通过TMG发布Office365的ADFS服务

前面我们介绍了office365的联合身份验证配置、Active Directory的同步筛选及角色分配等,今天呢主要介绍如何通过TMG将office365的ADFS服务发布到外网,这样在外部直接就可以通过本地的Active Directort用户验证及管理Office365的portal页面。要说到发布其实我们有两种方式,1.直接发布ADFS服务的对应端口(80、443).2.发布ADFS代理服务器的80、443端口,其实第二种方式是微软建议的,从安全的级别上推荐的。今天我们介绍第一种方法,通过TMG直接发布Office365的ADFS服务的80、443端口;

关于ADFS代理服务器的安装及配置,我们已在之前的文章中有介绍,访问地址:

http://gaowenlong.blog.51cto.com/451336/1605502

首先确认的是ADFS服务的服务器器的内部地址是10.10.1.10

clip_p_w_picpath002

然后我们通过tmg需要将adfs的80、443端口发布到外网;

打开TMG管理控制台----防火墙策略---新建---非web服务器协议发布规则

clip_p_w_picpath004

发布名称----publish adfs prot

clip_p_w_picpath006

Office365的ADFS服务的服务器内部地址:10.10.1.10

clip_p_w_picpath008

协议类型----我们选择新建

clip_p_w_picpath010

定义好协议名称后,我们选择新建端口----然后选择协议类型---TCP-----选择方向---入站----选择端口----80、443

clip_p_w_picpath012

同样选择TCP----入站---443

clip_p_w_picpath014

然后外部地址接口即可

clip_p_w_picpath016

 

我们为office365的ADFS服务发布了两条规则,其实一般只发布https的对应端口即可;

 clip_p_w_picpath018

发布后我们还需要在iternalsoft.com这个域内添加域名解析记录(供外部解析访问)

Adfs.iternalsoft.com 指向外网发布的ip地址

clip_p_w_picpath020

然后我们在外网测试解析,正确返回解析地址

clip_p_w_picpath022

为了更确认,我们可以telnet adfs.iternalsoft.com 的80、443端口

clip_p_w_picpath024

我们在外网进行测试访问

clip_p_w_picpath026

重定向

clip_p_w_picpath028

提示证书不受信任---单击继续访问

clip_p_w_picpath030

输入有效的用户及密码---登录

clip_p_w_picpath032

成功登录

clip_p_w_picpath034