Федеративная идентификация для среды разработки и тестирования Office 365Federated identity for your Office 365 dev/test environment

Сводка. Сведения о настройке федеративной аутентификации для среды разработки и тестирования Office 365.Summary: Configure federated authentication for your Office 365 dev/test environment.

Office 365 поддерживает федеративную идентификацию. Это означает, что Office 365 не проверяет непосредственно учетные данные, а направляет подключающегося пользователя на федеративный сервер аутентификации, которому доверяет. Если учетные данные пользователя правильны, сервер федеративной аутентификации выдает токен безопасности, который клиент затем отправляет в Office 365 как доказательство аутентификации. Федеративная идентификация позволяет разгрузить и масштабировать аутентификацию для подписки на Office 365, а также реализовать расширенные сценарии аутентификации и безопасности.Office 365 supports federated identity. This means that instead of performing the validation of credentials itself, Office 365 refers the connecting user to a federated authentication server that Office 365 trusts. If the user's credentials are correct, the federated authentication server issues a security token that the client then sends to Office 365 as proof of authentication. Federated identity allows for the offloading and scaling up of authentication for an Office 365 subscription and advanced authentication and security scenarios.

В этой статье описано, как можно настроить федеративную аутентификацию для среды разработки и тестирования Office 365, чтобы получить представленную ниже конфигурацию.This article describes how you can configure federated authentication for the Office 365 dev/test environment, resulting in the following:

Рис. 1. Федеративная аутентификация для среды разработки и тестирования Office 365Figure 1: The federated authentication for Office 365 dev/test environment

Федеративная аутентификация для среды разработки и тестирования Office 365

В состав конфигурации, показанной на рисунке 1, входит:The configuration shown in Figure 1 consists of:

  • Пробная подписка Office 365 E5, которая действительна в течение 30 дней с момента создания.An Office 365 E5 Trial Subscription, which expires 30 days from when you create it.

  • Упрощенная интрасеть организации, подключенная к Интернету и состоящая из пяти виртуальных машин в подсети виртуальной сети Azure (DC1, APP1, CLIENT1, ADFS1 и PROXY1). Azure AD Connect работает на APP1 для синхронизации списка учетных записей в домене Windows Server AD с Office 365. PROXY1 получает входящие запросы аутентификации. ADFS1 проверяет учетные данные с помощью DC1 и выдает маркеры безопасности.A simplified organization intranet connected to the Internet, consisting of five virtual machines on a subnet of an Azure virtual network (DC1, APP1, CLIENT1, ADFS1, and PROXY1). Azure AD Connect runs on APP1 to synchronize the list of accounts in the Windows Server AD domain to Office 365. PROXY1 receives the incoming authentication requests. ADFS1 validates credentials with DC1 and issues security tokens.

Настройка этой среды разработки и тестирования состоит из пяти указанных ниже этапов.There are five phases to setting up this dev/test environment:

  1. Создание среды разработки и тестирования Office 365 для условного предприятия с DirSync.Create the simulated enterprise Office 365 dev/test environment with DirSync.

  2. Создание сервера AD FS (ADFS1).Create the AD FS server (ADFS1).

  3. Создание веб-прокси-сервера (PROXY1).Create the web proxy server (PROXY1).

  4. Создание самозаверяющего сертификата и настройка ADFS1 и PROXY1.Create a self-signed certificate and configure ADFS1 and PROXY1.

  5. Настройка федеративной идентификации для Office 365.Configure Office 365 for federated identity.

Сведения о том, как выполнить в Azure развертывание федеративной проверки подлинности для рабочей среды Office 365, см. в статье Deploy high availability federated authentication for Office 365 in Azure.To step through a production deployment of federated authentication for Office 365 in Azure, see Deploy high availability federated authentication for Office 365 in Azure.

Примечание

Эту среду разработки и тестирования невозможно настроить, имея пробную подписку на Azure.You cannot configure this dev/test environment with an Azure Trial subscription.

Совет

Щелкните здесь, чтобы просмотреть схему всех статей, относящихся к руководствам по лаборатории тестирования One Microsoft Cloud.Click here for a visual map to all the articles in the One Microsoft Cloud Test Lab Guide stack.

