office365技術(shù)類參考identities and single sign on身份賬戶的類型_第1頁
office365技術(shù)類參考identities and single sign on身份賬戶的類型_第2頁
office365技術(shù)類參考identities and single sign on身份賬戶的類型_第3頁
office365技術(shù)類參考identities and single sign on身份賬戶的類型_第4頁
office365技術(shù)類參考identities and single sign on身份賬戶的類型_第5頁
已閱讀5頁,還剩39頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、Office 365身份賬戶理解單點登錄Agenda理解身份賬戶身份賬戶的類型Types of Identities使用情形Usage Scenarios用戶單點體驗User Sign-On Experience域的類型Types of Domains理解單點登錄目的要求安裝和配置部署單點登錄2理解身份賬戶3理解身份賬戶獨立于于本地的憑證驗證發(fā)生在Office 365的目錄服務(wù)密碼策略存儲在Office 365無需本地的服務(wù)器管理使用和本地一樣的的憑證驗證發(fā)證在本地的目錄服務(wù)密碼策略存儲在本地目錄服務(wù)器需要本地的目錄同步服務(wù)器需要本地的ADFS服務(wù)器云端賬戶聯(lián)盟賬戶理解身份賬戶5云端賬戶云端賬

2、戶+ DirSync聯(lián)盟賬戶類型較小的客戶沒有本地的活動目錄擁有本地活動目錄的的大中企業(yè)擁有本地活動目錄的的大企業(yè)優(yōu)點不需要部署本地的服務(wù)器“權(quán)威源” 是本地環(huán)境啟用共存單點登錄體驗“權(quán)威源” 是本地環(huán)境2 Factor 驗證選項啟用共存限制沒有單點登錄沒有 2 Factor 驗證選項需要管理兩套用戶賬戶不同的密碼策略沒有單點登錄沒有 2 Factor 驗證選項需要管理兩套用戶賬戶不同的密碼策略需要本地部署目錄同步服務(wù)器需要本地部署ADFS服務(wù)器需要本地部署目錄同步服務(wù)器理解身份賬戶6云端賬戶聯(lián)盟賬戶(加入域的計算機(jī))聯(lián)盟賬戶(沒有加入域的計算機(jī))Microsoft Outlook 2010

3、on Windows 7 在每個會話中登錄在每個會話中登錄在每個會話中登錄Outlook 2007 on Windows 7在每個會話中登錄在每個會話中登錄在每個會話中登錄Outlook 2010 or Outlook 2007 on Windows Vista or Windows XP在每個會話中登錄在每個會話中登錄在每個會話中登錄Exchange ActiveSync在每個會話中登錄在每個會話中登錄在每個會話中登錄POP, IMAP, Microsoft Outlook for Mac 2011在每個會話中登錄在每個會話中登錄在每個會話中登錄Web Experiences: Office

4、 365 Portal / Outlook Web App / SharePoint Online / Office Web Apps在每個WEB會話中登錄無提示在每個WEB會話中登錄Office 2010 or Office 2007 using SharePoint Online 在每個SharePoint Online會話中登錄在每個SharePoint Online會話中登錄在每個SharePoint Online會話中登錄Lync Online在每個會話中登錄無提示在每個會話中登錄Outlook for Mac 2011在每個會話中登錄在每個會話中登錄在每個會話中登錄理解身份賬戶兩種

5、域的類型管理域Managed Domain聯(lián)盟域Federated Domain域的所有權(quán)必須預(yù)先驗證必須使用公共注冊的命名空間 (i.e. 不能使用*.local, etc.)添加新域的選項:Office 365的管理界面Office 365中提供的Powershell模塊7理解身份賬戶身份賬戶是用來訪問Office 365服務(wù)的前提條件云端賬戶或者聯(lián)盟賬戶添加新帳戶的選項:8Office 365管理界面活動目錄Exchange 管理工賬戶管理方案管理界面DirSyncOffice 365 專有PowerShell遠(yuǎn)程PowerShellPowerShell演示新的管理域9新管理域登錄到O3

