提条件云端账户或者联盟账户添加新帐户的选项:8Office 365管理界面活动目录Exchange 管理工账户管理方案管理界面DirSyncOffice 365 专有PowerShell远程PowerShellPowerShell演示新的管理域9新管理域登录到O3

6、65管理界面选择domains选择Add Domain指定域名选择首选的向导添加验证的DNS记录验证域新管理域启动Office 365的 PowerShell 链接到web service添加new domain得到验证的DNS 记录添加验证的DNS记录验证域11演示新的云端账户12登录到管理界面选择users and groups点击“+”来添加新用户设置用户详细信息分配用户角色和地域分配用户许可证 创建用户完成新云端账户新云端账户通过远程的PowerShell连接到Exchange Online创建新的邮件启用的用户创建新的邮箱启用的用户14理解单点登录15目的用户使用单一的用户名和密码访

7、问本地和云端的组织提供给用户熟悉的单一登录体验允许管理员通过本地活动目录的工具来控制云端组织的账户策略16优点策略控制访问控制降低支持的请求安全性支持加强的验证 (WS.10).aspx17要求Windows Server 2008 or Windows Server 2008 R2PowerShellWeb 服务器 (IIS).Net 3.5 SP1Windows Identity Foundation注册的公有域名18要求SSL 证书Office 365 PowerShell模块Microsoft Online Sign In Assistant高可用性部署19Office 365 桌面安

8、装安装连接Office 365所需系统和客户端软件更新自动配置需要和Office 365一起工作的游览器和富客户端注意: Office 365 桌面安装程序并非一个验证或者登录的服务20Microsoft Online 登录助手可以通过Office 365桌面安装程序或者手动安通过从Office 365获取一个安全口令并且返还给客户端的方式提供验证支持 (e.g. Lync)Kiosk的用户无需安装 (e.g. OWA)本地计算机需要安装来连接到Office 365 (e.g. DirSync, Exchange, ADFS, PowerShell)21演示安装和配置22安装Click Yes

9、 at the user account control promptClick NextClick “I accept the terms in the License Agreement” check boxSelect Federation ServerClick NextWait for installation wizard to completeClick Finish23配置Open ADFS 2.0 MMC and start configuration wizardCreate a new federation serviceSelect certificate and sp

10、ecify service domain nameSpecify service accountWait for configuration wizard to complete24演示新联盟域2526新联盟域Launch PowerShell and import MSOnline moduleConnect to web serviceSet ADFS contextAdd new domainGet verification DNS recordWork with DNS administrator to add verification DNS recordVerify new dom

11、ain27本地新联盟域 发生了什么？启动MSOnline Powershell 模块将 PowerShell 连接到Office 365 和ADFS server执行New-MsolFederatedDomain 命令添加域名验证记录再次执行New-MsolFederatedDomain命令Identity ServicesProvisioningplatformActive Directory Federation Server 2.0TrustDirectoryStoreAdmin Portal/PowerShellAuthentication platformMSOL PowerShel

12、l ModuleOffice 365Add DomainRequiredTXT/MX RecordAdd TrustClaim RulesUser Source ID = AD ObjectGUIDVerify-DomainActive/Mex/PassiveToken certs Current/NextBrand URI etcUpdate协议和客户终端28协议Office 365 使用 Web Services (WS-*)WS-Trust 提供针对富客户端的验证支持身份账户联盟只能通过ADFS 2.0支持的协议WS-*, SAML1.1(SAML1.1 口令)SAML-P (SAML

13、2.0) 平台支持强验证的解决方案 (2FA) Web 程序通过 ADFS代理服务器的登陆也或者其他的代理 (UAG/TMG)富客户端依赖于配置29客户终端Active Federation (MEX)应用于富客户端来支持ADFS被Lync 和Office订阅客户端使用客户端直接和本地的ADFS服务器做协商验证Basic Authentication (Active Profile)应用于使用Basic Authentication的客户端被ActiveSync, Outlook 2007/2010, IMAP, POP, SMTP, 和Exchange Web Services所使用客户端通

14、过SSL发送“basic authentication” 凭证给Exchange Online. Exchange Online 以客户端的身份讲请求发送给本地的ADFS 服务器Passive Federation (Passive Profile)应用于游览器和通过SharePoint Online打开的文档被Microsoft Online Portal, OWA, 和SharePoint Online所使用Web (游览器)客户端直接和本地的ADFS服务器做协商验证30客户终端31验证过程 MEX Profile32CustomerMicrosoft Online ServicesUse

15、r Source IDLogon (SAML 1.1) Token Source User ID: ABC123Auth Token Unique ID: 254729验证过程 Active Profile33CustomerMicrosoft Online ServicesUser Source IDLogon (SAML 1.1) Token Source User ID: ABC123Auth Token Unique ID: 254729Basic Auth CredentilasUsername/Password验证过程 Passive Profile34CustomerMicros

16、oft Online ServicesUser Source IDLogon (SAML 1.1) Token Source User ID: ABC123Auth Token Unique ID: 254729演示使用ADFS终端进行访问控制添加5种Claim类型Launch ADFS 2.0 Management Console, browse to Claims Provider Trusts, and Edit Claim RulesAdd new ruleSelect “Pass through or filter an ing claim” templateProvide rule

17、 name and typeRepeat for all 5 claim types36分发授权规则Launch ADFS 2.0 Management Console, browse to Relying Party Trusts, and Edit Claim RulesAdd new Issuance Authorization RuleSelect “Send claims using a custom rule” templateAdd rule name and custom rule syntax37部署考量38部署架构单一内部/代理服务器因为不是高可用性因此不是最推荐Basic

18、 Authentication (Active Profile) 终端要求部署ADFS代理服务器2台以上内部/代理服务器+负责平衡设备39Perimeter NetworkADFS 2.0ProxyActiveDirectoryADFS 2.0ADFS 2.0ADFS 2.0ProxyLoad balancerLoad balancerInternal NetworkBasic Authentication (Active Profile)Passive Federation (Passive Profile)部署架构40用户数最少的服务器数量少于1,000 用户1 台联盟服务器1 台联盟代理

19、服务器1,000 到 15,000 用户2台联盟服务器2台联盟代理服务器15,000 到 60,000 用户在3到5台联盟服务器至少2台联盟代理服务器部署拓扑ADFS能够使用 Windows Internal Database 或 SQLWID 每个farm最多支持5台服务器has a limit of 5 servers per farmSQL没有限制配置成为ADFS Farm的时候WID 通过拉复制来支持基本的数据库冗余主服务器负责读/写复制次要服务器每五分钟检查更新如果主服务器失败，所有的次要服务器继续工作次要服务器能够成为主服务器SQL服务器支持故障转移群集或者镜像41UPN部署的考量用户对象的UPN在本地活动目录域中有值UPN域名后缀必须和在Office 365上面验证的域匹配默认的域(e.g. )自动添加成为一个验证域并且会作为用户的UPN后缀如果无法找到一个匹配的验证域用户必须使用UPN的方式登录到Office 365不支持domainusernameUPN 必须包含合法字符Office 365 Deployment Readiness 工具可以用来检测本地活动目录用户是否包含合法用户42问题?43 2012 Microsoft Corporatio