我正在尝试让 SSO 与 Office 365 和 Sharepoint online 配合使用,但我真的很困惑。我的内部域名是“internal.com”,外部名称是“external.com”。external.com 已作为域添加到 O365 中,但 internal.com 未添加。我是否应该将 internal.com 放在外部 DNS 服务器上,并将其作为域添加到 O365 中?这样我的内部用户就不必登录 external.sharepoint.com 了吗?
答案1
当您与 Office 365 同步时,您的内部域必须是可路由的地址,并且应将其分配给用户 UPN 后缀。当您同步用户时,您将使用与内部相同的登录名([电子邮件保护])登录 Office 365。
可以从 external.com(即 sts.external.com)访问您的联合端点,因为服务器将配置为与内部系统通信。这不会更改用户用于登录的名称。
答案2
您需要将外部域(电子邮件域)添加为内部 Active Directory 用户的备用 UPN 后缀。
添加 UPN 后缀(来自 TechNet)
- 打开 Active Directory 域和信任。要打开 Active Directory 域和信任,请单击“开始”,单击“管理工具”,然后单击“Active Directory 域和信任”。
- 在控制台树中,右键单击“Active Directory 域和信任”,然后单击“属性”。
- 在“UPN 后缀”选项卡上,为林键入备用 UPN 后缀,然后单击“添加”。
- 重复步骤 3 以添加其他备用 UPN 后缀。
如果需要更新现有用户的 UPN 后缀,本文Office 365 支持网站上有相关背景信息和方便的 PowerShell 脚本。您可能没有使用 domain.local,但所有概念仍然适用。