Федеративное удостоверение для среды разработки и тестирования Office 365Federated identity for your Office 365 dev/test environment

Сводка: Настройка федеративной проверки подлинности для среды разработки и тестирования Office 365.Summary: Configure federated authentication for your Office 365 dev/test environment.

Office 365 поддерживает федеративных удостоверений. Это означает, что вместо самого выполнения проверки учетные данные Office 365 ссылается подключающегося пользователя федеративной проверки подлинности сервера, на котором отношения доверия с Office 365. Если правильны ли учетные данные пользователя, федеративной проверки подлинности сервер выдает маркер безопасности, затем клиент передает в Office 365 как доказательство проверки подлинности. Федеративное удостоверение позволяет разгрузки и вертикального масштабирования проверки подлинности для подписки на Office 365 и сложных сценариев проверки подлинности и безопасности.Office 365 supports federated identity. This means that instead of performing the validation of credentials itself, Office 365 refers the connecting user to a federated authentication server that Office 365 trusts. If the user's credentials are correct, the federated authentication server issues a security token that the client then sends to Office 365 as proof of authentication. Federated identity allows for the offloading and scaling up of authentication for an Office 365 subscription and advanced authentication and security scenarios.

В этой статье описано, как можно настроить федеративную аутентификацию для среды разработки и тестирования Office 365, чтобы получить представленную ниже конфигурацию.This article describes how you can configure federated authentication for the Office 365 dev/test environment, resulting in the following:

На рисунке 1: Федеративной проверки подлинности для Office 365 dev/тестовой средыFigure 1: The federated authentication for Office 365 dev/test environment

Прокси-сервер веб-приложений добавлен в средство DirSync для среды разработки и тестирования Office 365

В состав конфигурации, показанной на рисунке 1, входит: The configuration shown in Figure 1 consists of:

  • Пробная подписка Office 365 E5, которая действительна в течение 30 дней с момента создания.An Office 365 E5 Trial Subscription, which expires 30 days from when you create it.

  • Упрощенная интрасеть организации, подключенная к Интернету и состоящая из пяти виртуальных машин в подсети виртуальной сети Azure (DC1, APP1, CLIENT1, ADFS1 и PROXY1). Azure AD Connect работает на APP1 для синхронизации списка учетных записей в домене Windows Server AD с Office 365. PROXY1 получает входящие запросы аутентификации. ADFS1 проверяет учетные данные с помощью DC1 и выдает маркеры безопасности.A simplified organization intranet connected to the Internet, consisting of five virtual machines on a subnet of an Azure virtual network (DC1, APP1, CLIENT1, ADFS1, and PROXY1). Azure AD Connect runs on APP1 to synchronize the list of accounts in the Windows Server AD domain to Office 365. PROXY1 receives the incoming authentication requests. ADFS1 validates credentials with DC1 and issues security tokens.

Настройка этой среды разработки и тестирования состоит из пяти указанных ниже этапов.There are five phases to setting up this dev/test environment:

  1. Создание среды разработки и тестирования Office 365 для условного предприятия с DirSync.Create the simulated enterprise Office 365 dev/test environment with DirSync.

  2. Создание сервера AD FS (ADFS1).Create the AD FS server (ADFS1).

  3. Создание веб-прокси-сервера (PROXY1).Create the web proxy server (PROXY1).

  4. Создание самозаверяющего сертификата и настройка ADFS1 и PROXY1.Create a self-signed certificate and configure ADFS1 and PROXY1.

  5. Настройка федеративной идентификации для Office 365.Configure Office 365 for federated identity.

Пошаговое выполнение рабочее развертывание федеративной проверки подлинности для Office 365 в Azure видеть Развертывание высокой доступности федеративной проверки подлинности для Office 365 в Azure.To step through a production deployment of federated authentication for Office 365 in Azure, see Deploy high availability federated authentication for Office 365 in Azure.

Примечание

Эту среду разработки и тестирования невозможно настроить, имея пробную подписку Azure.You cannot configure this dev/test environment with an Azure Trial subscription.

Совет

Щелкните здесь, чтобы просмотреть схему всех статей, относящихся к руководствам по лаборатории тестирования в One Microsoft Cloud.Click here for a visual map to all the articles in the One Microsoft Cloud Test Lab Guide stack.

