使用ADFS Azure AD解决方案单点登录到Office 365…可能只要求一次信用吗？

Question

我正在为一个教育机构设计一个项目，目前我们使用SSO Toolkit 4.5设置了live @ edu。 我们有一个门户网站（自家种植），我们的用户使用他们的AD凭据登录（仅本地AD），然后我们将证书连线以传递给live @ edu，因此在他们查看时不再提示他们输入登录凭据他们的MS邮件。

MS将于今年年底停止对这种方法的支持，因此我们现在正在升级环境以与Office 365教育一起使用。 因此，我们已经使用Azure AD设置了ADFS，但是我正在努力制定一个流程，使我们的用户仍然只需要在我们的门户（外部）上输入一次登录凭据，然后为他们提供令牌，该令牌将一直保留到Office 365的旅程中。现在，它的工作方式如下：用户转到portal.microsoftonline.com并输入其电子邮件地址。 当他们跳出该字段时，MS会检查并找到我们的域，以便将用户重定向回ADFS解决方案的登录页面。 此时，要求用户再次登录（如果尚未登录），否则将被带到MS产品。

最重要的是，他们没有添加“单个”登录解决方案，而是添加了更多用户需要提供其凭据（或仅提供用户名（电子邮件地址））的位置。

我想知道是否有可以像SSO Toolkit 4.5那样向用户提供解决方案的解决方案，我们只能在门户上对用户进行一次身份验证，然后向他们提供O365服务的访问权限？

我根本不是基础设施人员，因此我可能在上面提供了一些有关如何设置内容的错误信息。 我从当前的实现中知道，我们需要使用“ WS-Federation”。

我想知道SAML方法是否可以解决上述问题，让我们仅在门户页面上挑战一次凭据。

任何想法或建议，将不胜感激。

TIA

Answer 1

确实有可能。 阅读有关AzureAD访问面板的信息（ http://blogs.technet.com/b/ad/archive/2014/10/30/customize-your-app-sso-experience-with-azure-ad.aspx ）

1）用户将导航到https://myapps.microsoft.com/ {your_school_domain_name.edu} 2）他们将直接重定向到您的ADFS服务器以进行登录3）登录后，他们将看到分配给他们的应用程序列表（包括O365应用程序）4）单击OWA / SharePoint图标并导航到该应用程序，而无需再次登录。

如果您想快速测试1）和2），请打开一个私有/认知浏览器并导航至https://myapps.microsoft.com/microsoft.com-您将不会看到O365或Azure AD签名页-而是将直接转到MSIT ADFS登录页面。

希望这可以帮助。