使使用者能夠使用其 Office 365 帳戶登錄 SharePoint
首先,讓我描述一下場景。我正在嘗試為一個相對較小的私人組織(假設大約 30-40 人)建立一個小的組織網路,主要服務是電子郵件、日曆和共享文件。那裡沒有實體場所,因此嚴格來說沒有“本地”——每個人都將線上訪問它。不需要內部網路,也不需要加入域的機器。此外,沒有現有的部署 - 這一切都是從頭開始建構的。預算也相當有限。
理想情況下,我們需要一個全雲解決方案來最大程度地減少維護麻煩。同時,我們還希望將每個使用者的每月成本降到最低。似乎最有效的方法是獲取 Office 365 Exchange Online Kiosk 計劃 - 在 $ 2/user this gives email and calendaring, but not documents - and then spin up the cheapest (A0) Azure VM with SharePoint Foundation running on it to provide the document service. While the latter would be very slow for a server, but this is also something that would be accessed very rarely, pretty much never concurrently, and mostly to read rather than author, so performance implications are acceptable; while the cost savings from paying $ 鑑於預算緊張,所有 30 位使用者每月 15 美元,而不是額外的 2 美元/使用者升級到 Office 365 Enterprise K1(包括 SharePoint Online),這一點非常重要。
現在談談問題本身。通過此設置,我希望 Office 365 身份成為使用者的主要身份,並且他們只需要記住一個登錄名和密碼;如果可能的話,我想避免在該虛擬機上執行和維護任何不必要的本地服務。因此,理想情況下,我想通過某種方式告訴本地 SharePoint 實例針對 Office 365 對使用者進行身份驗證,然後將其保留。如果這是不可能的,我需要想出一些方案來實現 SharePoint VM 上的本地 AD 實例和 Office 365 之間的帳戶共享和/或同步。
然而,試圖弄清楚如何做到這一點已被證明是相當困難的。關於本地域和 Office 365 之間的互操作主題的文件有很多,但它們似乎都假設本地身份是主要的,因此同步方向是從本地到雲端,而不是相反,因為我打算。還有許多看似重疊且名稱混亂的技術涵蓋該領域——ADFS、Azure FS、DirSync 是不斷湧現的三個技術。
那麼,我到底需要在哪裡看,我需要學習什麼,才能弄清楚如何按照我想要的方式進行設置?如果有幾種不同的選擇,那麼從長遠來看,哪一種是最不脆弱和最需要維護的?
Sharepoint 2013 接受使用 SAML 1.1 身份驗證的登錄。由於您使用的是 Office365,因此您的使用者位於 Azure AD 實例中。Azure AD 直接支持許多身份驗證方案,但 SAML 1.1。不是其中之一。但是,Azure 訪問控制服務可以充當“中繼”,並為您提供基於 SAML 1.1 的身份驗證服務。您會發現大量關於設置的部落格文章,但我將向您推薦來自 MS technet 的官方文件:使用 Microsoft Azure Active Directory 進行 SharePoint 2013 身份驗證。
也就是說,使用 Sharepoint Online 顯然要容易得多,所以如果我是你,我會明確檢查這是否符合你的要求,然後再開始設置你自己的 Sharepoint 基礎設施。