Этап 1. Создание среды разработки и тестирования Office 365 для условного предприятия с DirSyncPhase 1: Create the simulated enterprise Office 365 dev/test environment with DirSync

Следуйте инструкциям в синхронизации службы каталогов для Office 365 dev/тестовая среда для создания среды разработки и тестирования имитации enterprise Office 365 с APP1 как сервер синхронизации каталогов и синхронизируются identity между Office 365 и Учетные записи Windows Server AD на DC1.Follow the instructions in Directory synchronization for your Office 365 dev/test environment to create the simulated enterprise Office 365 dev/test environment with APP1 as the DirSync server and synchronized identity between Office 365 and the Windows Server AD accounts on DC1.

Затем создание нового общедоступных DNS-имени домена на основании текущей доменное имя и добавить его в подписки Office 365. Рекомендуется использовать имя Лаборатория тестирования. <общедоступного домена >. Например если ваше имя общедоступного домена contoso.com, добавьте testlab.contoso.com имя общедоступного домена.Next, create a new public DNS domain name based on your current domain name and add it to your Office 365 subscription. We recommend using the name testlab.<your public domain>. For example, if your public domain name is contoso.com, add the public domain name testlab.contoso.com.

Инструкции для создания правильных записей DNS в поставщике DNS и добавить домен пробной подписки Office 365 можно Добавить пользователей и домен в Office 365.For instructions on how to create the correct DNS records in your DNS provider and add the domain to your Office 365 trial subscription, see Add users and domain to Office 365.

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

На рисунке 2: Синхронизации службы каталогов для Office 365 dev/тестовой средыFigure 2: Directory synchronization for the Office 365 dev/test environment

Центр разработчиков/тестовой среде Office 365 с помощью синхронизации службы каталогов

На рисунке 2 показано synchronizationc каталогов для Office 365 dev/тестовой среды, которая включает в себя Office 365 и CLIENT1, APP1 и DC1 виртуальных машин в Azure виртуальной сети.Figure 2 shows the directory synchronizationc for Office 365 dev/test environment, which includes Office 365 and CLIENT1, APP1, and DC1 virtual machines in an Azure virtual network.

Этап 2. Создание сервера AD FSPhase 2: Create the AD FS server

Сервер AD FS обеспечивает федеративную аутентификацию между Office 365 и учетными записями в домене corp.contoso.com, размещенном на DC1.An AD FS server provides federated authentication between Office 365 and the accounts in the corp.contoso.com domain hosted on DC1.

Чтобы создать Azure виртуальной машины для ADFS1, заполните поля имя подписки и группы ресурсов и Azure расположение для базовой конфигурации и затем выполните следующие команды в командной строке Windows Azure PowerShell на локальном компьютере.To create an Azure virtual machine for ADFS1, fill in the name of your subscription and the resource group and Azure location for your Base Configuration, and then run these commands at the Azure PowerShell command prompt on your local computer.

$subscr="<your Azure subscription name>"
$rgName="<the resource group name of your Base Configuration>"
Login-AzureRMAccount
Get-AzureRmSubscription -SubscriptionName $subscr | Select-AzureRmSubscription
$staticIP="10.0.0.100"
$locName=(Get-AzureRmResourceGroup -Name $rgName).Location
$vnet=Get-AzureRMVirtualNetwork -Name TestLab -ResourceGroupName $rgName
$pip = New-AzureRMPublicIpAddress -Name ADFS1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$nic = New-AzureRMNetworkInterface -Name ADFS1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzureRMVMConfig -VMName ADFS1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for ADFS1."
$vm=Set-AzureRMVMOperatingSystem -VM $vm -Windows -ComputerName ADFS1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzureRMVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzureRMVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzureRmVMOSDisk -VM $vm -Name "ADFS-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "StandardLRS"
New-AzureRMVM -ResourceGroupName $rgName -Location $locName -VM $vm

Совет

Щелкните здесь для текстового файла, который содержит все команды PowerShell в данной статье.Click here for a text file that contains all the PowerShell commands in this article.

Затем используйте Azure портала для подключения к виртуальной машине ADFS1 ADFS1 имя учетной записи локального администратора и пароль и затем откройте командную строку Windows PowerShell.Next, use the Azure portal to connect to the ADFS1 virtual machine using the ADFS1 local administrator account name and password, and then open a Windows PowerShell command prompt.

Чтобы проверить имя разрешения и сети обмена данными между ADFS1 и DC1, выполните команду ping dc1.corp.contoso.com и убедитесь, что существует четыре ответа.To check name resolution and network communication between ADFS1 and DC1, run the ping dc1.corp.contoso.com command and verify that there are four replies.