Этап 1. Создание среды разработки и тестирования Office 365 для условного предприятия с DirSyncPhase 1: Create the simulated enterprise Office 365 dev/test environment with DirSync

Следуйте инструкциям в статье Синхронизация службы каталогов для среды разработки и тестирования Office 365, чтобы создать среду разработки и тестирования Office 365 для условного предприятия, где APP1 выступает в качестве сервера DirSync и предусмотрена синхронизация идентификации между Office 365 и учетными записями Windows Server AD на DC1.Follow the instructions in Directory synchronization for your Office 365 dev/test environment to create the simulated enterprise Office 365 dev/test environment with APP1 as the DirSync server and synchronized identity between Office 365 and the Windows Server AD accounts on DC1.

Затем создайте новое общедоступное доменное имя DNS на основе текущего и добавьте его в подписку на Office 365. Рекомендуем использовать имя testlab.<ваш_общедоступный_домен>. Например, если как имя общедоступного домена используется contoso.com, добавьте имя testlab.contoso.com.Next, create a new public DNS domain name based on your current domain name and add it to your Office 365 subscription. We recommend using the name testlab.<your public domain>. For example, if your public domain name is contoso.com, add the public domain name testlab.contoso.com.

Сведения о том, как создать правильные записи DNS в поставщике DNS и добавить домен в пробную подписку на Office 365, см. в статье Добавление домена и пользователей в Office 365.For instructions on how to create the correct DNS records in your DNS provider and add the domain to your Office 365 trial subscription, see Add users and domain to Office 365.

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Рис. 2. Синхронизация каталога для среды разработки и тестирования Office 365Figure 2: Directory synchronization for the Office 365 dev/test environment

Среда разработки и тестирования Office 365 с синхронизацией каталогов

На рисунке 2 показана синхронизация службы каталогов для среды разработки и тестирования Office 365, которая включает Office 365 и виртуальные машины CLIENT1, APP1 и DC1 в виртуальной сети Azure.Figure 2 shows the directory synchronizationc for Office 365 dev/test environment, which includes Office 365 and CLIENT1, APP1, and DC1 virtual machines in an Azure virtual network.

Этап 2. Создание сервера AD FSPhase 2: Create the AD FS server

Сервер AD FS обеспечивает федеративную аутентификацию между Office 365 и учетными записями в домене corp.contoso.com, размещенном на DC1.An AD FS server provides federated authentication between Office 365 and the accounts in the corp.contoso.com domain hosted on DC1.

Чтобы создать виртуальную машину Azure для ADFS1, укажите имя своей подписки, группы ресурсов и расположение Azure для базовой конфигурации, а затем выполните указанные ниже команды в командной строке Azure PowerShell на локальном компьютере.To create an Azure virtual machine for ADFS1, fill in the name of your subscription and the resource group and Azure location for your Base Configuration, and then run these commands at the Azure PowerShell command prompt on your local computer.

$subscr="<your Azure subscription name>"
$rgName="<the resource group name of your Base Configuration>"
Login-AzureRMAccount
Get-AzureRmSubscription -SubscriptionName $subscr | Select-AzureRmSubscription
$staticIP="10.0.0.100"
$locName=(Get-AzureRmResourceGroup -Name $rgName).Location
$vnet=Get-AzureRMVirtualNetwork -Name TestLab -ResourceGroupName $rgName
$pip = New-AzureRMPublicIpAddress -Name ADFS1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$nic = New-AzureRMNetworkInterface -Name ADFS1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzureRMVMConfig -VMName ADFS1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for ADFS1."
$vm=Set-AzureRMVMOperatingSystem -VM $vm -Windows -ComputerName ADFS1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzureRMVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzureRMVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzureRmVMOSDisk -VM $vm -Name "ADFS-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzureRMVM -ResourceGroupName $rgName -Location $locName -VM $vm

Совет

Нажмите здесь, чтобы скачать текстовый файл, который содержит все команды PowerShell, указанные в этой статье.Click here for a text file that contains all the PowerShell commands in this article.

После этого на портале Azure подключитесь к виртуальной машине ADFS1, используя имя и пароль учетной записи локального администратора ADFS1. Затем откройте командную строку Windows PowerShell.Next, use the Azure portal to connect to the ADFS1 virtual machine using the ADFS1 local administrator account name and password, and then open a Windows PowerShell command prompt.

