Tek Oturum Açma için Office 365 için ADFS'yi ayarlama

Not

Office 365 ProPlus kurumsal olarak Microsoft 365 uygulamalarıolarak yeniden adlandırıldı. Bu değişiklik hakkında daha fazla bilgi için Bu blog gönderisini okuyun.

Bu videoda, Office 365 ile birlikte çalışacak Şekilde Active Directory Federation Service (ADFS) nasıl ayarlanacağı gösterilmektedir. ADFS proxy sunucu senaryosunu kapsamaz. Bu videoda Windows Server 2012 R2 için ADFS açıklaşılmaktadır. Ancak, yordam ADFS 2.0 için de geçerlidir — adım 1, 3 ve 7 hariç. Bu adımların her birinde, Windows Server 2008'de bu yordamın nasıl kullanılacağı hakkında daha fazla bilgi için "ADFS 2.0 için Notlar" bölümüne bakın.

Videodaki adımlar için yararlı notlar

Adım 1: Active Directory Federation Services yükle

Roller ve Özellikler Ekle Sihirbazı'nı kullanarak ADFS ekleyin.

ADFS 2.0 için notlar

Windows Server 2008 kullanıyorsanız, Office 365 ile çalışabilmek için ADFS 2.0'ı karşıdan yüklemeniz ve yüklemeniz gerekir. Aşağıdaki Microsoft Download Center web sitesinden ADFS 2.0'ı edinebilirsiniz:

Aktif Dizin Federasyon Hizmetleri 2.0 RTW

Yüklemeden sonra, geçerli tüm güncelleştirmeleri indirmek ve yüklemek için Windows Update'i kullanın.

Adım 2: Federasyon sunucu adı için üçüncü taraf bir CA'dan sertifika isteyin

Office 365, ADFS sunucunuzda güvenilir bir sertifika gerektirir. Bu nedenle, bir üçüncü taraf sertifika yetkilisinden (CA) sertifika almanız gerekir.

Sertifika isteğini özelleştirdiğinizde, Ortak ad alanına Federasyon sunucu adını eklediğinizden emin olun.

Bu videoda, yalnızca sertifika imzalama isteğinin (CSR) nasıl oluşturacağımızı açıklıyoruz. CSR dosyasını üçüncü taraf bir CA'ya göndermeniz gerekir. CA imzalı bir sertifikayı size iade edecektir. Ardından, sertifikayı bilgisayar sertifika deposunuza almak için aşağıdaki adımları izleyin:

  1. Yerel bilgisayarın sertifika deposunu açmak için Certlm.msc çalıştırın.
  2. Gezinti bölmesinde, Kişisel'iGenişlet, Sertifikayıgenişlet, Sertifika klasörünü sağ tıklatın ve sonra Içe Aktar'ıtıklatın.

Federasyon sunucu adı hakkında

Federasyon Hizmeti adı, ADFS sunucunuzun Internet'e bakan etki alanı adıdır. Office 365 kullanıcısı kimlik doğrulaması için bu etki alanına yönlendirilir. Bu nedenle, etki alanı adı için herkese açık bir A kaydı eklediğinizden emin olun.

Adım 3: ADFS'yi Yapılandır

Federasyon sunucu adı olarak bir adı el ile yazamazsınız. Ad, yerel bilgisayarın sertifika deposundaki bir sertifikanın özne adı (Ortak ad) tarafından belirlenir.

ADFS 2.0 için notlar

ADFS 2.0'da, Federasyon sunucu adı, Internet Bilgi Hizmetleri'nde (IIS) "Varsayılan Web Sitesi"ne bağlanan sertifika tarafından belirlenir. ADFS'yi yapılandırmadan önce yeni sertifikayı Varsayılan web sitesine bağlamanız gerekir.

Herhangi bir hesabı hizmet hesabı olarak kullanabilirsiniz. Hizmet hesabının parolasının süresi dolmuşsa, ADFS çalışmayı durdurur. Bu nedenle, hesabın parolasının asla sona ermeyecek şekilde ayarlandıklarından emin olun.

Adım 4: Office 365 araçlarını indirin

Windows PowerShell için Windows Azure Active Directory Modülü ve Azure Active Directory sync appliance Office 365 portalında mevcuttur. Araçları elde etmek için Etkin Kullanıcılar'ıtıklatın ve sonra Tek oturum açma'yı tıklatın: Ayarlayın.

Adım 5: Etki alanınızı Office 365'e ekleme

Video, etki alanınızın Office 365'e nasıl ekleyeceğinive doğrulayacağınızı açıklamaz. Bu yordam hakkında daha fazla bilgi için bkz.

Adım 6: ADFS'yi Office 365'e bağlayın

ADFS'yi Office 365'e bağlamak için Windows PowerShell için Windows Azure Dizin Modülü'nde aşağıdaki komutları çalıştırın.

Not Set-MsolADFSContext komutunda, Federasyon sunucu adı yerine dahili etki alanınızda ADFS sunucusunun FQDN'sini belirtin.

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the ADFS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Office 365>

Komutlar başarıyla çalıştırılırsa, aşağıdakileri görmeniz gerekir:

  • ADFS sunucunuza "Microsoft Office 365 Tanım Platformu" Güvenerek Parti Güveni eklenir.
  • Office 365 portalında oturum açmak için özel alan adını e-posta adresi olarak kullanan kullanıcılar ADFS sunucunuza yönlendirilir.

Adım 7: Yerel Active Directory kullanıcı hesaplarını Office 365 ile eşitleme

Dahili alan adınız e-posta adresi soneki olarak kullanılan dış etki alanı adından farklıysa, yerel Active Directory etki alanına alternatif bir UPN soneki olarak dış etki alanı adını eklemeniz gerekir. Örneğin, iç etki alanı adı "company.local" ancak dış etki alanı adı "company.com." Bu durumda, alternatif bir UPN soneki olarak "company.com" eklemeniz gerekir.

Dizin Eşitleme Aracı'nı kullanarak kullanıcı hesaplarını Office 365 ile senkronize edin.

ADFS 2.0 için notlar

ADFS 2.0 kullanıyorsanız, hesabı Office 365 ile eşitlemeden önce kullanıcı hesabının UPN'sini "company.local"dan "company.com" olarak değiştirmeniz gerekir. Aksi takdirde, kullanıcı ADFS sunucusunda doğrulanmaz. 

Adım 8: Tek Oturum Açma için istemci bilgisayarı yapılandırın

Federasyon sunucu adını Internet Explorer'daki yerel Intranet bölgesine ekledikten sonra, kullanıcılar ADFS sunucusunda kimlik doğrulamayı denediğinde NTLM kimlik doğrulaması kullanılır. Bu nedenle, kimlik bilgilerini girmeleri istenmez.

Yöneticiler, etki alanına katılan istemci bilgisayarlarda Tek Oturum Açma çözümlerini yapılandırmak için Grup İlkesi ayarlarını uygulayabilir.