O365结合ADFS限制用户登录地址 (二) - 安装AAD Connect
开篇简单介绍了我们要做的事,和需要准备的东西,相信基本上还是可以看的明白的,下边进入主题,我们来看一下如何部署ADFS
首先来讲一下ADFS大概的架构,一般来说在生产环境,我们是推荐将ADFS部署成FARM的,也就是通过多台ADFS共同承载流量,ADFS本身是要面向公网的,身份验证的请求会从AAD转到ADFS,这样就会产生ADFS直接暴露在公网的问题,所以在生产环境我们还会推荐部署ADFS Proxy,将Proxy放在ADFS前承载流量,这样可以把后端整个ADFS和AD环境保护起来。一般推荐的部署方式如下表所示
角色 | 推荐部署方式 | 推荐部署位置 |
DC | 推荐>1 | 域控,部署在内网 |
ADFS | 推荐>1 | 加域,部署在内网 |
ADFS Proxy | 推荐>1 | 一般不加域,部署在DMZ |
总体来说需要部署的角色其实并不多,也不会太过复杂,本次环境中使用部署方式如下表所示,因为并非生产环境,只是做Poc,所以部署的都是单点的
角色 | OS | 部署方式 | 部署位置 |
DC | Windows Server 2012 R2 | 1台 | 域控,部署在内网 |
ADFS | Windows Server 2012 R2 | 1台 | 加域,部署在内网 |
ADFS Proxy | Windows Server 2012 R2 | 1台 | 不加域,部署在DMZ |
ADFS的部署其实之前的blog里已经介绍过了,那个时候部署ADFS感觉步骤非常多,还非常容易出错,但是过去这么久之后微软推出了一种新的部署方式,将ADFS的部署过程大大地简化了,称之为傻瓜式部署也不为过,基本上点点鼠标就能搞定了,下边来介绍下如何部署
现在部署ADFS时我们已经可以通过AAD Connect来实现,ADFS以及Proxy的部署都已经整合到了AAD Connect中作为一个选项来提供(实际上只是提供了通过各种脚本快速部署的方式,如果想单独部署ADFS,依然可以通过Windows Server里的向导实现)
AAD Connect的作用不过多介绍了,之前用过Dir sync的基本都知道,以前的博客里也介绍过Dir sync,可以理解AAD Connect就是将本地AD与AAD集成的一种工具,AAD Connect一般不推荐部署到DC上,推荐部署到一台加域的服务器中即可,如果用户规模不大的话可以考虑单点
AAD Connect 介绍
https://docs.microsoft.com/zh-cn/azure/active-directory/connect/active-directory-aadconnect
AAD Connect 1.1.647.0 下载
https://www.microsoft.com/en-us/download/details.aspx?id=47594
1.下载AAD Connect之后双击打开,下一步
2.同意条款
3. 这里选择自定义的配置,因为我们需要部署很多组件
4.直接点击安装,直接使用默认的SQL Express数据库即可,一般情况下还不会用到其他版本的SQL Server
5.安装中
6.这里选择与ADFS做联盟
7.这里会连接到你的AAD中,所以要输入你的O365 Global Admin账号
8.添加需要的域
9.输入本地AD管理员的信息,连接到本地AD
10.添加完成
11.这里可以选择筛选要同步的OU,默认是所有的OU都会被同步,如果有一些信息是不想或者不需要同步到AAD的,那么可以在这里进行筛选
12.这里选择标识用户的方法,source anchor是AAD Connect里很重要的一个概念,一般来说这里推荐使用默认的配置
13.这里选择要筛选的用户
14.之后在可选的功能这里,可以设置密码同步,这样用户的密码也可以被同步到AAD中
到这里AAD Connect的安装就差不多了,如果没部署ADFS的话点击下一步差不多就会自动安装AAD Connect,然后开始进行同步了
但是因为我们要部署ADFS,所以这还不算完!后边重点来介绍ADFS以及Proxy的部署
转载于:https://blog.51cto.com/mxyit/2071506
O365结合ADFS限制用户登录地址 (二) - 安装AAD Connect相关推荐
- O365结合ADFS限制用户登录地址 (一) - 开篇介绍
今天来谈谈O365,O365作为一个Saas的服务,本身相比较在本地部署Exchange + S4B Server + SharePoint来说已经方便了不知道多少倍,作为企业的IT来说已经可以将工作 ...
