场景:小型公司(<200 个用户)、本地 Active Directory(单个域,2008R2 级别)、Exchange 2010、Lync 2010 和 SharePoint 2013 的内部部署。
该公司希望将 Exchange、Lync 和 SharePoint 服务完全云化,因此将所有内容迁移到 Office 365;但是,本地 AD 将保留为主要身份验证系统,因为存在各种其他应用程序服务器,并且要求将用户和计算机加入域。
在这种情况下,应该使用 ADFS 还是 DirSync 就足够了?
ADFS 是必需的还是可选的?
如果是可选的,与更简单的仅使用 DirSync 的解决方案相比,它将提供哪些好处(和注意事项)?
答案1
这取决于您的需求,如果您需要为您的环境提供 SSO,则应部署 ADFS。另一方面,如果您只希望您的用户使用他们的 AD 密码登录 Office365,则应使用 DirSync。
在前一种情况下,授权由您的 AD 环境执行,并受到 Office 365 的信任。在 DirSync 场景中,实际上是 Office365 将执行身份验证,而不是您的本地 AD。
由于您的 AD 将成为主要的身份验证系统,因此我看不出部署 ADFS 而不是仅使用 DirSync 的真正理由。
答案2
ADFS 将允许您使用在 AD 上设置的相同密码。DirSync 现在通过密码同步提供相同的功能。因此可以避免 ADFS。但如果部署了 ADFS,则每当您登录 Office 365 时,您都会被重定向到 ADFS 服务器进行身份验证。如果 ADFS 服务器关闭,则有可能无法进行身份验证。