Далее присоедините виртуальную машину ADFS1 к домену CORP, выполнив указанные ниже команды в командной строке Windows PowerShell на ADFS1.Next, join the ADFS1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on ADFS1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Ниже показана итоговая конфигурация.Here is your resulting configuration.

На рисунке 3: Добавление сервера AD FSFigure 3: Adding the AD FS server

Сервер AD FS добавлен в средство DirSync для среды разработки и тестирования Office 365

На рисунке 3 показано добавление сервера ADFS1 в DirSync для среды разработки и тестирования Office 365.Figure 3 shows the addition of the ADFS1 server to the DirSync for Office 365 dev/test environment.

Этап 3. Создание веб-прокси-сервераPhase 3: Create the web proxy server

PROXY1 обеспечивает передачу сообщений аутентификации через прокси-соединения между подключающимися пользователями и ADFS1.PROXY1 provides proxying of authentication messages between users attempting to authenticate and ADFS1.

Чтобы создать виртуальную машину Azure для PROXY1, укажите имя группы ресурсов, расположение Azure, а затем выполните указанные ниже команды в командной строке Azure PowerShell на локальном компьютере.To create an Azure virtual machine for PROXY1, fill in the name of your resource group and Azure location, and then run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
$staticIP="10.0.0.101"
$locName=(Get-AzureRmResourceGroup -Name $rgName).Location
$vnet=Get-AzureRMVirtualNetwork -Name TestLab -ResourceGroupName $rgName
$pip = New-AzureRMPublicIpAddress -Name PROXY1-PIP -ResourceGroupName $rgName -Location $locName -AllocationMethod Static
$nic = New-AzureRMNetworkInterface -Name PROXY1-NIC -ResourceGroupName $rgName -Location $locName -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -PrivateIpAddress $staticIP
$vm=New-AzureRMVMConfig -VMName PROXY1 -VMSize Standard_D2_v2
$cred=Get-Credential -Message "Type the name and password of the local administrator account for PROXY1."
$vm=Set-AzureRMVMOperatingSystem -VM $vm -Windows -ComputerName PROXY1 -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzureRMVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzureRMVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzureRmVMOSDisk -VM $vm -Name "PROXY1-OS" -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType "StandardLRS"
New-AzureRMVM -ResourceGroupName $rgName -Location $locName -VM $vm

Примечание

Машине PROXY1 присваивается статический общедоступный IP-адрес, который не должен меняться при перезапуске виртуальной машины PROXY1, так как на него указывает созданная вами общедоступная запись DNS.PROXY1 is assigned a static public IP address because you will create a public DNS record that points to it and it must not change when you restart the PROXY1 virtual machine.

Добавьте правила в группу безопасности сети для подсети CorpNet разрешены незапрошенный входящий трафик из Интернета к PROXY1's частный IP-адрес и TCP-порт 443. Выполните следующие команды в командной строке Windows Azure PowerShell на локальном компьютере.Next, add a rule to the network security group for the CorpNet subnet to allow unsolicited inbound traffic from the Internet to PROXY1's private IP address and TCP port 443. Run these commands at the Azure PowerShell command prompt on your local computer.

$rgName="<the resource group name of your Base Configuration>"
Get-AzureRmNetworkSecurityGroup -Name CorpNet -ResourceGroupName $rgName | Add-AzureRmNetworkSecurityRuleConfig -Name "HTTPS-to-PROXY1" -Description "Allow TCP 443 to PROXY1" -Access "Allow" -Protocol "Tcp" -Direction "Inbound" -Priority 101 -SourceAddressPrefix "Internet" -SourcePortRange "*" -DestinationAddressPrefix "10.0.0.101" -DestinationPortRange "443" | Set-AzureRmNetworkSecurityGroup

Далее используйте Azure портала для подключения к виртуальной машине PROXY1, с помощью учетной записи локального администратора PROXY1 имя и пароль, а затем откройте командную строку Windows PowerShell на PROXY1.Next, use the Azure portal to connect to the PROXY1 virtual machine using the PROXY1 local administrator account name and password, and then open a Windows PowerShell command prompt on PROXY1.

Чтобы проверить имя разрешения и сети обмена данными между PROXY1 и DC1, выполните команду ping dc1.corp.contoso.com и убедитесь, что существует четыре ответа.To check name resolution and network communication between PROXY1 and DC1, run the ping dc1.corp.contoso.com command and verify that there are four replies.

Далее присоедините виртуальную машину PROXY1 к домену CORP, выполнив указанные ниже команды в командной строке Windows PowerShell на PROXY1.Next, join the PROXY1 virtual machine to the CORP domain with these commands at the Windows PowerShell prompt on PROXY1.

