关于部署基于Office 365的ADFS的进一步探讨

本文分两个部分探讨

一：是否有必要部署ADFS服务器

二：怎样快速部署ADFS

众所周知，ADFS是全称是活动目录联合认证服务，主要是用于做单点登录和联合认证的，在实施Office 365项目的时候往往会因为ADFS本身的复杂性（需要公网证书，需要至少2台/考虑高可用4台服务器，需要复杂的配置），让人由爱生恨！

好在产品组体恤民情，在最新版本的目录同步工具Azure AD Connect里面，做了两个重大的改进

1：Azure AD Connect可以实现单点登录功能

2：Azure AD Connect自动配置ADFS3.0

一：使用Azure AD Connect新功能，降低部署ADFS服务器的必要性

通过最新的Azure AD Connect，尽量不要去部署ADFS服务器，我们看看Azure AD Connect最新的功能

其中圈一，我们叫直通模式，通过Azure AD Connect，把Azure AD和本地AD直接打通，当用户在Azure AD上去认证的时候，后台直接把认证引向本地AD

传统的方式，因为Azure AD和本地AD没有直接打通，导致需要通过ADFS来跳转

圈二，通过直通模式，实现统一认证源的单点登录

通过直通模式这一个新功能，让我们在一下情况可以不需要考虑ADFS

1：不同步密码密文

传统方式因为不同步密码，为了方便一般都会通过ADFS来跳转到本地AD，现在通过直通模式，直接实现本地AD认证:

2：只实现单点登录需求

将ADFS的单点登录功能实现了，无需部署ADFS服务器

3：其他待大家补充

以上情况还需要考虑ADFS

1：联合认证/本地MFA

和第三方系统做联合认证，需要依赖于ADFS，另外就是做本地MFA，比如使用赛门铁克VIP做短信/电话+AD用户/密码做双因素验证时候，必须要考虑

2：访问控制等ADFS高级功能

MDM，用户访问控制等ADFS自带的高级功能

3：基于ADFS的身份管理功能二次开发

提供了标准的接口，供开发实现需求

总结：总的说来，密码不同步和单点登录这两个是最常见的需求，已经通过Azure AD Connect实现，极大降低了部署难度。

二：通过Azure AD Connect自动配置ADFS功能，快速部署ADFS3.0

传统部署ADFS服务器，需要一台一台服务器部署，现在通过Azure AD Connect自动配置ADFS功能，可以快速部署，但是需要注意一下事项

1：ADFS需要使用3.0版本，Windows Server 2012R2及Windows Server 2016自带ADFS3.0

2：Azure AD Connect安装的服务器，需要Windows Server 2012R2及Windows Server 2016，否则很多功能无法使用

3：ADFS Web Application Proxy（WAP） 服务器一定要加域（不加域会遇到一个已知的BUG，导致配置过程巨复杂，等待产品组修复）

A：准备工作

同步服务器：Windows Server 2012 R2，加域，安装Azure AD Connect，建议不要在AD服务器上

ADFS服务器：Windows Server 2016，加域，防火墙关闭

ADFS WAP服务器：Windows Server 2016，加域，防火墙关闭

Office 365绑定公网域名wumaoge.cn, 本地AD的UPN后缀修改为wumaoge.cn，保证Azure AD和本地AD的UPN后缀统一

管理员账户一个，UPN后缀千万不要用wumaoge.cn(因为这个账户认证千万不可以通过ADFS跳转)

通配符公网证书一个，绑定wumaoge.cn（感谢Digicert的赞助）

B：运行Azure AD Connect

选择自定义后，按照默认下一步，我就只说明要注意的地方

1：链接Azure AD 时，千万不要使用wumaoge.cn后缀的管理员账户，建议使用系统默认后缀账户

2：选择新建ADFS场，导入公网证书，在内部DNS服务器上添加A记录，把FS.wumaoge.cn执行ADFS服务器的内部IP（供内部用户登录），在域名提供商那里把FS.wumaoge.cn执行ADFS WAP服务器的公网IP（供外部用户登录）

3：添加ADFS和ADFSWAP服务器（如果考虑高可用，可以选择多个服务器）

最后一只下一步，到最后，点击验证成功后，ADFS服务器部署完毕

总结：通过Azure AD Connect，结合ADFS3.0功能，极大提高了部署效率