Чтобы проверить разрешение имен и сетевое подключение между ADFS1 и DC1, выполните команду ping dc1.corp.contoso.com и убедитесь, что поступило четыре ответа.To check name resolution and network communication between ADFS1 and DC1, run the ping dc1.corp.contoso.com command and verify that there are four replies.

Далее присоедините виртуальную машину ADFS1 к домену CORP, выполнив указанные ниже команды в командной строке Windows PowerShell на ADFS1.Next, join the ADFS1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on ADFS1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Рис. 3. Добавление сервера AD FSFigure 3: Adding the AD FS server

Сервер AD FS добавлен в DirSync для среды разработки и тестирования Office 365

На рисунке 3 показано добавление сервера ADFS1 в DirSync для среды разработки и тестирования Office 365.Figure 3 shows the addition of the ADFS1 server to the DirSync for Office 365 dev/test environment.

Этап 3. Создание веб-прокси-сервераPhase 3: Create the web proxy server

PROXY1 обеспечивает передачу сообщений аутентификации через прокси-соединения между подключающимися пользователями и ADFS1.PROXY1 provides proxying of authentication messages between users attempting to authenticate and ADFS1.

Чтобы создать виртуальную машину Azure для PROXY1, укажите имя группы ресурсов, расположение Azure, а затем выполните указанные ниже команды в командной строке Azure PowerShell на локальном компьютере.To create an Azure virtual machine for PROXY1, fill in the name of your resource group and Azure location, and then run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
$staticIP="10.0.0.101"
$locName=(Get-AzureRmResourceGroup -Name $rgName).Location
$vnet=Get-AzureRMVirtualNetwork -Name TestLab -ResourceGroupName $rgName
$pip = New-AzureRMPublicIpAddress -Name PROXY1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Static
$nic = New-AzureRMNetworkInterface -Name PROXY1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzureRMVMConfig -VMName PROXY1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for PROXY1."
$vm=Set-AzureRMVMOperatingSystem -VM $vm -Windows -ComputerName PROXY1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzureRMVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzureRMVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzureRmVMOSDisk -VM $vm -Name "PROXY1-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "Standard_LRS"
New-AzureRMVM -ResourceGroupName $rgName -Location $locName -VM $vm

Примечание

Машине PROXY1 присваивается статический общедоступный IP-адрес, который не должен меняться при перезапуске виртуальной машины PROXY1, так как на него указывает созданная вами общедоступная запись DNS.PROXY1 is assigned a static public IP address because you will create a public DNS record that points to it and it must not change when you restart the PROXY1 virtual machine.

После этого добавьте правило в группу безопасности сети для подсети CorpNet, чтобы разрешить прием не запрошенного входящего трафика из Интернета на частный IP-адрес и TCP-порт 443 машины PROXY1. Выполните эти команды в командной строке Azure PowerShell на локальном компьютере.Next, add a rule to the network security group for the CorpNet subnet to allow unsolicited inbound traffic from the Internet to PROXY1's private IP address and TCP port 443. Run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
Get-AzureRmNetworkSecurityGroup -Name CorpNet -ResourceGroupName $rgName | Add-AzureRmNetworkSecurityRuleConfig -Name "HTTPS-to-PROXY1" -Description "Allow TCP 443 to PROXY1" -Access "Allow" -Protocol "Tcp" -Direction "Inbound" -Priority 101 -SourceAddressPrefix "Internet" -SourcePortRange "*" -DestinationAddressPrefix "10.0.0.101" -DestinationPortRange "443" | Set-AzureRmNetworkSecurityGroup

После этого подключитесь к виртуальной машине PROXY1 на портале Azure, используя имя и пароль учетной записи локального администратора PROXY1. Затем откройте командную строку Windows PowerShell на PROXY1.Next, use the Azure portal to connect to the PROXY1 virtual machine using the PROXY1 local administrator account name and password, and then open a Windows PowerShell command prompt on PROXY1.

Чтобы проверить разрешение имен и сетевое подключение между PROXY1 и DC1, выполните команду ping dc1.corp.contoso.com и убедитесь, что поступило четыре ответа.To check name resolution and network communication between PROXY1 and DC1, run the ping dc1.corp.contoso.com command and verify that there are four replies.

