Federation service certificates
您需要在SharePoint混合环境中管理多个证书。
如果考虑将AD FS用于SSO,则需要SSL证书。AD FS广泛使用SSL证书。您必须使用X.509证书,并且必须在所有AD FS和Web应用程序代理服务器节点上应用相同的证书。
对于SharePoint混合部署,公共Internet上的AD FS服务需要由受信任的证书颁发机构(CA)颁发的公共SSL证书,例如GeoTrust,Symantec或Thawte。重要的是SSL证书的主题名称或主题备用名称(SAN)'dnsName'与为AD FS服务名称配置的名称相匹配; 例如,sts.contoso.com或通配符* .contoso.com以包含子域。
如果您决定在组织中为SSO配置联合身份,则必须管理以下证书:
- 服务通信证书
- 令牌签名证书
- 令牌解密证书
有关令牌签名和令牌解密证书的信息发布在STS联合元数据上; 例如,https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml。Office 365使用公共联合元数据端点中发布的证书信息来警告管理员证书过期。
S2S ACS信任证书
这是SharePoint混合环境中的重要证书。服务器到服务器ACS信任证书用于签署代表用户发出的身份验证令牌。您可以使用几个选项来创建此证书。
- 解压缩部署在每个服务器场服务器上的内置自签名证书,并将其用作安全令牌服务(STS)签名证书,以便跨本地SharePoint场进行服务器间通信。
注意: Hybrid Picker在其信任配置中使用此选项; 因此,使用内置的自签名证书是此处的首选选项。此选项不会导致SharePoint本地服务器场停机,因为服务器场中已存在该证书。 - 从受信任的证书签名机构获取公开签名的安全套接字层(SSL)证书。
- 专门为此目的创建新的自签名证书。
SharePoint网站发布证书
发布SharePoint站点(Web应用程序或以主机命名的网站集)需要SharePoint站点发布证书; 例如,通过Web应用程序代理(WAP)服务发布https://intranet.contoso.com。这可确保SharePoint本地Web应用程序必须使用由公共证书颁发机构(PCA)颁发的SSL证书进行保护,并且可以信任Web应用程序的标识。这也是使用Web应用程序代理发布的要求。
客户端认证证书
客户端身份验证证书用于从Office 365请求进行客户端身份验证。建议使用单独的客户端身份验证证书。此证书必须由SharePoint Online信任的公共证书颁发机构颁发。客户端身份验证证书可以是以下类型之一:
- 它可以是标准域证书,它是与发布的SharePoint Web应用程序的外部URL匹配的单个名称。
- 它可以是基于SAN X.509标准的多域证书。
- 它可以是整个域的通配符证书。
重要说明:请注意,每个证书必须至少为2048位加密。
用户身份检查
作为混合身份准备过程的一部分,Microsoft建议扫描用户群以查找无法与Azure Active Directory同步的对象。无法同步可能有许多原因,例如用户主体名称中的不可路由域名或用户属性中的无效字符。Microsoft提供了一个名为IdFix的工具来帮助发现和解决这些问题
IdFix
可以从O365租户管理站点下载IdFix工具。它用于在启动目录同步过程之前扫描Active Directory。它可以检测并可选地修复许多典型的帐户问题,并在设置与Azure Active Directory的目录同步时节省大量时间。
IdFix软件要求
安装IdFix的计算机需要加入要从中将用户同步到Office 365的同一Active Directory域。计算机还需要安装.NET Framework 4.0。
如果您运行的是Windows Server 2008或Windows Server 2012,则可能已安装.NET Framework。如果没有,您可以从Microsoft下载中心或使用Windows Update下载.NET 4.0。
IdFix排除并支持对象和属性
IdFix无法检测并修复目录同步失败的所有可能原因,但它可以修复大多数目录。