ADFS mit Office 365
Diese Seite beschreibt die Einrichtung der Anmeldung an Office 365 per ADFS. Voraussetzung ist dazu die funktionsfähige Bereitstellung von ADFS 2.0 Setup oder ADFS 2012R2.
How To Install ADFS 2012 R2 für Office 365
http://blogs.technet.com/b/rmilne/archive/2014/04/28/how-to-install-adfs-2012-r2-for-office-365.aspx
Office 365 Single Sign On
einrichten (1): ADFS und
Verzeichnissynchronisierung
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-1-adfs-und-verzeichnissynchronisierung
Office 365 Single Sign On einrichten (2): ADFS
Proxy und SSL Zertifikate einrichten
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-2-adfs-proxy-und-ssl-zertifikate-einrichten
Office 365 Single Sign On einrichten (3) Client
Einrichtung in der Domäne
http://technet.microsoft.com/en-us/edge/video/office-365-single-sign-on-einrichten-3-client-einrichtung-in-der-domane
Wichtig: Client Vorbereitung
Damit die Clients auch sauber mit ADFS zusammenarbeiten können, müssen Sie unbedingt auf allen Clients auch das Office 365 Desktop Setup ausführen. Das Setup aktualisiert lokale Komponenten, die zu alt sind und stellt einige Registrierungsschlüssel ein, damit die Office 365-URLs auch den entsprechenden Vertrauensstatus haben.
Dieses Setup sollten Sie auch auf dem ADFS-Server durchführen.
Verbindung mit Office 365
Die Installation des ADFS-Service in ihrem LAN ist natürlich nur die halbe Funktion. Nun müssen Sie noch Office 365 "Bescheid" geben, welche Domäne sich per ADFS authentifiziert. Das geht nur per Office 365 PowerShell und ich mache das am einfachsten auf dem primären ADFS-Server selbst.
Voraussetzung ist, das auf dem
PC auch der "Microsoft Online Services Assistant
7.0" oder höher installiert ist. Das Setup weist
Sie aber darauf hin
Microsoft Online Services Sign-In Assistant für IT Professionals RTW
http://www.microsoft.com/en-us/download/details.aspx?id=28177
„Windows Azure Active
Directory-Modul für Windows PowerShell“
32bit
http://go.microsoft.com/fwlink/?linkid=236345
64bit
http://go.microsoft.com/fwlink/?linkid=236293
Hinweis
Auf Windows 2008 SP2 (nicht R2) müssen Sie die
Commandlets "remote" ausführen und dazu
PowerShell remote aktiviert haben. Siehe auch
2587730 The connection to
Im wesentlichen wird dabei die Domäne in Office 365 für ADFS aktiviert und die URL und das Zertifikat hinterlegt. Die URLs sind wichtig, weil Office 365 den Client dort hin verweist. Office 365 selbst greift nicht auf die URLs zu.
# Die folgenden Befehle muessen in der Office 365 PowerShell eingegeben werden. # eingeben der O365 Admin Credentials $cred=Get-Credential # Verbinden mit Office 365 Connect-MsolService ` -Credential $cred # Anzeigen bestehender Domains Get-MsolDomainFederationSettings ` -DomainName msxfaq.de # Verbinden mit dem ADFS-Server Set-MsolAdfscontext ` -Computer <FQDN des ADFS primäry server> # bestehende Domain für ADFS konvertieren Convert-MsolDomainToFederated ` -DomainName msxfaq.de # dieser Schritt laedt auch das Zertifikat hoch. Get-MsolDomainFederationSettings ` -DomainName msxfaq.de ActiveLogOnUri : https://adfsticket.msxfaq.de/adfs/services/trust/2005/Usernamemixed FederationBrandName : adfsticket.msxfaq.de IssuerUri : http://adfsticket.msxfaq.de/adfs/services/trust LogOffUri : https://adfsticket.msxfaq.de/adfs/ls/ MetadataExchangeUri : https://adfsticket.msxfaq.de/adfs/services/trust/mex NextSigningCertificate : PassiveLogOnUri : https://adfs.msxfaq.de/adfs/ls/ SigningCertificate : MIIC3jCCAcagAwIBAgIQL2Wk0mxk0KFPCDYPnBAQsFADAr Lm5ldGF0d29yay5kZTAeFw0xMjAxMDUxxMDQx2MTNaMCsx bmV0YXR3b3JrLmRlMIIBIjANBgkqhkiG9w0BAQEFAAOCQk PQcOI0T82MvTYdCGfNNnT7w41PZ53wanrkPwMweub1wmjF BEg6WYuyTxskjSXZJD7FleYCaBNoIuFH0X4s98aWOOzrAF Acz2TzLh28wMP5NhDVz4HIwvhAWFbhysqDllYKFJ32JPwh # Update einer bestehenden Konfiguration auf ein neues Zertifikat oder einen neuen ADFS-Server Update-MSOLFederatedDomain ` -DomainName:msxfaq.de
NOTE: This conversion
process can take up to 24 hours to complete.