Далее присоедините виртуальную машину PROXY1 к домену CORP, выполнив указанные ниже команды в командной строке Windows PowerShell на PROXY1.Next, join the PROXY1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on PROXY1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Выведите на экран общедоступный IP-адрес PROXY1 с помощью этих команд Azure PowerShell на локальном компьютере:Display the public IP address of PROXY1 with these Azure PowerShell commands on your local computer:

Write-Host (Get-AzureRMPublicIpaddress -Name "PROXY1-PIP" -ResourceGroup $rgName).IPAddress

После этого обратитесь к своему поставщику общедоступных DNS и создайте новую запись A для имени fs.testlab.<доменное_имя_DNS>, которая разрешается в IP-адрес, отображаемый командой Write-Host. Имя fs.testlab.<доменное_имя_DNS> далее именуется FQDN службы федерации.Next, work with your public DNS provider and create a new public DNS A record for fs.testlab.<your DNS domain name> that resolves to the IP address displayed by the Write-Host command. The fs.testlab.<your DNS domain name> is hereafter referred to as the federation service FQDN .

После этого воспользуйтесь учетными данными CORP\User1 на портале Azure, чтобы подключиться к виртуальной машине DC1, а затем выполните следующие команды в командной строке Windows PowerShell, открытой от имени администратора:Next, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then run the following commands at an administrator-level Windows PowerShell command prompt:

$testZone="<the FQDN of your testlab domain from phase 1, example: testlab.contoso.com>"
$testZoneFile= $testZone + ".dns"
Add-DnsServerPrimaryZone -Name $testZone -ZoneFile $testZoneFile
Add-DnsServerResourceRecordA -Name "fs" -ZoneName $testZone -AllowUpdateAny -IPv4Address "10.0.0.100" -TimeToLive 01:00:00

Эти команды создают запись DNS A для полного доменного имени службы федерации, которое виртуальные машины в виртуальной сети Azure могут превращать в частный IP-адрес ADFS1.These commands create a DNS A record for your federation service FQDN that virtual machines on the Azure virtual network can resolve to ADFS1's private IP address.

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Рис. 4. Добавление прокси-сервера веб-приложенийFigure 4: Adding the web application proxy server

Прокси-сервер веб-приложений добавлен в DirSync для среды разработки и тестирования Office 365

На рисунке 4 показано добавление сервера PROXY1.Figure 4 shows the addition of the PROXY1 server.

Этап 4. Создание самозаверяющего сертификата и настройка ADFS1 и PROXY1Phase 4: Create a self-signed certificate and configure ADFS1 and PROXY1

На этом этапе создается самозаверяющий цифровой сертификат для полного доменного имени службы федерации и настраиваются ADFS1 и PROXY1 как ферма AD FS.In this phase, you create a self-signed digital certificate for your federation service FQDN and configure ADFS1 and PROXY1 as an AD FS farm.

Сначала подключитесь к виртуальной машине DC1 на портале Azure, используя учетные данные CORP\User1, а затем откройте командную строку Windows PowerShell от имени администратора. First, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then open an administrator-level Windows PowerShell command prompt.

После этого создайте на DC1 учетную запись службы AD FS с помощью этой команды в командной строке Windows PowerShell:Next, create AD FS service account with this command at the Windows PowerShell command prompt on DC1:

New-ADUser -SamAccountName ADFS-Service -AccountPassword (read-host "Set user password" -assecurestring) -name "ADFS-Service" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false

Обратите внимание, что при выполнении этой команды вам будет предложено ввести пароль учетной записи. Выберите надежный пароль и запишите его в безопасном месте. Он понадобится вам на текущем этапе и на этапе 5.Note that this command prompts you to supply the account password. Choose a strong password and record it in a secured location. You will need it for this phase and Phase 5.

Подключитесь к виртуальной машине ADFS1 на портале Azure, используя учетные данные CORP\User1. Откройте командную строку Windows PowerShell на ADFS1 от имени администратора, введите FQDN службы федерации и выполните следующие команды для создания самозаверяющего сертификата:Use the Azure portal to connect to the ADFS1 virtual machine using the CORP\User1 credentials. Open an administrator-level Windows PowerShell command prompt on ADFS1, fill in your federation service FQDN, and then run these commands to create a self-signed certificate:

$fedServiceFQDN="<federation service FQDN>"
New-SelfSignedCertificate -DnsName $fedServiceFQDN -CertStoreLocation "cert:\LocalMachine\My"
New-Item -path c:\Certs -type directory
New-SmbShare -name Certs -path c:\Certs -changeaccess CORP\User1

После этого выполните указанные ниже действия, чтобы сохранить новый самозаверяющий сертификат в виде файла.Next, use these steps to save the new self-signed certificate as a file.