- 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-6.用户登录(二),token验证
技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-6.用户登录(二),token验证 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-1.工具和本 ...
- SpringMVC学习之用户登录(二)
要点:参数传递和接受的各种方式 参考资料:http://lydia-fly.iteye.com/blog/2152073 参考资料:http://blog.csdn.net/z69183787/art ...
- 限制在同一台电脑上只允许有一个用户登录系统
在web应用系统中,出于安全性考虑,经常需要对同一客户端登录的用户数量和一个客户同时在多个客户端登陆进行限制. 具体一点就是: 1.在同一台电脑上一次只允许有一个用户登录系统: 2.一个用户在同一时间 ...
- java限制在同一台电脑上只允许有一个用户登录系统
在web应用系统中,出于安全性考虑,经常需要对同一客户端登录的用户数量和一个客户同时在多个客户端登陆进行限制. 具体一点就是: 1.在同一台电脑上一次只允许有一个用户登录系统: 2.一个用户在同一时间 ...
- 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-5.用户登录,密码的bcrypt(hash)加密与验证
技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-5.用户登录,密码的bcrypt(hash)加密与验证 技能学习:学习使用php(tp6框架) + vue.js,开发前端全 ...
- 二、NovAtel Connect 1.80 版本 操作说明书
目录 一.软件下载地址 二.NovAtel Connect简介 三.打开连接 四.Connect各窗口说明 1.Constellation窗口 2.Plan View窗口 3.Position窗口 4 ...
- javaweb学习总结(二十二)——基于Servlet+JSP+JavaBean开发模式的用户登录注册
一.Servlet+JSP+JavaBean开发模式(MVC)介绍 Servlet+JSP+JavaBean模式(MVC)适合开发复杂的web应用,在这种模式下,servlet负责处理用户请求,jsp ...
- javaweb学习总结(二十二):基于Servlet+JSP+JavaBean开发模式的用户登录注册
一.Servlet+JSP+JavaBean开发模式(MVC)介绍 Servlet+JSP+JavaBean模式(MVC)适合开发复杂的web应用,在这种模式下,servlet负责处理用户请求,jsp ...
最新文章
- TypeError: ord() expected a character, but string of length 6 found
- React 项目--创建组件(7)
- linux日志系统的实现,一个同步日志系统的简单实现 log for c (linux 平台)
- 2017 Q3 ,互联网人的薪资发生了哪些变化?
- neo4j 迁移_在Kubernetes中迁移Neo4j图模式
- puppet puppet模块、file模块
- 作者:连德富,男,电子科技大学讲师、教育大数据研究所副所长。
- JavaScript学习笔记:数组reduce()和reduceRight()方法
- VueTreeselect出现unknown解决方法
- 【转载】漏洞 CNVD-2017-36682 相关公告以及 JavaScript / 安卓开发者须知
- win7x64 连接oracle 客户端 vs 2010调试 提示“ORA-12154: TNS: 无法解析指定的连接标识符 ”
- 到底什么是上位机,什么是下位机?
- 集成运算放大器之微分电路搭建
- 使用ico图标†制作ico图标(浏览器图标
- Linux下dislocate命令用法,dislocate
- Springboot中使用Robot及Websocket实现windows远程桌面控制
- 高并发限流-漏桶算法和令牌桶算法
- Android 之6.0 双向通话自动录音
- 身边有位“别人家的程序员”是什么样的体验?
- @Valid对象嵌套List对象校验无效的解决方案