如何将私有域的 AD 身份联合到 public 服务?
How to federate AD identities of a private domain to public services?
我正在尝试将 AWS Cognito 连接到我的私有 AD 用户。我安装了 AD FS 和 AD FS 代理,但现在的问题是:由于我的域是私有的 (domain.local),我没有公开信任的 SSL 证书。因此我无法将 Cognito 连接到我的代理。
虽然我不精通 AWS Cognito,但我会说这是预期的行为。我相信通过 ADFS 将内部 Active Directory 域与 AWS Cognito 联合的原则与通过 ADFS 将内部 Active Directory 域与 Azure 云/Office 365 联合的原则相同。也就是说,只有 public 可路由的域才能获得 public 可信任的 SSL 证书。私有域(如 domain.local)只能让他们自己的内部 CA 信任它们——但 public 信任的 CA 永远不会信任该私有域。没有办法解决这个问题。要联合到 Azure,您必须证明域的所有权,然后使用 public 信任机构验证它,然后创建所需的 DNS TXT 记录,然后才能将域添加到 Office 365。如果不完成这些步骤,您将无法与任何事物结盟。在这种情况下,私有域有一个轻微的解决方法,但它会涉及获得一个 publicly 可路由的 DNS 域,这与您尝试进行快速测试的想法背道而驰。以防万一您感兴趣,联合内部名称空间以联合到 public 服务的解决方法是:
- 在 Active Directory 域和信任中添加可路由域 UPN 后缀
- 使用可路由的 UserPrincipleName 配置特定(或所有)用户
- 将用户同步到 Azure/Office 365
- 与其他 public 服务联合
这在 Microsoft Office 365 合作伙伴视频中的 29:05 标记处进行了解释,标题为:Office 365:Configuring DirSync and Single Sign On with ADFS - Part 1
我正在尝试将 AWS Cognito 连接到我的私有 AD 用户。我安装了 AD FS 和 AD FS 代理,但现在的问题是:由于我的域是私有的 (domain.local),我没有公开信任的 SSL 证书。因此我无法将 Cognito 连接到我的代理。
虽然我不精通 AWS Cognito,但我会说这是预期的行为。我相信通过 ADFS 将内部 Active Directory 域与 AWS Cognito 联合的原则与通过 ADFS 将内部 Active Directory 域与 Azure 云/Office 365 联合的原则相同。也就是说,只有 public 可路由的域才能获得 public 可信任的 SSL 证书。私有域(如 domain.local)只能让他们自己的内部 CA 信任它们——但 public 信任的 CA 永远不会信任该私有域。没有办法解决这个问题。要联合到 Azure,您必须证明域的所有权,然后使用 public 信任机构验证它,然后创建所需的 DNS TXT 记录,然后才能将域添加到 Office 365。如果不完成这些步骤,您将无法与任何事物结盟。在这种情况下,私有域有一个轻微的解决方法,但它会涉及获得一个 publicly 可路由的 DNS 域,这与您尝试进行快速测试的想法背道而驰。以防万一您感兴趣,联合内部名称空间以联合到 public 服务的解决方法是:
- 在 Active Directory 域和信任中添加可路由域 UPN 后缀
- 使用可路由的 UserPrincipleName 配置特定(或所有)用户
- 将用户同步到 Azure/Office 365
- 与其他 public 服务联合
这在 Microsoft Office 365 合作伙伴视频中的 29:05 标记处进行了解释,标题为:Office 365:Configuring DirSync and Single Sign On with ADFS - Part 1