陈希章（O365开发指南）：干货分享-Office 365单点登录及应用集成解决方案

上周微软的年度技术大会（Microsoft Tech Summit 2018) 在上海世博中心如期举行，我作为演讲嘉宾，与我的同事在周六（10月27日）的早上给大家分享了“基于Office 365的单点登录及应用解决方案”。

这个讲座不仅仅给大家介绍了为什么需要单点登录，以及单点登录的两种实现原理和典型场景，包括同步身份认证和联合身份认证。

无缝单点登录是直接将本地的AD与云端的Azure AD进行同步，通过这样的方式可以使得已经登陆本地AD的用户（或者设备）自动地能登陆到支持Azure AD进行身份认证的服务（例如Office 365）。

而联合身份认证，则能适用于更加复杂的业务场景，例如自定义登录界面和身份验证逻辑，尤其是您希望将用户数据存储在异构环境或者数据库中。我们可以通过微软提供的ADFS实现联合身份认证，也支持第三方IdP实现。

非常感谢专程来参加讲座的一百多位现场的朋友们，在那么一个周末的美丽早晨大家能赶过来实在很给面子。为了答谢大家的支持，我承诺送出几本本人的拙作《Office 365 开发入门指南》，今天我已经通过邮件通知到所有提交了调查表的朋友们，并恭喜下面三位幸运观众。

如果大家有对Office 365单点登录解决方案有兴趣，或者有遇到什么比较难的技术问题，也可以继续通过 https://aka.ms/ssosurvey 提交必要的信息与我取得联系。

精彩视频分享

为了本次讲座，我的同事（鸿鹏）做了充足的准备，他分别针对上面提到的多种不同的场景准备了演示环境，并且为了避免现场演示受到网络或者其他不可抗力影响，他还专门录制了视频。这里一并分享给大家参考。

基于ADFS 实现单点登录解决方案

采用 ADFS 的架构，与本地AD进行同步的方案，无需编程即可实现单点登陆解决方案。下面这个视频，展示了在网页端，客户端中分别进行登陆的场景和效果。

ADFS 方案的具体配置

那么，这个方案到底是怎么实现的呢？最简单的架构，至少包含一台域控制器，一台ADFS服务器，一台ADFS Proxy服务器。域控制器和ADFS服务器是可以部署在企业内网的，而ADFS Proxy服务器则可以暴露在外网供用户登录。有关如何配置ADFS服务起来实现单点登录的详细步骤，如有兴趣可以参考 https://aks.ms/adfsconfig

需要注意的是，ADFS 不仅仅支持与AD进行同步，也支持将LDAP添加为Claims Provider Trust，请参考 https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-ad-fs-to-authenticate-users-stored-in-ldap-directories

第三方认证提供程序（IdP）方案

如果您的业务应用平台是使用了自定义的用户账号系统，您希望最大化定制化用户的登录体验，则可以按照WS-Federation 或者SAML 2.0的协议规范开发第三方认证提供程序（IdP）然后将其与Office 365实现联合身份认证。有关如何开发和配置IdP来单点登录，请参考 https://aka.ms/idpconfig

重点在最后

最后，希望这些分享对大家有所帮助。如果大家需要演讲的PPT和录播视频，请在评论区留下您的邮箱，我会在会务组准备好之后，通过邮件发给大家。