$cred=Get-Credential -UserName "CORP\User1" -Message "Type the User1 account password."
Add-Computer -DomainName corp.contoso.com -Credential $cred
Restart-Computer

Выведите на экран общедоступный IP-адрес PROXY1 с помощью этих команд Azure PowerShell на локальном компьютере:Display the public IP address of PROXY1 with these Azure PowerShell commands on your local computer:

Write-Host (Get-AzureRMPublicIpaddress -Name "PROXY1-PIP" -ResourceGroup $rgName).IPAddress

Теперь работать с внешнему поставщику DNS и создания новой общей запись DNS A для fs.testlab. <имени домена DNS >, которая разрешается в IP-адрес, командой Write-Host . Fs.testlab. <имени домена DNS > Далее называется службой федерации полное доменное имя .Next, work with your public DNS provider and create a new public DNS A record for fs.testlab.<your DNS domain name> that resolves to the IP address displayed by the Write-Host command. The fs.testlab.<your DNS domain name> is hereafter referred to as the federation service FQDN .

Затем используйте Azure портала для подключения к виртуальной машине DC1, используя CORP\учетные данные пользователя User1 и выполните следующие команды в командной строке Windows PowerShell уровня администратора:Next, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then run the following commands at an administrator-level Windows PowerShell command prompt:

$testZone="<the FQDN of your testlab domain from phase 1, example: testlab.contoso.com>"
$testZoneFile= $testZone + ".dns"
Add-DnsServerPrimaryZone -Name $testZone -ZoneFile $testZoneFile
Add-DnsServerResourceRecordA -Name "fs" -ZoneName $testZone -AllowUpdateAny -IPv4Address "10.0.0.100" -TimeToLive 01:00:00

Эти команды создают запись DNS A для полного доменного имени службы федерации, которое виртуальные машины в виртуальной сети Azure могут превращать в частный IP-адрес ADFS1.These commands create a DNS A record for your federation service FQDN that virtual machines on the Azure virtual network can resolve to ADFS1's private IP address.

Ниже показана итоговая конфигурация.Here is your resulting configuration.

На рисунке 4: Добавление веб-сервер приложений прокси-сервераFigure 4: Adding the web application proxy server

Прокси-сервер веб-приложений добавлен в средство DirSync для среды разработки и тестирования Office 365

На рисунке 4 показано добавление сервера PROXY1.Figure 4 shows the addition of the PROXY1 server.

Этап 4. Создание самозаверяющего сертификата и настройка ADFS1 и PROXY1Phase 4: Create a self-signed certificate and configure ADFS1 and PROXY1

На этом этапе создается самозаверяющий цифровой сертификат для полного доменного имени службы федерации и настраиваются ADFS1 и PROXY1 как ферма AD FS.In this phase, you create a self-signed digital certificate for your federation service FQDN and configure ADFS1 and PROXY1 as an AD FS farm.

Во-первых, используйте Azure портала для подключения к виртуальной машине DC1, используя CORP\учетные данные пользователя User1, а затем откройте Windows PowerShell администраторские командную строку.First, use the Azure portal to connect to the DC1 virtual machine using the CORP\User1 credentials, and then open an administrator-level Windows PowerShell command prompt.

После этого создайте учетную запись службы AD FS с помощью этой команды в командной строке Windows PowerShell на DC1:Next, create AD FS service account with this command at the Windows PowerShell command prompt on DC1:

New-ADUser -SamAccountName ADFS-Service -AccountPassword (read-host "Set user password" -assecurestring) -name "ADFS-Service" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false

Обратите внимание, что при выполнении этой команды вам будет предложено ввести пароль учетной записи. Выберите надежный пароль и запишите его в безопасном месте. Он понадобится вам на текущем этапе и на этапе 5.Note that this command prompts you to supply the account password. Choose a strong password and record it in a secured location. You will need it for this phase and Phase 5.

Используйте Azure портала для подключения к виртуальной машине ADFS1, с помощью CORP\учетные данные пользователя User1. Откройте командную строку Windows PowerShell правами администратора на ADFS1, заполните поля в поле полное доменное имя службы федерации и затем выполните следующие команды для создания самозаверяющего сертификата:Use the Azure portal to connect to the ADFS1 virtual machine using the CORP\User1 credentials. Open an administrator-level Windows PowerShell command prompt on ADFS1, fill in your federation service FQDN, and then run these commands to create a self-signed certificate:

$fedServiceFQDN="<federation service FQDN>"
New-SelfSignedCertificate -DnsName $fedServiceFQDN -CertStoreLocation "cert:\LocalMachine\My"
New-Item -path c:\Certs -type directory
New-SmbShare -name Certs -path c:\Certs -changeaccess CORP\User1

После этого выполните указанные ниже действия, чтобы сохранить новый самозаверяющий сертификат в виде файла.Next, use these steps to save the new self-signed certificate as a file.

