上周微软的年度技术大会(Microsoft Tech Summit 2018) 在上海世博中心如期举行,我作为演讲嘉宾,与我的同事在周六(10月27日)的早上给大家分享了“基于Office 365的单点登录及应用解决方案”。
这个讲座不仅仅给大家介绍了为什么需要单点登录,以及单点登录的两种实现原理和典型场景,包括同步身份认证和联合身份认证。
无缝单点登录是直接将本地的AD与云端的Azure AD进行同步,通过这样的方式可以使得已经登陆本地AD的用户(或者设备)自动地能登陆到支持Azure AD进行身份认证的服务(例如Office 365)。
而联合身份认证,则能适用于更加复杂的业务场景,例如自定义登录界面和身份验证逻辑,尤其是您希望将用户数据存储在异构环境或者数据库中。我们可以通过微软提供的ADFS实现联合身份认证,也支持第三方IdP实现。
非常感谢专程来参加讲座的一百多位现场的朋友们,在那么一个周末的美丽早晨大家能赶过来实在很给面子。为了答谢大家的支持,我承诺送出几本本人的拙作《Office 365 开发入门指南》,今天我已经通过邮件通知到所有提交了调查表的朋友们,并恭喜下面三位幸运观众。
如果大家有对Office 365单点登录解决方案有兴趣,或者有遇到什么比较难的技术问题,也可以继续通过 https://aka.ms/ssosurvey 提交必要的信息与我取得联系。
精彩视频分享
为了本次讲座,我的同事(鸿鹏)做了充足的准备,他分别针对上面提到的多种不同的场景准备了演示环境,并且为了避免现场演示受到网络或者其他不可抗力影响,他还专门录制了视频。这里一并分享给大家参考。
基于ADFS 实现单点登录解决方案
采用 ADFS 的架构,与本地AD进行同步的方案,无需编程即可实现单点登陆解决方案。下面这个视频,展示了在网页端,客户端中分别进行登陆的场景和效果。
ADFS 方案的具体配置
那么,这个方案到底是怎么实现的呢?最简单的架构,至少包含一台域控制器,一台ADFS服务器,一台ADFS Proxy服务器。域控制器和ADFS服务器是可以部署在企业内网的,而ADFS Proxy服务器则可以暴露在外网供用户登录。有关如何配置ADFS服务起来实现单点登录的详细步骤,如有兴趣可以参考 https://aks.ms/adfsconfig
需要注意的是,ADFS 不仅仅支持与AD进行同步,也支持将LDAP添加为Claims Provider Trust,请参考 https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-ad-fs-to-authenticate-users-stored-in-ldap-directories
第三方认证提供程序(IdP)方案
如果您的业务应用平台是使用了自定义的用户账号系统,您希望最大化定制化用户的登录体验,则可以按照WS-Federation 或者SAML 2.0的协议规范开发第三方认证提供程序(IdP)然后将其与Office 365实现联合身份认证。有关如何开发和配置IdP来单点登录,请参考 https://aka.ms/idpconfig
重点在最后
最后,希望这些分享对大家有所帮助。如果大家需要演讲的PPT和录播视频,请在评论区留下您的邮箱,我会在会务组准备好之后,通过邮件发给大家。
本文分享自 寒树Office与RPA 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!