首先,让我描述一下这个场景。我正在尝试为一个相对较小的私人组织(假设约 30-40 人)建立一个小型组织网络,主要需要的服务是电子邮件、日历和共享文档。那里没有实体场所,所以严格来说,没有“本地”——每个人都会在线访问它。不需要内部网络,也不需要加入域的机器。此外,没有现有的部署——这一切都是从头开始构建的。预算也相当有限。
理想情况下,我们希望采用全云解决方案来最大限度地减少维护麻烦。同时,我们还希望最大限度地降低每位用户的每月成本。似乎最有效的方法是获取 Office 365 Exchange Online Kiosk 计划 - 每位用户 2 美元,提供电子邮件和日历,但不提供文档 - 然后启动最便宜的 (A0) Azure VM 并在其上运行 SharePoint Foundation 以提供文档服务。虽然后者对于服务器来说会非常慢,但这也是很少访问的内容,几乎从不并发访问,并且主要用于读取而不是编写,因此性能影响是可以接受的;而考虑到预算紧张,为所有 30 位用户支付每月 15 美元,而不是每位用户额外支付 2 美元,升级到 Office 365 Enterprise K1(包括 SharePoint Online)可以节省大量成本。
现在来谈谈问题本身。通过此设置,我希望 Office 365 身份成为用户的主要身份,并且他们只需记住一个登录名和密码;如果可能的话,我希望避免在该 VM 上运行和维护任何不必要的本地服务。因此,理想情况下,我希望以某种方式告诉本地 SharePoint 实例根据 Office 365 对用户进行身份验证,然后就这样了。如果这不可能,我需要想出一些方案,以启用 SharePoint VM 上的本地 AD 实例和 Office 365 之间的帐户共享和/或同步。
不过,尝试弄清楚如何做到这一点已被证明是相当困难的。关于本地域和 Office 365 之间的互操作性有很多文档,但它们似乎都假设本地身份是主要的,因此同步方向是从本地到云,而不是反之亦然,正如我所期望的那样。还有很多看似重叠且名称令人困惑的技术涵盖该领域 - ADFS、Azure FS、DirSync 是不断出现的三个。
那么,我到底需要查看哪里,需要学习什么,才能弄清楚如何按照我想要的方式进行设置?如果有几种不同的选择,那么从长远来看,哪一种最不容易损坏且维护成本最低?
答案1
Sharepoint 2013 接受使用 SAML 1.1 身份验证的登录。由于您使用的是 Office365,因此您的用户位于 Azure AD 实例中。Azure AD 直接支持许多身份验证方案,但 SAML 1.1 不是其中之一。但是,Azure 访问控制服务可以充当“中继”,并为您提供基于 SAML 1.1 的身份验证服务。您会发现大量有关设置的博客文章,但我会向您推荐 MS technet 的官方文档:使用 Microsoft Azure Active Directory 进行 SharePoint 2013 身份验证。
也就是说,使用 Sharepoint Online 显然要容易得多,所以如果我是你,我一定会在开始设置你自己的 Sharepoint 基础设施之前检查它是否满足你的要求。
答案2
对于小型企业来说,您想要实现的目标非常复杂,我无法想象由于您尝试实施不受支持的解决方案,您将如何支持未来出现的问题。
允许用户使用相同的 Office 365 帐户对 SharePoint 进行身份验证的唯一可能方法是启用已同步(Azure AD Connect)或者联合 (ADFS)针对您当前没有的本地永久(或在您的情况下为 Azure VM)Active Directory 部署。https://support.office.com/en-us/article/Understanding-Office-365-identity-and-Azure-Active-Directory-06a189e7-5ec6-4af2-94bf-a22ea225a7a9
如果成本是一个问题,@PJ Mahoney 提供了一个很好的建议,让你的用户了解两个不同系统的存在并让他们接受它。请记住,这可能会产生对两个不同系统的支持和维护的隐性成本。
如果成本不是问题,那就选择 Office 365 Business Essentials 计划,每位用户每月需花费 5 美元,此外您还可以获得 Skype for Business,这将是您最初建议的 2 美元价格的两倍,但从长远来看,我认为这是让事情井然有序和简单的更好的投资。