建立了本地 Active Directory 环境的许多公司的一个常见要求就是能够利用现有的本地用户帐户和组帐户。利用现有的本地用户帐户和组帐户能够大幅降低运营成本,并可以让最终用户更方便地访问订阅的 Microsoft 云服务。目录同步是标识与访问管理解决方案的基本但至关重要的方案,用于与 Azure Active Directory 进行集成。借助目录同步,你可以使用本地 Active Directory 管理工具来管理云用户帐户与组帐户的整个生命周期。实施此方案后,可以根据在本地 Active Directory 中找到的信息自动设置和取消设置云中的用户帐户和组帐户。

目录同步分为四个步骤,如下图:

1. 添加域。点击“active directory”,进行本地域的添加

2. 点击“域”-“添加”

3. 输入本地域名,点击“添加”。配置如下图

4. 完成添加后,页面跳转到“目录集成”

5. 在目录集成中的目录同步中,点击“已激活”,最后保存。

6. 经过上述两个步骤,已经完成了“添加域”和“配置单一登录并且准备目录同步”。下载目录同步工具。

7. 安装好目录同步工具。运行配置向导。这里输入azure管理员的帐号和密码,点击”下一步”。

8. 输入本地域管理员帐号和密码,点击”下一步”。

9. 勾选“启用混合部署”,点击”下一步”。

10. 点击”下一步”。

11. 点击”下一步”

12. 点击“完成”。

13. 在安装目录同步工具的路径下找到miisclient,双击打开。

C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

14. 对azure域控制器进行同步

15. 对本地域控制器进行同步。

16. 在azure的管理页面上查看本地用户是否同步成功。这里已经同步成功。

17. 由于aaa.com这个域名是没有经过验证的,所以无法验证这个域。

至此已经完成了本地用户同步到azure上,在本地结合 AD FS就可以实现单点登录了!后续会补上这个实验,敬请关注本博客。