  1. Нажмите кнопку Пуск, введите mmc.exe и нажмите клавишу ВВОД.Click Start, type mmc.exe, and then press Enter.

  2. Выберите Файл > Добавить или удалить оснастку.Click File > Add/Remove Snap-in.

  3. В окне Добавление или удаление оснасток дважды щелкните пункт Сертификаты в списке доступных оснасток, выберите пункт Учетная запись компьютера и нажмите кнопку Далее.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, click Computer account, and then click Next.

  4. В окне Выбор компьютера последовательно нажмите кнопки Готово и ОК.In Select Computer, click Finish, and then click OK.

  5. В области дерева выберите Сертификаты (локальный компьютер) > Личное > Сертификаты.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Щелкните правой кнопкой мыши сертификат с FQDN службы федерации, выберите Все задачи, а затем нажмите Экспорт.Right-click the certificate with your federation service FQDN, click All tasks, and then click Export.

  7. На странице Добро пожаловать нажмите кнопку Далее.On the Welcome page, click Next.

  8. На странице Экспортирование закрытого ключа последовательно нажмите кнопки Да и Далее.On the Export Private Key page, click Yes, and then click Next.

  9. На странице Формат экспортируемого файла выберите Экспортировать все расширенные свойства и нажмите кнопку Далее.On the Export File Format page, click Export all extended properties, and then click Next.

  10. На странице Безопасность выберите элемент Пароль и введите пароль в поля Пароль и Подтвердите пароль.On the Security page, click Password and type a password in Password and Confirm password.

  11. На странице Имя экспортируемого файла нажмите Обзор.On the File to Export page, click Browse.

  12. Перейдите в папку C:\Certs, введите SSL в поле Имя файла и нажмите кнопку Сохранить.Browse to the C:\Certs folder, type SSL in File name, and then click Save.

  13. На странице Имя экспортируемого файла нажмите кнопку Далее.On the File to Export page, click Next.

  14. На странице Завершение работы мастера экспорта сертификатов последовательно нажмите кнопки Готово и ОК.On the Completing the Certificate Export Wizard page, click Finish. When prompted, click OK.

После этого установите службу AD FS, выполнив следующую команду в командной строке Windows PowerShell на ADFS1:Next, install the AD FS service with this command at the Windows PowerShell command prompt on ADFS1:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Дождитесь завершения установки.Wait for the installation to complete.

После этого выполните указанные ниже действия, чтобы настроить службу AD FS.Next, configure the AD FS service with these steps:

  1. Нажмите кнопку Пуск и выберите значок Диспетчер серверов.Click Start, and then click the Server Manager icon.

  2. В области дерева диспетчера серверов выберите AD FS.In the tree pane of Server Manager, click AD FS.

  3. На панели инструментов вверху нажмите оранжевый символ предупреждения и выберите Настроить службу федерации на этом сервере.In the tool bar at the top, click the orange caution symbol, and then click Configure the federation service on this server.

  4. На странице Добро пожаловать в мастере настройки служб федерации Active Directory нажмите кнопку Далее.On the Welcome page of the Active Directory Federation Services Configuration Wizard, click Next.

  5. На странице Подключение к AD DS нажмите кнопку Далее.On the Connect to AD DS page, click Next.

  6. На странице Настройка свойств службы:On the Specify Service Properties page:

    • Щелкните стрелку вниз и выберите SSL-сертификат с FQDN службы федерации.For SSL Certificate, click the down arrow, and then click the certificate with the name of your federation service FQDN.

    • В окне Отображаемое имя службы федерации введите название вымышленной организации.In Federation Service Display Name, type the name of your fictional organization.

    • Нажмите кнопку Далее.Click Next.

  7. На странице Выбор учетной записи службы нажмите Выбрать для параметра Имя учетной записи.On the Specify Service Account page, click Select for Account name.

  8. В поле Выберите пользователя или учетную запись службы введите ADFS-Service, затем последовательно нажмите кнопки Проверить имена и ОК.In Select User or Service Account, type ADFS-Service, click Check Names, and then click OK.

