ADFS 3.0 setup UPN suffix per Office 365 SSO – pt. 1

adfs30upnsuffix01

Per abilitare il Single Sign-On con Office 365, ADFS 3.0 è il servizio da configurare per implementare il processo di federation con Office 365.

Il concetto di high availability diventa il punto chiave in ADFS perchè una volta che si utilizza l’SSO con Office 365, il processo di autenticazione si basa completamente sulla propria Active Directory locale.

Per mantenere il più alto fattore di HA, i componenti ADFS dovrebbero essere installati su virtual server diversi nella propria infrastruttura virtuale e idealmente anche su hosts diversi per prevenire perdite di servizio dovute a problemi hardware.

 

Blog serie

ADFS 3.0 setup UPN suffix per Office 365 SSO – pt. 1
ADFS 3.0 certificato SSL signing request – pt. 2
ADFS 3.0 installazione Server ADFS – pt. 3
ADFS 3.0 installazione Server WAP – pt. 4
ADFS 3.0 federare Office 365 – pt. 5
ADFS 3.0 installazione Directory Sync tool – pt. 6
ADFS 3.0 distribuire Office 365 – pt. 7

 

Prerequisiti

Per implmentare il servizio ADFS 3.0 abilitando la funzione Single Sign-On con Office 365, tre componenti principali devono essere configurati:

  • ADFS Server
  • ADFS WAP Server
  • Directory Sync Server

 

 

Schema

Lo schema base per configurare l’ambiente ADFS per abilitare il servizio SSO è il seguente:

adfs30upnsuffix02

Un design più complesso e robusto dovrebbe includere una configurazione di tipo load-balanced per meglio distribuire il carico tra i server ADFS.

 

Setup UPN suffix

Se il dominio utilizzato nella rete interna LAN non coincide con il dominio da federare con Office 365, un UPN suffix dedicato deve essere aggiunto in Active Directory per farlo coincidere con il nome esterno.

Interno:  nolabnoparty.local
Esterno:  nolabnoparty.com

Per configurare l’UPN suffix aprire l’Active Directory Domain and Trust snap-in, effettuare un click con il tasto destro del mouse sulla voce Active Directory Domain and Trust e selezionare l’opzione Properties.

adfs30upnsuffix03

Digitare nel campo Alternative UPN suffixes il nome del dominio che coincide con il dominio esterno utilizzato per federare Office 365 e cliccare su Add.

adfs30upnsuffix04

Cliccare su OK per salvare la configurazione e chiudere la finestra Active Directory Domain and Trust.

adfs30upnsuffix05

Il nuovo UPN suffix deve essere poi assegnato agli utenti in modo da permettere l’autenticazione con il dominio federato.

Aprire l’Active Directory Users and Computers e selezionare gli utenti da configurare. Effettuare un click con il tasto destra del mouse sulla selezione e scegliere l’opzione Properties.

adfs30upnsuffix06

Spuntare la voce UPN suffix, selezionare il dominio corretto e cliccare su OK per salvare la configurazione.

adfs30upnsuffix07

Analizzando le proprietà dell’utente, il campo User logon name è ora impostato con l’UPN suffix appena configurato.

adfs30upnsuffix08

L’UPN suffix è impostato ed entrambi i domini (interno ed esterno) coincidono.

Interno:  nolabnoparty.com
Esterno:  nolabnoparty.com

Nella parte 2 verrà illustrata la procedura per effettuare la richiesta del certificato SSL,  uno dei componenti ADFS richiesti per Office 365 SSO.

firma