Этап 5. Федеративная проверка подлинности для обеспечения высокой доступности: настройка федеративной проверки подлинности для Office 365High availability federated authentication Phase 5: Configure federated authentication for Office 365

Сводка. Настройка Azure AD Connect для федеративной проверки высокого уровня доступности для Office 365 в Microsoft Azure.Summary: Configure Azure AD Connect for your high availability federated authentication for Office 365 in Microsoft Azure.

В этом последнем этапе развертывание высокой доступности федеративной проверки подлинности для Office 365 в службах инфраструктуры можно получить и установить сертификат, выданный общедоступным центром сертификации, проверьте конфигурацию и затем установите и запустите Azure AD Подключение на сервер синхронизации каталогов. Подключение Azure AD настраивает подписки Office 365 и вашей служб федерации Active Directory (AD FS) и серверов прокси-сервера веб-приложений для федеративной проверки подлинности.In this final phase of deploying high availability federated authentication for Office 365 in Azure infrastructure services, you get and install a certificate issued by a public certification authority, verify your configuration, and then install and run Azure AD Connect on the directory synchronization server. Azure AD Connect configures your Office 365 subscription and your Active Directory Federation Services (AD FS) and web application proxy servers for federated authentication.

Описание всех этапов см. в статье Развертывание в Azure федеративной проверки подлинности для обеспечения высокой доступности в случае использования Office 365.See Deploy high availability federated authentication for Office 365 in Azure for all of the phases.

Получение сертификата открытого и скопируйте его на сервер синхронизации каталоговGet a public certificate and copy it to the directory synchronization server

Получите цифровой сертификат из общедоступного центра сертификации со следующими свойствами:Get a digital certificate from a public certification authority with the following properties:

  • Сертификат X.509 подходит для создания SSL-соединений.An X.509 certificate suitable for creating SSL connections.

  • Расширенному свойству "Альтернативное имя субъекта" (SAN) присвоено полное доменное имя службы федерации (например, fs.contoso.com).The Subject Alternative Name (SAN) extended property is set to your federation service FQDN (example: fs.contoso.com).

  • Сертификат должен иметь закрытый ключ и формат PFX.The certificate must have the private key and be stored in PFX format.

Кроме того, компьютеры и устройства организации должны доверять общедоступному центру сертификации, выдающему цифровой сертификат. Для этого в хранилище доверенных корневых центров сертификации на компьютерах и устройствах должен быть установлен корневой сертификат из общедоступного центра сертификации. На компьютерах с Microsoft Windows обычно установлен набор этих сертификатов из часто используемых центров сертификации. Если корневой сертификат из вашего общедоступного центра сертификации еще не установлен, разверните его на компьютерах и устройствах организации.Additionally, your organization computers and devices must trust the public certification authority that is issuing the digital certificate. This trust is established by having a root certificate from the public certification authority installed in the trusted root certification authorities store on your computers and devices. Computers running Microsoft Windows typically have a set of these types of certificates installed from commonly-used certification authorities. If the root certificate from your public certification authority is not already installed, you must deploy this to the computers and devices of your organization.

Дополнительные сведения о требованиях к сертификатам для федеративной проверки подлинности см. в разделе Предварительные требования для установки и настройки федерации.For more information about certificate requirements for federated authentication, see Prerequisites for federation installation and configuration.

При получении сертификата, скопируйте его в папку на диске сервера синхронизации службы каталогов. Например, имя файла SSL.pfx и сохраните ее в C:\папку сертификаты на сервер синхронизации каталогов.When you receive the certificate, copy it to a folder on the C: drive of the directory synchronization server. For example, name the file SSL.pfx and store it in the C:\Certs folder on the directory synchronization server.

Проверка конфигурацииVerify your configuration

Теперь все должно быть готово к настройке Azure AD Connect и федеративной проверки подлинности для Office 365. Проверьте, так ли это, с помощью этого контрольного списка:You should now be ready to configure Azure AD Connect and federated authentication for Office 365. To ensure that you are, here is a checklist:

  • Общедоступный домен организации добавлен в подписку на Office 365.Your organization's public domain is added to your Office 365 subscription.

  • Учетные записи пользователей Office 365 вашей организации используют общедоступное доменное имя вашей организации и позволяют входить в систему.Your organization's Office 365 user accounts are configured to your organization's public domain name and can successfully sign in.

  • Вы определили полное доменное имя службы федерации на основе вашего общедоступного доменного имени.You have determined a federation service FQDN based your public domain name.