  9. В поле Пароль учетной записи введите пароль для учетной записи ADFS-Service и нажмите кнопку Далее.In Account Password, type the password for the ADFS-Service account, and then click Next.

  10. На странице Выбор базы данных конфигурации нажмите кнопку Далее.On the Specify Configuration Database page, click Next.

  11. На странице Просмотр параметров нажмите кнопку Далее.On the Review Options page, click Next.

  12. На странице Предварительные проверки нажмите Настроить.On the Pre-requisite Checks page, click Configure.

  13. На странице Результаты нажмите Закрыть.On the Results page, click Close.

  14. Нажмите кнопку Пуск, щелкните значок питания, выберите Перезагрузка и нажмите кнопку Продолжить.Click Start, click the power icon, click Restart, and then click Continue.

Откройте портал Azure и подключитесь к PROXY1, используя учетные данные CORP\User1.From the Azure portal, connect to PROXY1 with the CORP\User1 account credentials.

После этого выполните указанные ниже действия, чтобы установить самозаверяющий сертификат и настроить PROXY1.Next, use these steps to install the self-signed certificate and configure PROXY1.

  1. Нажмите кнопку Пуск, введите mmc.exe и нажмите клавишу ВВОД.Click Start, type mmc.exe, and then press Enter.

  2. Выберите Файл > Добавить или удалить оснастку.Click File > Add/Remove Snap-in.

  3. В окне Добавление или удаление оснасток дважды щелкните пункт Сертификаты в списке доступных оснасток, выберите пункт Учетная запись компьютера и нажмите кнопку Далее.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, click Computer account, and then click Next.

  4. В окне Выбор компьютера последовательно нажмите кнопки Готово и ОК.In Select Computer, click Finish, and then click OK.

  5. В области дерева выберите Сертификаты (локальный компьютер) > Личное > Сертификаты.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Щелкните правой кнопкой пункт Личное и выберите Все задачи > Импорт.Right-click Personal, click All tasks, and then click Import.

  7. На странице Добро пожаловать нажмите кнопку Далее.On the Welcome page, click Next.

  8. На странице Имя импортируемого файла введите \\adfs1\certs\ssl.pfx и нажмите кнопку Далее.On the File to Import page, type \\adfs1\certs\ssl.pfx, and then click Next.

  9. На странице Защита с помощью закрытого ключа введите пароль сертификата в поле Пароль и нажмите кнопку Далее.On the Private key protection page, type the certificate password in Password, and then click Next.

  10. На странице Хранилище сертификатов нажмите кнопку Далее.On the Certificate store page, click Next.

  11. На странице Завершение нажмите кнопку Готово.On the Completing page, click Finish.

  12. На странице Хранилище сертификатов нажмите кнопку Далее.On the Certificate Store page, click Next.

  13. Нажмите кнопку ОК.When prompted, click OK.

  14. Выберите Сертификаты в области дерева.Click Certificates in the tree pane.

  15. Щелкните сертификат правой кнопкой мыши и выберите Копировать.Right-click the certificate, and then click Copy.

  16. В области дерева выберите Доверенные корневые центры сертификации > Сертификаты.In the tree pane, open Trusted Root Certification Authorities > Certificates.

  17. Щелкните правой кнопкой мыши под списком установленных сертификатов и выберите Вставить.Move your mouse pointer below the list of installed certificates, right-click, and then click Paste.

Откройте командную строку администратора PowerShell и выполните следующую команду:Open an administrator-level PowerShell command prompt and run the following command:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Дождитесь завершения установки.Wait for the installation to complete.

Сделайте так, чтобы прокси-служба веб-приложения использовала ADFS1 в качестве сервера федерации:Use these steps to configure the web application proxy service to use ADFS1 as its federation server:

  1. Нажмите кнопку Пуск и выберите пункт Диспетчер серверов.Click Start, and then click Server Manager.

  2. В области дерева выберите Удаленный доступ.In the tree pane, click Remote Access.

  3. На панели инструментов вверху нажмите оранжевый символ предупреждения и выберите Открытие мастера прокси веб-приложения.In the tool bar at the top, click the orange caution symbol, and then click Open the Web Application Proxy Wizard.

  4. На странице Добро пожаловать в мастере настройки прокси веб-приложений нажмите кнопку Далее.On the Welcome page of the Web Application Proxy Configuration Wizard, click Next.