  1. Нажмите кнопку Пуск, введите mmc.exeи нажмите клавишу Ввод.Click Start, type mmc.exe, and then press Enter.

  2. Нажмите кнопку Файл > Добавить/удалить оснастку.Click File > Add/Remove Snap-in.

  3. Добавление и удаление оснасткидважды щелкните сертификаты в списке Доступные оснастки, нажмите кнопку учетная запись компьютераи нажмите кнопку Далее.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, click Computer account, and then click Next.

  4. Выбор компьютеранажмите кнопку Готовои нажмите кнопку ОК.In Select Computer, click Finish, and then click OK.

  5. В древовидном представлении откройте Сертификаты (локальный компьютер) > личных > сертификаты.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Щелкните правой кнопкой мыши сертификат с полным доменным ИМЕНЕМ службы федерации, выберите пункт Все задачии выберите команду Экспорт.Right-click the certificate with your federation service FQDN, click All tasks, and then click Export.

  7. На странице приветствия нажмите кнопку Далее.On the Welcome page, click Next.

  8. На странице " Экспортирование закрытого ключа ", нажмите кнопку Даи нажмите кнопку Далее.On the Export Private Key page, click Yes, and then click Next.

  9. На странице " Формат экспортируемого файла " нажмите кнопку экспортировать все расширенные свойстваи нажмите кнопку Далее.On the Export File Format page, click Export all extended properties, and then click Next.

  10. На странице " Безопасность " нажмите кнопку пароль , а в поле пароль введите пароль и Подтверждение пароля.On the Security page, click Password and type a password in Password and Confirm password.

  11. На странице " экспортируемого файла " нажмите кнопку Обзор.On the File to Export page, click Browse.

  12. Перейдите к C:\сертификаты папки, введите в поле имя файла SSL и нажмите кнопку Сохраните.Browse to the C:\Certs folder, type SSL in File name, and then click Save.

  13. На странице " экспортируемого файла " нажмите кнопку Далее.On the File to Export page, click Next.

  14. На странице Завершение работы мастера экспорта сертификатов нажмите кнопку Готово. При появлении запроса нажмите кнопку ОК.On the Completing the Certificate Export Wizard page, click Finish. When prompted, click OK.

После этого установите службу AD FS, выполнив следующую команду в командной строке Windows PowerShell на ADFS1:Next, install the AD FS service with this command at the Windows PowerShell command prompt on ADFS1:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Дождитесь завершения установки.Wait for the installation to complete.

После этого выполните указанные ниже действия, чтобы настроить службу AD FS.Next, configure the AD FS service with these steps:

  1. Нажмите кнопку Пуски затем щелкните значок Диспетчер сервера .Click Start, and then click the Server Manager icon.

  2. В древовидном представлении диспетчера сервера щелкните AD FS.In the tree pane of Server Manager, click AD FS.

  3. В панели инструментов вверху щелкните значок оранжевый осторожность и нажмите кнопку настроить службу федерации на этом сервере.In the tool bar at the top, click the orange caution symbol, and then click Configure the federation service on this server.

  4. На странице приветствия мастера настройки служб каталогов федерации нажмите кнопку Далее.On the Welcome page of the Active Directory Federation Services Configuration Wizard, click Next.

  5. На странице подключение к Доменные службы Active Directory нажмите кнопку Далее.On the Connect to AD DS page, click Next.

  6. На странице Настройка свойств службы :On the Specify Service Properties page:

    • Для SSL-сертификатщелкните стрелку вниз и нажмите кнопку сертификат с именем службы федерации полное доменное имя.For SSL Certificate, click the down arrow, and then click the certificate with the name of your federation service FQDN.

    • В поле Отображаемое имя службы федерациивведите название вымышленной организации.In Federation Service Display Name, type the name of your fictional organization.

    • Нажмите кнопку Next (Далее).Click Next.

  7. На странице Укажите учетную запись службы для имени учетной записинажмите кнопку выбрать .On the Specify Service Account page, click Select for Account name.