  • Запись A общедоступного домена DNS для полного доменного имени службы федерации указывает на общедоступный IP-адрес внешнего балансировщика нагрузки Azure для прокси-серверов веб-приложений.A public DNS A record for your federation service FQDN points to the public IP address of the Internet-facing Azure load balancer for the web application proxy servers.

  • Запись A частного домена DNS для полного доменного имени службы федерации указывает на частный IP-адрес внутреннего балансировщика нагрузки Azure для серверов AD FS.A private DNS A record for your federation service FQDN points to the private IP address of the internal Azure load balancer for the AD FS servers.

  • Общедоступный центр сертификации isssued цифровой сертификат для SSL-соединений с SAN, задайте для службы федерации PFX-файл, сохраненные на сервере синхронизации каталогов — это полное доменное имя.A public certification authority-isssued digital certificate suitable for SSL connections with the SAN set to your federation service FQDN is a PFX file stored on your directory synchronization server.

  • Корневой сертификат для общедоступного центра сертификации установлен в хранилище доверенных корневых центров сертификации на компьютерах и устройствах.The root certificate for the public certification authority is installed in the Trusted Root Certification Authorities store on your computers and devices.

Ниже приведен пример для организации Contoso.Here is an example for the Contoso organization:

Пример конфигурации инфраструктуры федеративной проверки подлинности с высоким уровнем доступности в AzureAn example configuration for a high availability federated authentication infrastructure in Azure

Пример конфигурации инфраструктуры для федеративной проверки подлинности Office 365 с высоким уровнем доступности в Azure

Настройка федеративной проверки подлинности с помощью Azure AD ConnectRun Azure AD Connect to configure federated authentication

Чтобы настроить серверы AD FS, прокси-серверы веб-приложений и Office 365 для федеративной проверки подлинности с помощью средства Azure AD Connect, сделайте следующее:The Azure AD Connect tool configures the AD FS servers, the web application proxy servers, and Office 365 for federated authentication with these steps:

  1. Создание удаленного рабочего стола на сервер синхронизации каталогов с помощью учетной записи домена, имеющей права локального администратора.Create a remote desktop connection to your directory synchronization server with a domain account that has local administrator privileges.

  2. С рабочего стола сервер синхронизации каталогов, откройте Internet Explorer и перейдите к https://aka.ms/aadconnect.From the desktop of the directory synchronization server, open Internet Explorer and go to https://aka.ms/aadconnect.

  3. На странице Microsoft Azure Active Directory Connect нажмите Скачать, а затем Запустить.On the Microsoft Azure Active Directory Connect page, click Download, and then click Run.

  4. На странице Добро пожаловать в Azure AD Connect установите флажок Принимаю и нажмите кнопку Продолжить.On the Welcome to Azure AD Connect page, click I agree, and then click Continue.

  5. На странице Стандартные параметры нажмите кнопку Настроить.On the Express Settings page, click Customize.

  6. На странице Установка обязательных компонентов нажмите кнопку Установить.On the Install required components page, click Install.

  7. На странице Вход пользователя выберите Федерация с AD FS и нажмите кнопку Далее.On the User sign-in page, click Federation with AD FS, and then click Next.

  8. На странице Подключение к Azure AD введите имя и пароль учетной записи глобального администратора Office 365 и нажмите кнопку Далее.On the Connect to Azure AD page, type the name and password of a global administrator account for your Office 365 subscription, and then click Next.

  9. На странице Подключить каталоги убедитесь, что в разделе Лес выбран локальный лес Windows Server AD, введите имя и пароль учетной записи администратора домена, нажмите кнопку Добавить каталог, а затем кнопку Далее.On the Connect your directories page, ensure that your on-premises Windows Server AD forest is selected in Forest, type the name and password of a domain administrator account, click Add Directory, and then click Next.

  10. На странице Настройка входа в Azure AD нажмите кнопку Далее.On the Azure AD sign-in configuration page, click Next.

  11. На странице Фильтрация доменов и подразделений нажмите кнопку Далее.On the Domain and OU filtering page, click Next.

  12. На странице Уникальная идентификация пользователей нажмите кнопку Далее.On the Uniquely identifying your users page, click Next.

  13. На Фильтрация пользователей и устройств нажмите кнопку Далее.On the Filter users and devices page, click Next.

  14. На странице Дополнительные возможности нажмите кнопку Далее.On the Optional features page, click Next.

