… avagy ADFS és jelszó szinkronizáció egyszerre.
ADFS-t csak teljesen megbízható az infrastruktúrára alapozva érdemes használni Office 365-el. Ehhez 5 szerver kell ( 2 proxy a DMZ-ben, 2 ADFS szerver, ADSync ). Célszerű, hogy a szerverekből legalább kettő fizikailag különböző helyen legyen, lehetőleg nem ugyanabban az épületben és az internet kapcsolatunk is jó, ha redundáns. Valami ilyesmit kell építenünk, ha biztosra szeretnénk menni:
Manapság, már nem mindig érdemes ADFS infrastruktúrát építeni, hiszen ha csak jelszó szinkronizálásra van szükség elég az AAD Sync. Viszont ez nem igazi egyszeri bejelentkezés, csak és kizárólag arra jó, hogy a helyi AD-s jelszavakkal be tudjunk jelentkezni az Azure AD-ba. Ha szeretnénk pl. a helyi AD-hoz kapcsolt tokenes megoldást használni, rögtön ADFS-re van szükség.
Egy szónak is száz a vége, az ADFS jó bonyolult és ha nem működik, nem tud majdnem senki bejelentkezni az Office 365-be. Mivel az Office 365-től nagy rendelkezésre állást várunk el, ha ADFS-t használunk, gyakorlatilag a helyi ADFS rendelkezésre állásának a szintjére visszük le az Office 365-ét is. Pedig az geo redundáns meg minden.
Szerencsére lehet mentésünk:
Immár be tudjuk kapcsolni a jelszó szinkronizálást az AAD Sync-ben (DirSync), akkor is, ha az ADFS aktív. Ez viszonylag egyszerű.
Mit kell tennünk, ha nem megy az ADFS és gyors átmeneti megoldás kell? ( Pl. ADFS upgrade-nél )
$cred = Get-Credential
Connect-MsolService –Credential $cred
Set-MsolAdfscontext -Computer <AD FS szerver>
Convert-MSOLDomainToStandard –DomainName domainnev.hu –SkipUserConversion $true
Fontos, hogy ne olyan felhasználóval jelentkezzünk be, aki a federált tartományban van. Ha nem felhős felhasználóval lépünk be, a következő hibaüzenetet fogjuk kapni:
Convert-MSOLDomainToStandard : When converting domains, please sign in using the initial company administrator credentials (user name and password).
A tartomány átállítás be fogunk tudni jelentkezni ADFS infrastruktúra nélkül az Office 365-be a hely AD jelszóval. Fontos, hogy bár amikor próbáltam nekem azonnali volt, de elképzelhető, hogy akár 2 óra is lehet az átállás. Ne alapozzon erre senki, de ha mégis baj van, jól jöhet.
Az átállítás után NE módosítsuk a következő AD attribútumokat:
UserPrincipalNames
ImmutableIds
Miután megjavítottuk az ADFS infrastruktúrát, a tartományt visszaállíthatjuk federált állapotba és minden megy tovább a régiben.
|
A ZOMPUTER vezetője vagyok, rendszermérnök, a kezdetektől, 2009 óta foglalkozom a Microsoft felhőszolgáltatásaival. Több száz ügyfélnél összesen több mint 50 ezer felhasználó felhős bevezetésében vettem részt a világ 25 országában. Rendszeresen tartok felhős előadásokat a partnereknek. 2010 óta vagyok Office 365 MVP, amely címmel a világon 3.-ként tüntettek ki. |
Hozzászólások
diherbal
Heya i'm for the first time here. I found this board and I to find It truly useful & it helped me out much. I am hoping to give something again and help others like you helped me. obat herbal amazon plus I was recommended this blog by my cousin. I am not certain whether this put up is written via him as no one else recognize such exact about my difficulty. You are amazing! Thank you! obat herbal hiv aids ampuh Excellent blog here! Additionally your site lots up fast! obat herbal batu empedu tanpa operasi