  8. Выбор пользователя или учетной записи службывведите Службы ADFS, нажмите кнопку Проверить именаи нажмите кнопку ОК.In Select User or Service Account, type ADFS-Service, click Check Names, and then click OK.

  9. В поле Пароль для учетной записивведите пароль для учетной записи службы ADFS и нажмите кнопку Далее.In Account Password, type the password for the ADFS-Service account, and then click Next.

  10. На странице Выбор базы данных конфигурации нажмите кнопку Далее.On the Specify Configuration Database page, click Next.

  11. На странице " Обзор параметров " нажмите кнопку Далее.On the Review Options page, click Next.

  12. На странице Предварительные требования проверки нажмите кнопку настроить.On the Pre-requisite Checks page, click Configure.

  13. На странице результатов нажмите кнопку Закрыть.On the Results page, click Close.

  14. Нажмите кнопку Пуск, щелкните значок питания, нажмите кнопку перезапуститьи нажмите кнопку Продолжить.Click Start, click the power icon, click Restart, and then click Continue.

С Azure портала, подключиться к PROXY1 с CORP\учетные данные учетной записи User1.From the Azure portal, connect to PROXY1 with the CORP\User1 account credentials.

После этого выполните указанные ниже действия, чтобы установить самозаверяющий сертификат и настроить PROXY1.Next, use these steps to install the self-signed certificate and configure PROXY1.

  1. Нажмите кнопку Пуск, введите mmc.exeи нажмите клавишу Ввод.Click Start, type mmc.exe, and then press Enter.

  2. Нажмите кнопку Файл > Добавить/удалить оснастку.Click File > Add/Remove Snap-in.

  3. Добавление и удаление оснасткидважды щелкните сертификаты в списке Доступные оснастки, нажмите кнопку учетная запись компьютераи нажмите кнопку Далее.In Add or Remove Snap-ins, double-click Certificates in the list of available snap-ins, click Computer account, and then click Next.

  4. Выбор компьютеранажмите кнопку Готовои нажмите кнопку ОК.In Select Computer, click Finish, and then click OK.

  5. В древовидном представлении откройте Сертификаты (локальный компьютер) > личных > сертификаты.In the tree pane, open Certificates (Local Computer) > Personal > Certificates.

  6. Щелкните правой кнопкой мыши Личные, выберите пункт Все задачии нажмите кнопку Импорт.Right-click Personal, click All tasks, and then click Import.

  7. На странице приветствия нажмите кнопку Далее.On the Welcome page, click Next.

  8. На странице импортируемый файл введите ** \ \adfs1\сертификаты\ssl.pfxи нажмите кнопку **Далее.On the File to Import page, type \\adfs1\certs\ssl.pfx, and then click Next.

  9. На странице защиты закрытого ключа , введите пароль сертификата в поле парольи нажмите кнопку следующего.On the Private key protection page, type the certificate password in Password, and then click Next.

  10. На странице хранилище сертификатов щелкните следующего.On the Certificate store page, click Next.

  11. На странице " Завершение работы " нажмите кнопку Готово.On the Completing page, click Finish.

  12. На странице Хранилища сертификатов нажмите кнопку Далее.On the Certificate Store page, click Next.

  13. При появлении запроса нажмите кнопку ОК.When prompted, click OK.

  14. В древовидном представлении щелкните сертификаты .Click Certificates in the tree pane.

  15. Щелкните сертификат правой кнопкой мыши и выберите команду Копировать.Right-click the certificate, and then click Copy.

  16. В древовидном представлении откройте Доверенные корневые центры сертификации > сертификаты.In the tree pane, open Trusted Root Certification Authorities > Certificates.

  17. Наведите указатель мыши в списке установленных сертификатов, щелкните правой кнопкой мыши и выберите команду Вставить.Move your mouse pointer below the list of installed certificates, right-click, and then click Paste.

Откройте командную строку администратора PowerShell и выполните следующую команду:Open an administrator-level PowerShell command prompt and run the following command:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Дождитесь завершения установки.Wait for the installation to complete.

Сделайте так, чтобы прокси-служба веб-приложения использовала ADFS1 в качестве сервера федерации:Use these steps to configure the web application proxy service to use ADFS1 as its federation server:

  1. Нажмите кнопку Пуски выберите пункт Диспетчер сервера.Click Start, and then click Server Manager.

  2. В древовидном представлении выберите Удаленный доступ.In the tree pane, click Remote Access.