6、65管理界面選擇domains選擇Add Domain指定域名選擇首選的向?qū)砑域炞C的DNS記錄驗證域新管理域啟動Office 365的 PowerShell 鏈接到web service添加new domain得到驗證的DNS 記錄添加驗證的DNS記錄驗證域11演示新的云端賬戶12登錄到管理界面選擇users and groups點擊“+”來添加新用戶設(shè)置用戶詳細(xì)信息分配用戶角色和地域分配用戶許可證 創(chuàng)建用戶完成新云端賬戶新云端賬戶通過遠(yuǎn)程的PowerShell連接到Exchange Online創(chuàng)建新的郵件啟用的用戶創(chuàng)建新的郵箱啟用的用戶14理解單點登錄15目的用戶使用單一的用戶名和密碼訪

7、問本地和云端的組織提供給用戶熟悉的單一登錄體驗允許管理員通過本地活動目錄的工具來控制云端組織的賬戶策略16優(yōu)點策略控制訪問控制降低支持的請求安全性支持加強(qiáng)的驗證 (WS.10).aspx17要求Windows Server 2008 or Windows Server 2008 R2PowerShellWeb 服務(wù)器 (IIS).Net 3.5 SP1Windows Identity Foundation注冊的公有域名18要求SSL 證書Office 365 PowerShell模塊Microsoft Online Sign In Assistant高可用性部署19Office 365 桌面安

8、裝安裝連接Office 365所需系統(tǒng)和客戶端軟件更新自動配置需要和Office 365一起工作的游覽器和富客戶端注意: Office 365 桌面安裝程序并非一個驗證或者登錄的服務(wù)20Microsoft Online 登錄助手可以通過Office 365桌面安裝程序或者手動安通過從Office 365獲取一個安全口令并且返還給客戶端的方式提供驗證支持 (e.g. Lync)Kiosk的用戶無需安裝 (e.g. OWA)本地計算機(jī)需要安裝來連接到Office 365 (e.g. DirSync, Exchange, ADFS, PowerShell)21演示安裝和配置22安裝Click Yes

9、 at the user account control promptClick NextClick “I accept the terms in the License Agreement” check boxSelect Federation ServerClick NextWait for installation wizard to completeClick Finish23配置Open ADFS 2.0 MMC and start configuration wizardCreate a new federation serviceSelect certificate and sp

10、ecify service domain nameSpecify service accountWait for configuration wizard to complete24演示新聯(lián)盟域2526新聯(lián)盟域Launch PowerShell and import MSOnline moduleConnect to web serviceSet ADFS contextAdd new domainGet verification DNS recordWork with DNS administrator to add verification DNS recordVerify new dom

11、ain27本地新聯(lián)盟域 發(fā)生了什么?啟動MSOnline Powershell 模塊將 PowerShell 連接到Office 365 和ADFS server執(zhí)行New-MsolFederatedDomain 命令添加域名驗證記錄再次執(zhí)行New-MsolFederatedDomain命令I(lǐng)dentity ServicesProvisioningplatformActive Directory Federation Server 2.0TrustDirectoryStoreAdmin Portal/PowerShellAuthentication platformMSOL PowerShel

12、l ModuleOffice 365Add DomainRequiredTXT/MX RecordAdd TrustClaim RulesUser Source ID = AD ObjectGUIDVerify-DomainActive/Mex/PassiveToken certs Current/NextBrand URI etcUpdate協(xié)議和客戶終端28協(xié)議Office 365 使用 Web Services (WS-*)WS-Trust 提供針對富客戶端的驗證支持身份賬戶聯(lián)盟只能通過ADFS 2.0支持的協(xié)議WS-*, SAML1.1(SAML1.1 口令)SAML-P (SAML

13、2.0) 平臺支持強(qiáng)驗證的解決方案 (2FA) Web 程序通過 ADFS代理服務(wù)器的登陸也或者其他的代理 (UAG/TMG)富客戶端依賴于配置29客戶終端Active Federation (MEX)應(yīng)用于富客戶端來支持ADFS被Lync 和Office訂閱客戶端使用客戶端直接和本地的ADFS服務(wù)器做協(xié)商驗證Basic Authentication (Active Profile)應(yīng)用于使用Basic Authentication的客戶端被ActiveSync, Outlook 2007/2010, IMAP, POP, SMTP, 和Exchange Web Services所使用客戶端通

