Nastavení služby AD FS pro Office 365 pro jednoduché Sign-On

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Toto video ukazuje, jak nastavit službu AD FS (Active Directory Federation Service) pro spolupráci s Office 365. Nevztahuje se na scénář proxy serveru ADFS. Toto video popisuje ADFS pro Windows Server 2012 R2. Postup se ale vztahuje i na ADFS 2.0 – s výjimkou kroků 1, 3 a 7. V každém z těchto kroků najdete v části Poznámky pro ADFS 2.0 další informace o použití tohoto postupu v Windows Server 2008.

Užitečné poznámky k krokům ve videu

Krok 1: Instalace služby AD FS (Active Directory Federation Services)

Přidejte ADFS pomocí Průvodce přidáním rolí a funkcí.

Poznámky pro ADFS 2.0

Pokud používáte Windows Server 2008, musíte si stáhnout a nainstalovat ADFS 2.0, abyste mohli pracovat s Office 365. Službu ADFS 2.0 můžete získat na následujícím webu Microsoft Download Center:

Active Directory Federation Services 2.0 RTW

Po instalaci stáhněte a nainstalujte všechny příslušné aktualizace pomocí Windows Update.

Krok 2: Vyžádání certifikátu od certifikační autority třetí strany pro název federačního serveru

Office 365 na serveru ADFS vyžaduje důvěryhodný certifikát. Proto musíte získat certifikát od certifikační autority (CA) třetí strany.

Když si žádost o certifikát přizpůsobíte, nezapomeňte přidat název federačního serveru do pole Běžný název.

V tomto videu vysvětlujeme jenom to, jak vygenerovat žádost o podpis certifikátu (CSR). Soubor CSR musíte odeslat certifikační autoritě třetí strany. Certifikační autorita vám vrátí podepsaný certifikát. Potom importujte certifikát do úložiště certifikátů počítače takto:

  1. Spuštěním souboru Certlm.msc otevřete úložiště certifikátů místního počítače.
  2. V navigačním podokně rozbalte položku Osobní, rozbalte položku Certifikát, klikněte pravým tlačítkem myši na složku Certifikát a potom klikněte na příkaz Importovat.

Název federačního serveru

Název služby Federation Service je internetový název domény vašeho serveru ADFS. Uživatel Office 365 k ověření přesměrován do této domény. Proto se ujistěte, že pro název domény přidáte veřejný záznam A.

Krok 3: Konfigurace služby AD FS

Název federačního serveru nelze zadat ručně. Název je určen názvem předmětu (běžný název) certifikátu v úložiště certifikátů místního počítače.

Poznámky pro ADFS 2.0

V ADFS 2.0 je název federačního serveru určen certifikátem, který se váže na výchozí web v Internetová informační služba (IIS). Než nakonfigurujete službu AD FS, musíte vytvořit vazbu nového certifikátu s výchozím webem.

Jako účet služby můžete použít libovolný účet. Pokud vypršela platnost hesla účtu služby, služba ADFS přestane fungovat. Proto se ujistěte, že heslo účtu je nastavené tak, aby nikdy nevyprší.

Krok 4: Stažení Office 365 nástrojů

Windows Azure Active Directory modul pro Windows PowerShell a Azure Active Directory jsou k dispozici na Office 365 portálu. Pokud chcete tyto nástroje získat, klikněte na Aktivní uživatelé a potom klikněte na Jednotné přihlašování: Nastavit.

Krok 5: Přidání domény do Office 365

Video nevysvětluje, jak přidat a ověřit doménu k Office 365. Další informace o tomto postupu najdete v tématu Ověření domény v Office 365.

Krok 6: Připojení ADFS Office 365

Pokud chcete službu ADFS připojit Office 365, spusťte následující příkazy v Windows Azure Directory Module pro Windows PowerShell.

Poznámka: V Set-MsolADFSContext zadejte plně kvalifikovaný název domény serveru ADFS ve vaší interní doméně místo názvu federačního serveru.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

Pokud se příkazy úspěšně spustí, měli byste vidět následující:

  • Na server ADFS se přidá "Microsoft Office 365 Identifikující platforma".
  • Uživatelé, kteří používají vlastní název domény jako příponu e-mailové adresy pro přihlášení k Office 365 se přesměrují na server služby AD FS.

Krok 7: Synchronizace místních uživatelských účtů služby Active Directory Office 365

Pokud se název vaší interní domény liší od názvu externí domény, který se používá jako přípona e-mailové adresy, musíte přidat název externí domény jako alternativní příponu hlavního názvu uživatele v místní doméně služby Active Directory. Například interní název domény je "company.local", ale název externí domény je "company.com". V takovém případě musíte přidat "company.com" jako alternativní příponu UPN.

Synchronizujte uživatelské účty s Office 365 pomocí Nástroje pro synchronizaci adresářů.

Poznámky pro ADFS 2.0

Pokud používáte ADFS 2.0, musíte před synchronizací účtu s Office 365 změnit hlavní název uživatele z "company.local" na "company.com". V opačném případě se uživatel na serveru služby AD FS neověřuje.

Krok 8: Konfigurace klientského počítače pro jednoduché Sign-On

Po přidání názvu federačního serveru do místní zóny intranetu v Internet Exploreru se ověřování NTLM použije, když se uživatelé pokusí ověřit na serveru ADFS. Proto nejsou vyzváni k zadání přihlašovacích údajů.

Správci můžou implementovat Zásady skupiny konfigurace řešení single Sign-On na klientských počítačích, které jsou připojené k doméně.