  3. В панели инструментов вверху щелкните значок оранжевый осторожность и нажмите кнопку запустить мастер прокси-сервера веб-приложения.In the tool bar at the top, click the orange caution symbol, and then click Open the Web Application Proxy Wizard.

  4. На странице приветствия мастера настройки прокси-сервера веб-приложения нажмите кнопку Далее.On the Welcome page of the Web Application Proxy Configuration Wizard, click Next.

  5. На странице Сервер федерации :On the Federation Server page:

    • В поле имя службы федерациивведите полное доменное имя службы федерации.Type your federation service FQDN in Federation service name.

    • Тип CORP\User1 в поле имя пользователя.Type CORP\User1 in User name.

    • В поле парольвведите пароль для учетной записи User1.Type the password for the User1 account in Password.

    • Нажмите кнопку Next (Далее).Click Next.

  6. На странице " Сертификат прокси-сервера AD FS " щелкните стрелку вниз, выберите сертификат с полным доменным ИМЕНЕМ службы федерации и нажмите кнопку Далее.On the AD FS Proxy Certificate page, click the down arrow, click the certificate with your federation service FQDN, and then click Next.

  7. На странице подтверждения нажмите кнопку настроить.On the Confirmation page, click Configure.

  8. На странице результатов нажмите кнопку Закрыть.On the Results page, click Close.

Этап 5. Настройка федеративной идентификации для Office 365Phase 5: Configure Office 365 for federated identity

Использование портала Azure для подключения к виртуальной машины APP1 с CORP\учетные данные учетной записи User1.Use the Azure portal to connect to the APP1 virtual machine with the CORP\User1 account credentials.

Выполните следующие действия, чтобы настроить федеративную аутентификацию для Azure AD Connect и подписки на Office 365:Use these steps to configure Azure AD Connect and your Office 365 subscription for federated authentication:

  1. С рабочего стола дважды щелкните Подключить Azure AD.From the desktop, double-click Azure AD Connect.

  2. На странице " Добро пожаловать в Azure AD подключение " нажмите кнопку настроить.On the Welcome to Azure AD Connect page, click Configure.

  3. На странице " Дополнительные задачи " нажмите кнопку Изменение входа пользователей ви нажмите кнопку Далее.On the Additional tasks page, click Change user sign-in, and then click Next.

  4. На странице " подключение к Azure AD " введите имя учетной записи глобального администратора Office 365 и пароль и нажмите кнопку Далее.On the Connect to Azure AD page, type your Office 365 global administrator account name and password, and then click Next.

  5. На странице Вход пользователя выберите Федерация с AD FS и нажмите кнопку Далее.On the User sign-in page, click Federation with AD FS, and then click Next.

  6. На странице службы федерации Active Directory фермы выберите команду использовать существующую ферму службы федерации Active Directory, введите ADFS1 в поле Имя сервераи нажмите кнопку Далее.On the AD FS farm page, click Use an existing AD FS farm, type ADFS1 in Server Name, and then click Next.

  7. Когда требуется ввести учетные данные сервера, введите учетные данные CORP\User1 учетной записи, а затем нажмите кнопку ОК.When prompted for server credentials, enter the credentials of the CORP\User1 account, and then click OK.

  8. На странице учетные данные Администратора домена введите CORP\User1 имя пользователя и пароль учетной записи в поля парольи нажмите кнопку Далее.On the Domain Administrator credentials page, type CORP\User1 in Username and the account password in Password, and then click Next.

  9. На странице учетной записи службы AD FS введите CORP\службы ADFS Доменное имя пользователя и пароль учетной записи в поле Пароль пользователя доменаи нажмите кнопку Далее.On the AD FS service account page, type CORP\ADFS-Service in Domain Username and the account password in Domain User Password, and then click Next.

  10. На странице Azure AD домена в доменевыберите имя домена, ранее был создан и добавлен к своей подписке Office 365 на этапе 1 и нажмите кнопку Далее.On the Azure AD Domain page, in Domain, select the name of the domain you previously created and added to your Office 365 subscription in Phase 1, and then click Next.

  11. На странице все готово к настройке нажмите кнопку настроить.On the Ready to configure page, click Configure.

  12. На странице " Установка завершена " нажмите кнопку Проверить.On the Installation complete page, click Verify.

    Появятся сообщения о том, что конфигурации интрасети и Интернета проверены.You should see messages indicating that both the intranet and Internet configuration was verified.

  13. На странице Установка завершена нажмите Выход.On the Installation complete page, click Exit.