14、過SSL發(fā)送“basic authentication” 憑證給Exchange Online. Exchange Online 以客戶端的身份講請求發(fā)送給本地的ADFS 服務(wù)器Passive Federation (Passive Profile)應(yīng)用于游覽器和通過SharePoint Online打開的文檔被Microsoft Online Portal, OWA, 和SharePoint Online所使用Web (游覽器)客戶端直接和本地的ADFS服務(wù)器做協(xié)商驗證30客戶終端31驗證過程 MEX Profile32CustomerMicrosoft Online ServicesUse

15、r Source IDLogon (SAML 1.1) Token Source User ID: ABC123Auth Token Unique ID: 254729驗證過程 Active Profile33CustomerMicrosoft Online ServicesUser Source IDLogon (SAML 1.1) Token Source User ID: ABC123Auth Token Unique ID: 254729Basic Auth CredentilasUsername/Password驗證過程 Passive Profile34CustomerMicros

16、oft Online ServicesUser Source IDLogon (SAML 1.1) Token Source User ID: ABC123Auth Token Unique ID: 254729演示使用ADFS終端進(jìn)行訪問控制添加5種Claim類型Launch ADFS 2.0 Management Console, browse to Claims Provider Trusts, and Edit Claim RulesAdd new ruleSelect “Pass through or filter an ing claim” templateProvide rule

17、 name and typeRepeat for all 5 claim types36分發(fā)授權(quán)規(guī)則Launch ADFS 2.0 Management Console, browse to Relying Party Trusts, and Edit Claim RulesAdd new Issuance Authorization RuleSelect “Send claims using a custom rule” templateAdd rule name and custom rule syntax37部署考量38部署架構(gòu)單一內(nèi)部/代理服務(wù)器因為不是高可用性因此不是最推薦Basic

18、 Authentication (Active Profile) 終端要求部署ADFS代理服務(wù)器2臺以上內(nèi)部/代理服務(wù)器+負(fù)責(zé)平衡設(shè)備39Perimeter NetworkADFS 2.0ProxyActiveDirectoryADFS 2.0ADFS 2.0ADFS 2.0ProxyLoad balancerLoad balancerInternal NetworkBasic Authentication (Active Profile)Passive Federation (Passive Profile)部署架構(gòu)40用戶數(shù)最少的服務(wù)器數(shù)量少于1,000 用戶1 臺聯(lián)盟服務(wù)器1 臺聯(lián)盟代理

19、服務(wù)器1,000 到 15,000 用戶2臺聯(lián)盟服務(wù)器2臺聯(lián)盟代理服務(wù)器15,000 到 60,000 用戶在3到5臺聯(lián)盟服務(wù)器至少2臺聯(lián)盟代理服務(wù)器部署拓?fù)銩DFS能夠使用 Windows Internal Database 或 SQLWID 每個farm最多支持5臺服務(wù)器has a limit of 5 servers per farmSQL沒有限制配置成為ADFS Farm的時候WID 通過拉復(fù)制來支持基本的數(shù)據(jù)庫冗余主服務(wù)器負(fù)責(zé)讀/寫復(fù)制次要服務(wù)器每五分鐘檢查更新如果主服務(wù)器失敗,所有的次要服務(wù)器繼續(xù)工作次要服務(wù)器能夠成為主服務(wù)器SQL服務(wù)器支持故障轉(zhuǎn)移群集或者鏡像41UPN部署的考量用戶對象的UPN在本地活動目錄域中有值UPN域名后綴必須和在Office 365上面驗證的域匹配默認(rèn)的域(e.g. )自動添加成為一個驗證域并且會作為用戶的UPN后綴如果無法找到一個匹配的驗證域用戶必須使用UPN的方式登錄到Office 365不支持domainusernameUPN 必須包含合法字符Office 365 Deployment Readiness 工具可以用來檢測本地活動目錄用戶是否包含合法用戶42問題?43 2012 Microsoft Corporatio

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論