Office 365实现单点登录系列(5)

这是单点登录系列的最后一篇文章，前面4篇文章其实都是在为这篇文章的内容做准备，我把这四篇文章的链接放在下面，如果大家有需要，可以参考我以下的链接：

话不多说，直接为大家演示实现单点登录的步骤~

1.安装Azure AD PowerShell

要实现单点登录功能，我们需额外安装Azure AD PowerShell，安装指导和安装包下载参考以下链接

http://connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185

2. 添加 DNS 记录

在 Office 365 管理员界面绑定域名.

（PS:由于不是这个系列探讨的重点，所以这里不详细介绍域名绑定的流程了，如果大家在绑定过程中遇到了困难，可以给我留言~)

3.配置单点登录

打开 PowerShell for Windows Azure AD，输入 connect-MsolService 连接到 Azure AD。此 cmdlet 将你连接到云服务。输入 Office 365 管理员账户和密码，连接到 Azure AD。

这里注意：如果是由21V世纪互联运营的Azure（又称Mooncake），使用 PowerShell for Windows Azure AD 连接 Azure AD 时候，不可以直接输入 connect-MsolService（会连接到 Global O365），而应该使用 connect- MsolService-AzureEnvironment china

输入 Get-MsolDomain 查看现在绑定的域名。

运行 Set-MsolAdfscontext -Computer <AD FS primary server>，其中 <AD FS primary server> 是主 AD FS 服务器的内部 FQDN 名称。此 cmdlet 创建将你连接到 AD FS的上下文。如果已在主 AD FS 服务器上安装了 Microsoft Azure Active Directory 模块，则不需要运行此 cmdlet。

运行 Convert-MsolDomainToFederated –DomainName <domain>，其中，<domain>是要转换的域,如 lipiaoliang.top,该 cmdlet 会将域从标准身份验证更改为单一登录。

这里注意：如果全局管理员的账号已经是 lipiaoliang.top 则无法转换，需要使用一个Office 365 默认的 onmicrosoft.com 的全局管理员账号。

输入 get-msoldomain 来验证我们已经将 lipiaoliang.top 转换成联合域。

由于 ADFS 服务器是 Win Server 2016，在 Windows PowerShell for WindowsAzure Active Directory上运行 Set- AdfsProperties –EnableIdpInitiatedSignonPage $True 命令行，才可以成功配置单点登录。

在 AD DC 服务器上的 DNS 上配置 A 记录，输入 AD FS 对应的内网 IP 地址。

输入 https://<domain name>/adfs/ls/idpinitiatedsignon.aspx 测试是否可以登录，如果可以，说明 AD FS 配置成功。比如，这里我们访问的就是https://lipiaoliang.top/adfs/ls/idpinitiatedsignon.aspx

使用本地 AD 信息登录 Office 365，将会展现出一下的界面，提示重新定位到组织的登录界面。

由于我们是外网接入，需要输入域控服务器的用户名和密码，与域控服务器（本地 Active Directory）进行连接。

输入用户密码后成功登陆 Office 365。

这里额外说一下，如果本地配置了客户端，在登录客户端的时候，可能会出现报错的情况，这是由于没有在DNS记录中添加客户端对应的Cname记录，以及ADFS默认登录方式的选择上，如下图：默认情况下，内网走的是Windows Auth，我们需要把Intranet对应的修改为Form Auth；并且添加相应的CName记录。

结语

至此我们就把单点登录这一个系列更新完啦，我花费了5个篇幅和大家去分享Office 365单点登录的整个过程，包括在Azure上配置环境、安装Azure AD Connect、使用Azure AD Connect进行目录同步、安装AD FS服务器、配置单点登录这些过程，希望对大家有所帮助和启发，也欢迎大家与我交流。由于本人文笔有限，才疏学浅，文中若有不正之处，还请多多指教。