Чтобы убедиться, что федеративная аутентификация работает, сделайте следующее:To demonstrate that federated authentication is working, do the following:

  1. Откройте новый экземпляр закрытого браузера на локальном компьютере и перейдите к https://portal.office.com.Open a new private instance of your browser on your local computer and go to https://portal.office.com.

  2. Учетные данные входа в систему, введите user1 @<домена, созданном на этапе 1 >.For the sign-in credentials, type user1@<the domain created in Phase 1>.

    Например если тест домена testlab.contoso.com, введите user1@testlab.contoso.com. Нажмите клавишу TAB или разрешить Office 365 для автоматического перехода.For example, if your test domain is testlab.contoso.com, you would type user1@testlab.contoso.com. Press TAB or allow Office 365 to automatically redirect you.

    Теперь вы увидите подключения не закрытый страницы. Это, отображается, поскольку самозаверяющий сертификат установлен на ADFS1, который не удается проверить настольного компьютера. В рабочей среде федеративной проверки подлинности будет использовать сертификат из доверенного центра сертификации, и пользователи не увидят на этой странице.You should now see a Your connection is not private page. You are seeing this because you installed a self-signed certificate on ADFS1 that your desktop computer cannot validate. In a production deployment of federated authentication, you would use a certificate from a trusted certification authority and your users would not see this page.

  3. На странице " подключение к не закрытый " нажмите кнопку Дополнительнои нажмите кнопку Перейти к <полное доменное имя службы федерации >.On the Your connection is not private page, click Advanced, and then click Proceed to <your federation service FQDN>.

  4. На странице с именем вымышленной организации войдите с помощью следующих учетных данных:On the page with the name of your fictional organization, sign in with the following:

    • CORP\User1 для имениCORP\User1 for the name

    • пароль учетной записи User1.The password for the User1 account

      Должна появиться страница Microsoft Office для дома .You should see the Microsoft Office Home page.

Описано, что пробной подписки Office 365 подключенных к corp.contoso.com домена Windows Server AD, размещенного на DC1. Ниже приведены основные сведения о процессе проверки подлинности.This procedure demonstrates that your Office 365 trial subscription is federated with the Windows Server AD corp.contoso.com domain hosted on DC1. Here are the basics of the authentication process:

  1. Когда вы используете федеративный домен, созданный на этапе 1, в имени учетной записи для входа, Office 365 перенаправляет ваш браузер на полное доменное имя службы федерации и PROXY1.When you use the federated domain that you created in Phase 1 within the sign-in account name, Office 365 redirects your browser to your federation service FQDN and PROXY1.

  2. PROXY1 направляет локальный компьютер на страницу входа вымышленной компании.PROXY1 sends your local computer the fictional company sign-in page.

  3. При отправке CORP\User1 и пароль, которые PROXY1, он пересылает их ADFS1.When you send CORP\User1 and the password to PROXY1, it forwards them to ADFS1.

  4. ADFS1 проверяет CORP\User1 и пароль с DC1 и отправляет маркер безопасности локального компьютера.ADFS1 validates CORP\User1 and the password with DC1 and sends your local computer a security token.

  5. Локальный компьютер отправляет маркер безопасности в Office 365.Your local computer sends the security token to Office 365.

  6. Office 365 проверяет, действительно ли маркер безопасности создан на ADFS1, и разрешает доступ.Office 365 validates that the security token was created by ADFS1 and allows access.

Теперь для вашей пробной подписки на Office 365 настроена федеративная аутентификация. Вы можете использовать эту среду разработки и тестирования для расширенных сценариев аутентификации.Your Office 365 trial subscription is now configured with federated authentication. You can use this dev/test environment for advanced authentication scenarios.

Следующий шагNext Step

Если вы готовы к развертыванию готовый, высокой доступности федеративной проверки подлинности для Office 365 в Azure, видеть Развертывание высокой доступности федеративной проверки подлинности для Office 365 в Azure.When you are ready to deploy production-ready, high availability federated authentication for Office 365 in Azure, see Deploy high availability federated authentication for Office 365 in Azure.

См. такжеSee Also

Руководства по лаборатории тестирования для принятия облачных решенийCloud adoption Test Lab Guides (TLGs)

Базовая конфигурация среды разработки и тестированияBase Configuration dev/test environment

Среда разработки и тестирования Office 365Office 365 dev/test environment

Освоение облака и гибридные решенияCloud adoption and hybrid solutions

Развертывание федеративной проверки подлинности для обеспечения высокой доступности Office 365 в AzureDeploy high availability federated authentication for Office 365 in Azure