  5. На странице Сервер федерации:On the Federation Server page:

    • Введите FQDN службы федерации в поле Имя службы федерации.Type your federation service FQDN in Federation service name.

    • Введите CORP\User1 в поле Имя пользователя.Type CORP\User1 in User name.

    • Введите пароль для учетной записи User1 в поле Пароль.Type the password for the User1 account in Password.

    • Нажмите кнопку Далее.Click Next.

  6. На странице Сертификат прокси-сервера AD FS щелкните стрелку вниз, выберите сертификат с FQDN службы федерации и нажмите кнопку Далее.On the AD FS Proxy Certificate page, click the down arrow, click the certificate with your federation service FQDN, and then click Next.

  7. На странице Подтверждение нажмите Настроить.On the Confirmation page, click Configure.

  8. На странице Результаты нажмите Закрыть.On the Results page, click Close.

Этап 5. Настройка федеративной идентификации для Office 365Phase 5: Configure Office 365 for federated identity

Используйте учетные данные CORP\User1 на портале Azure, чтобы подключиться к виртуальной машине APP1.Use the Azure portal to connect to the APP1 virtual machine with the CORP\User1 account credentials.

Выполните следующие действия, чтобы настроить федеративную аутентификацию для Azure AD Connect и подписки на Office 365:Use these steps to configure Azure AD Connect and your Office 365 subscription for federated authentication:

  1. На рабочем столе дважды щелкните значок Azure AD Connect.From the desktop, double-click Azure AD Connect.

  2. На странице Вас приветствует Azure AD Connect нажмите Настроить.On the Welcome to Azure AD Connect page, click Configure.

  3. На странице Дополнительные задачи выберите Смена имени пользователя для входа и нажмите кнопку Далее.On the Additional tasks page, click Change user sign-in, and then click Next.

  4. На странице Подключение к Azure AD введите имя и пароль учетной записи глобального администратора Office 365 и нажмите кнопку Далее.On the Connect to Azure AD page, type your Office 365 global administrator account name and password, and then click Next.

  5. На странице Вход пользователя выберите Федерация с AD FS и нажмите кнопку Далее.On the User sign-in page, click Federation with AD FS, and then click Next.

  6. На странице Ферма AD FS выберите Использовать существующую ферму AD FS, введите ADFS1 в поле Имя сервера и нажмите кнопку Далее.On the AD FS farm page, click Use an existing AD FS farm, type ADFS1 in Server Name, and then click Next.

  7. Введите учетные данные учетной записи CORP\User1 и нажмите кнопку ОК.When prompted for server credentials, enter the credentials of the CORP\User1 account, and then click OK.

  8. На странице учетных записей Администратор домена введите CORP\User1 в поле Имя пользователя и пароль учетной записи в поле Пароль, затем нажмите кнопку Далее.On the Domain Administrator credentials page, type CORP\User1 in Username and the account password in Password, and then click Next.

  9. На странице Учетная запись службы AD FS введите CORP\ADFS-Service в поле Имя пользователя домена и пароль учетной записи в поле Пароль пользователя домена, затем нажмите кнопку Далее.On the AD FS service account page, type CORP\ADFS-Service in Domain Username and the account password in Domain User Password, and then click Next.

  10. На странице Домен Azure AD, в поле Домен, выберите имя домена, созданного и добавленного в подписку на Office 365 на этапе 1 и нажмите кнопку Далее.On the Azure AD Domain page, in Domain, select the name of the domain you previously created and added to your Office 365 subscription in Phase 1, and then click Next.

  11. На странице Готово к настройке нажмите кнопку Настроить.On the Ready to configure page, click Configure.

  12. На странице Установка завершена нажмите Проверить.On the Installation complete page, click Verify.

    Появятся сообщения о том, что конфигурации интрасети и Интернета проверены.You should see messages indicating that both the intranet and Internet configuration was verified.

  13. На странице Установка завершена нажмите Выход.On the Installation complete page, click Exit.

Чтобы убедиться, что федеративная аутентификация работает, сделайте следующее:To demonstrate that federated authentication is working, do the following:

  1. Откройте новый частный экземпляр браузера на локальном компьютере и перейдите по адресу https://portal.office.com.Open a new private instance of your browser on your local computer and go to https://portal.office.com.

