ADFS mit Office 365

Diese Seite beschreibt die Einrichtung der Anmeldung an Office 365 per ADFS. Voraussetzung ist dazu die funktionsfähige Bereitstellung von ADFS 2.0 Setup oder ADFS 2012R2.

How To Install ADFS 2012 R2 für Office 365
http://blogs.technet.com/b/rmilne/archive/2014/04/28/how-to-install-adfs-2012-r2-for-office-365.aspx

Office 365 Single Sign On einrichten (1): ADFS und Verzeichnissynchronisierung
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-1-adfs-und-verzeichnissynchronisierung
Office 365 Single Sign On einrichten (2): ADFS Proxy und SSL Zertifikate einrichten
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-2-adfs-proxy-und-ssl-zertifikate-einrichten
Office 365 Single Sign On einrichten (3) Client Einrichtung in der Domäne
http://technet.microsoft.com/en-us/edge/video/office-365-single-sign-on-einrichten-3-client-einrichtung-in-der-domane

Wichtig: Client Vorbereitung

Damit die Clients auch sauber mit ADFS zusammenarbeiten können, müssen Sie unbedingt auf allen Clients auch das Office 365 Desktop Setup ausführen. Das Setup aktualisiert lokale Komponenten, die zu alt sind und stellt einige Registrierungsschlüssel ein, damit die Office 365-URLs auch den entsprechenden Vertrauensstatus haben.

Dieses Setup sollten Sie auch auf dem ADFS-Server durchführen.

Verbindung mit Office 365

Die Installation des ADFS-Service in ihrem LAN ist natürlich nur die halbe Funktion. Nun müssen Sie noch Office 365 "Bescheid" geben, welche Domäne sich per ADFS authentifiziert. Das geht nur per Office 365 PowerShell und ich mache das am einfachsten auf dem primären ADFS-Server selbst.

Voraussetzung ist, das auf dem PC auch der "Microsoft Online Services Assistant 7.0" oder höher installiert ist. Das Setup weist Sie aber darauf hin

Microsoft Online Services Sign-In Assistant für IT Professionals RTW
http://www.microsoft.com/en-us/download/details.aspx?id=28177

„Windows Azure Active Directory-Modul für Windows PowerShell“
32bit http://go.microsoft.com/fwlink/?linkid=236345
64bit http://go.microsoft.com/fwlink/?linkid=236293

Hinweis
Auf Windows 2008 SP2 (nicht R2) müssen Sie die Commandlets "remote" ausführen und dazu PowerShell remote aktiviert haben. Siehe auch
2587730 The connection to Active Directory Federation Services 2.0 server failed" error when you use the Set-MsolADFSContext cmdlet

Im wesentlichen wird dabei die Domäne in Office 365 für ADFS aktiviert und die URL und das Zertifikat hinterlegt. Die URLs sind wichtig, weil Office 365 den Client dort hin verweist. Office 365 selbst greift nicht auf die URLs zu.

# Die folgenden Befehle muessen in der Office 365 PowerShell eingegeben werden.

# eingeben der O365 Admin Credentials
$cred=Get-Credential

# Verbinden mit Office 365
Connect-MsolService `
   -Credential $cred

# Anzeigen bestehender Domains
Get-MsolDomainFederationSettings `
   -DomainName msxfaq.de

# Verbinden mit dem ADFS-Server
Set-MsolAdfscontext `
   -Computer <FQDN des ADFS primäry server>

# bestehende Domain für ADFS konvertieren
Convert-MsolDomainToFederated `
   -DomainName msxfaq.de

# dieser Schritt laedt auch das Zertifikat hoch.

Get-MsolDomainFederationSettings `
   -DomainName msxfaq.de


ActiveLogOnUri         : https://adfsticket.msxfaq.de/adfs/services/trust/2005/Usernamemixed
FederationBrandName    : adfsticket.msxfaq.de
IssuerUri              : http://adfsticket.msxfaq.de/adfs/services/trust
LogOffUri              : https://adfsticket.msxfaq.de/adfs/ls/
MetadataExchangeUri    : https://adfsticket.msxfaq.de/adfs/services/trust/mex
NextSigningCertificate :
PassiveLogOnUri        : https://adfs.msxfaq.de/adfs/ls/
SigningCertificate     : MIIC3jCCAcagAwIBAgIQL2Wk0mxk0KFPCDYPnBAQsFADAr
                         Lm5ldGF0d29yay5kZTAeFw0xMjAxMDUxxMDQx2MTNaMCsx
                         bmV0YXR3b3JrLmRlMIIBIjANBgkqhkiG9w0BAQEFAAOCQk
                         PQcOI0T82MvTYdCGfNNnT7w41PZ53wanrkPwMweub1wmjF
                         BEg6WYuyTxskjSXZJD7FleYCaBNoIuFH0X4s98aWOOzrAF
                         Acz2TzLh28wMP5NhDVz4HIwvhAWFbhysqDllYKFJ32JPwh

# Update einer bestehenden Konfiguration auf ein neues Zertifikat oder einen neuen ADFS-Server

Update-MSOLFederatedDomain `
   -DomainName:msxfaq.de

NOTE:  This conversion process can take up to 24 hours to complete.  Microsoft recommends that this operation is performed over a weekend.
Quelle: https://community.office365.com/en-us/w/sso/357?ss=60887805-f42b-4c1a-99fc-16471b056e9e

Und wenn alles richtig eingestellt ist, sollten Sie in Office 365 auch sehen, dass ihre Domäne "live" ist:

Wenn nun noch ihr ADFS-Server entsprechende Tokens ausstellt. Siehe dazu auch Office 365 ADFS Intern.

Weitere Links

Office 365 eigene Domäne einrichten
http://technet.microsoft.com/de-de/edge/video/office-365-eigene-domane-einrichten

Office 365 Single Sign On einrichten (1): ADFS und Verzeichnissynchronisierung
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-1-adfs-und-verzeichnissynchronisierung
Office 365 Single Sign On einrichten (2): ADFS Proxy und SSL Zertifikate einrichten
http://technet.microsoft.com/de-de/edge/video/office-365-single-sign-on-einrichten-2-adfs-proxy-und-ssl-zertifikate-einrichten
Office 365 Single Sign On einrichten (3) Client Einrichtung in der Domäne
http://technet.microsoft.com/en-us/edge/video/office-365-single-sign-on-einrichten-3-client-einrichtung-in-der-domane

Active Directory Federation Services,Part 1: How Do They Really Work
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM402
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/SIM403