  15. На странице Ферма AD FS нажмите кнопку Настроить новую ферму AD FS.On the AD FS farm page, click Configure a new AD FS farm.

  16. Нажмите кнопку Обзор и укажите расположение и имя SSL-сертификата из общедоступного центра сертификации.Click Browse and specify the location and name of the SSL certificate from the public certification authority.

  17. Введите пароль сертификата и нажмите кнопку ОК.When prompted, type the certificate password, and then click OK.

  18. Убедитесь, что в полях Имя субъекта и Имя службы федерации указано полное доменное имя службы федерации, и нажмите кнопку Далее.Verify that the Subject Name and Federation Service Name are set to your federation service FQDN, and then click Next.

  19. На странице Серверы AD FS введите имя первого сервера AD FS (таблица M, элемент 4, "Имя виртуальной машины") и нажмите кнопку Добавить.On the AD FS servers page, type your first AD FS server's name (Table M - Item 4 - Virtual machine name column), and then click Add.

  20. Введите имя второго сервера AD FS (таблица M, элемент 5, столбец "Имя виртуальной машины"), нажмите кнопку Добавить, а затем кнопку Далее.Type your second AD FS server's name (Table M - Item 5 - Virtual machine name column), click Add, and then click Next.

  21. На странице Прокси-серверы веб-приложений введите имя первого прокси-сервера веб приложений (таблица M, элемент 6, столбец "Имя виртуальной машины") и нажмите кнопку Добавить.On the Web Application Proxy servers page, type your first web application proxy server's name (Table M - Item 6 - Virtual machine name column), and then click Add.

  22. Введите имя второго прокси-сервера веб-приложений (таблица M, элемент 7, столбец "Имя виртуальной машины"), нажмите кнопку Добавить, а затем кнопку Далее.Type your second web application proxy server's name (Table M - Item 7 - Virtual machine name column), click Add, and then click Next.

  23. На странице Учетные данные администратора домена введите имя пользователя и пароль администратора домена и нажмите кнопку Далее.On the Domain Administrator credentials page, type the user name and password of a domain administrator account, and then click Next.

  24. На странице Учетная запись службы AD FS введите имя пользователя и пароль администратора предприятия и нажмите кнопку Далее.On the AD FS service account page, type the user name and password of an enterprise administrator account, and then click Next.

  25. На странице Домен Azure AD, в разделе Домен, выберите DNS-имя домена организации и нажмите кнопку Далее.On the Azure AD Domain page, in Domain, select your organization's DNS domain name, and then click Next.

  26. На странице Готово к настройке нажмите кнопку Установить.On the Ready to configure page, click Install.

  27. На странице Установка завершена нажмите Проверить. Появятся два сообщения о том, что конфигурации интрасети и Интернета проверены.On the Installation complete page, click Verify. You should see two messages indicating that both the intranet and Internet configuration was successfully verified.

    • В сообщении интрасети должен быть указан частный IP-адрес внутреннего балансировщика нагрузки Azure для серверов AD FS.The intranet message should list the private IP address of your Azure internal load balancer for your AD FS servers.

    • В сообщении Интернета должен быть указан публичный IP-адрес внешнего балансировщика нагрузки Azure для прокси-серверов веб-приложений.The Internet message should list the public IP address of your Azure Internet-facing load balancer for your web application proxy servers.

  28. На странице Установка завершена нажмите Выход.On the Installation complete page, click Exit.

Ниже приводится окончательная конфигурация с именами-заполнителями для серверов.Here is the final configuration, with placeholder names for the servers.

Этап 5. Окончательная конфигурация инфраструктуры федеративной проверки подлинности с высоким уровнем доступности в AzurePhase 5: The final configuration of a high availability federated authentication infrastructure in Azure

Окончательная конфигурация инфраструктуры для федеративной проверки подлинности Office 365 с высоким уровнем доступности в Azure

Настройка инфраструктуры федеративной проверки подлинности с высоким уровнем доступности для Office 365 в Azure завершена.Your high availability federated authentication infrastructure for Office 365 in Azure is complete.

См. такжеSee Also

Развертывание в Azure федеративной проверки подлинности для обеспечения высокой доступности в случае использования Office 365Deploy high availability federated authentication for Office 365 in Azure

Федеративное удостоверение для среды разработки и тестирования Office 365Federated identity for your Office 365 dev/test environment

Освоение облака и гибридные решенияCloud adoption and hybrid solutions

Федеративные удостоверения для Office 365Federated identity for Office 365