  2. Войдите с помощью учетных данных user1@<домен, созданный на этапе 1>. For the sign-in credentials, type user1@<the domain created in Phase 1>.

    Например, если тестовый домен — testlab.contoso.com, необходимо ввести user1@testlab.contoso.com. Нажмите клавишу TAB и подождите, пока Office 365 не перенаправит вас автоматически.For example, if your test domain is testlab.contoso.com, you would type user1@testlab.contoso.com. Press TAB or allow Office 365 to automatically redirect you.

    Вы увидите страницу Подключение не является частным, потому что установили самозаверяющий сертификат на ADFS1, который ваш компьютер не может проверить. В рабочем развертывании федеративной аутентификации будет использоваться сертификат из доверенного центра сертификации, и эта страница не будет появляться.You should now see a Your connection is not private page. You are seeing this because you installed a self-signed certificate on ADFS1 that your desktop computer cannot validate. In a production deployment of federated authentication, you would use a certificate from a trusted certification authority and your users would not see this page.

  3. На странице Подключение не является частным нажмите Дополнительно, а затем нажмите Перейти к <FQDN_службы_федерации. On the Your connection is not private page, click Advanced, and then click Proceed to <your federation service FQDN>.

  4. На странице с именем вымышленной организации войдите с помощью следующих учетных данных:On the page with the name of your fictional organization, sign in with the following:

    • имя CORP\User1;CORP\User1 for the name

    • пароль учетной записи User1.The password for the User1 account

      Откроется Домашняя страница Microsoft Office.You should see the Microsoft Office Home page.

Эта процедура демонстрирует, что между пробной подпиской на Office 365 и доменом Windows Server AD corp.contoso.com, размещенным на DC1, настроена федеративная аутентификация. Вот основные принципы процесса аутентификации:This procedure demonstrates that your Office 365 trial subscription is federated with the Windows Server AD corp.contoso.com domain hosted on DC1. Here are the basics of the authentication process:

  1. Когда вы используете федеративный домен, созданный на этапе 1, в имени учетной записи для входа, Office 365 перенаправляет ваш браузер на полное доменное имя службы федерации и PROXY1.When you use the federated domain that you created in Phase 1 within the sign-in account name, Office 365 redirects your browser to your federation service FQDN and PROXY1.

  2. PROXY1 направляет локальный компьютер на страницу входа вымышленной организации.PROXY1 sends your local computer the fictional company sign-in page.

  3. Когда вы отправляете имя CORP\User1 и пароль на PROXY1, сервер пересылает эти данные на ADFS1.When you send CORP\User1 and the password to PROXY1, it forwards them to ADFS1.

  4. ADFS1 проверяет имя CORP\User1 и пароль с помощью DC1 и отправляет на локальный компьютер токен безопасности.ADFS1 validates CORP\User1 and the password with DC1 and sends your local computer a security token.

  5. Локальный компьютер отправляет токен безопасности в Office 365.Your local computer sends the security token to Office 365.

  6. Office 365 проверяет, действительно ли маркер безопасности создан на ADFS1, и разрешает доступ.Office 365 validates that the security token was created by ADFS1 and allows access.

Теперь для вашей пробной подписки на Office 365 настроена федеративная аутентификация. Вы можете использовать эту среду разработки и тестирования для расширенных сценариев аутентификации.Your Office 365 trial subscription is now configured with federated authentication. You can use this dev/test environment for advanced authentication scenarios.

Следующий этапNext Step

Сведения о том, как выполнить в Azure развертывание федеративной проверки подлинности с высокой доступностью для рабочей среды Office 365, см. в статье Deploy high availability federated authentication for Office 365 in Azure.When you are ready to deploy production-ready, high availability federated authentication for Office 365 in Azure, see Deploy high availability federated authentication for Office 365 in Azure.

См. такжеSee Also

Руководства по созданию сред разработки и тестирования облачных решенийCloud adoption Test Lab Guides (TLGs)

Базовая конфигурация среды разработки и тестированияBase Configuration dev/test environment

Среда разработки и тестирования Office 365Office 365 dev/test environment

Освоение облака и гибридные решенияCloud adoption and hybrid solutions

Развертывание федеративной проверки подлинности для обеспечения высокой доступности Office 365 в AzureDeploy high availability federated authentication for Office 365 in Azure