Microsoft recommends that this operation is
performed over a weekend.
Quelle:
https://community.office365.com/en-us/w/sso/357?ss=60887805-f42b-4c1a-99fc-16471b056e9e
Und wenn alles richtig eingestellt ist, sollten Sie in Office 365 auch sehen, dass ihre Domäne "live" ist:
Wenn nun noch ihr ADFS-Server entsprechende Tokens ausstellt. Siehe dazu auch Office 365 ADFS Intern.
- Install and configure the Microsoft Online
Services Module für Windows PowerShell für Single
Sign-on
http://onlinehelp.microsoft.com/en-us/Office365-enterprises/ff652560.aspx - Set up a trust between AD FS
and Windows Azure AD
http://technet.microsoft.com/en-us/library/jj205461.aspx
Weitere Links
- IIS7 SSL einrichten
-
2587730 The connection to
Active Directory Federation Services 2.0 server failed" error when you use the Set-MsolADFSContext cmdlet -
How to publish AD FS 2.0
endpoints on to the internet using Microsoft ISA or TMG
http://community.office365.com/en-us/wikis/sso/293.aspx - Plan für and deploy Active
Directory Federation Services
2.0 für use with single sign-on
http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652539.aspx - Appendix A: Reviewing AD FS
2.0 Requirements
http://technet.microsoft.com/de-de/library/ff678034(WS.10).aspx - Prepare für single sign-on
http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652540.aspx - Plan für and deploy Active
Directory Federation Services
2.0 für use with single sign-on
http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652539.aspx - Single sign-on: Roadmap
http://onlinehelp.microsoft.com/en-us/office365-enterprises/hh125004.aspx - How to pilot single sign-on
in a production User forest
http://community.office365.com/en-us/w/sso/357.aspx - Office 365 Single Sign On
einrichten (1): ADFS und
Verzeichnissynchronisierung
http://technet.microsoft.com/de-de/edge/Video/gg980933 - Office 365 Single Sign On
einrichten (2): ADFS Proxy und
SSL Zertifikate einrichten
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-2-adfs-proxy-und-ssl-zertifikate-einrichten - Office 365 Single Sign On
einrichten (3):
Client-Einrichtung in der Domäne
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-3-client-einrichtung-in-der-domane - AD FS 2.0 Content Map
http://social.technet.microsoft.com/wiki/contents/articles/2735.aspx - Understanding Key Concepts
Before You Deploy AD FS 2.0
http://technet.microsoft.com/en-us/library/ee913566(WS.10).aspx - Plan für and deploy Active
Directory Federation Services
2.0 für use with single sign-on
http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652539.aspx - Office 365 Hybrid
Configuration Certificate
Planning–ADFS, Exchange Web
Services, OWA, OA??
http://blogs.technet.com/b/neiljohn/archive/2011/08/25/office-365-hybrid-configuration-certificate-planning-adfs-exchange-web-services-owa-oa.aspx - AD FS 2.0 Step-by-Step and
How To Guides
http://technet.microsoft.com/en-us/library/adfs2-step-by-step-guides(WS.10).aspx - Understanding Key Concepts
Before You Deploy AD FS 2.0
http://technet.microsoft.com/en-us/library/ee913566(WS.10).aspx - Office 365 & ADFS Federation
Design Considerations
http://www.agileit.com/Blog/Lists/Posts/Post.aspx?ID=840
Office 365 eigene Domäne
einrichten
http://technet.microsoft.com/de-de/edge/video/office-365-eigene-domane-einrichten
Office 365 Single Sign On
einrichten (1): ADFS und
Verzeichnissynchronisierung
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-1-adfs-und-verzeichnissynchronisierung
Office 365 Single Sign On einrichten (2): ADFS
Proxy und SSL Zertifikate einrichten
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-2-adfs-proxy-und-ssl-zertifikate-einrichten
Office 365 Single Sign On einrichten (3) Client
Einrichtung in der Domäne
http://technet.microsoft.com/en-us/edge/video/office-365-single-sign-on-einrichten-3-client-einrichtung-in-der-domane
Active Directory Federation
Services,Part 1: How Do They Really Work
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM402
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM403
- Office 365-Active Directory
Federation-Single-Sign On
http://www.himmlische-it.de/news/office-365-active-directory-federation-single-sign-on/