De Cloud. Je zult er toch eens aan moeten geloven. En het eerste wat je dan wil doen, is ervoor zorgen dat gebruikers in Office365 online of CRM online kunnen aanmelden met dezelfde gegevens als waarmee ze op kantoor aanmelden. Of nog beter: dat ze zich helemaal niet meer hoeven aan te melden.
Microsoft heeft daar een prima tool voor: Active Directory Federation Services (ADFS) , tezamen met Active Directory Synchronisation, en een WAP server. Die WAP server is niets anders dan een reverse proxy, en dat kun je dus ook laten doen door Microsoft Forefront Thread Management Gateway 2010 ('t is oud, wordt niet meer ondersteund door Microsoft, maar het werkt nog zo verschrikkelijk goed...)
De eerste stap die je moet doen (na het installeren van Windows Server 2012R2 en hier een memberserver van maken) is de installatie van de Active Directory Federation Services. De ADFS role is een server role op Windows 2012R2. Er zijn geen extra features nodig. Als de installatie om een restart vraagt, doe dat dan.
Dan ga je naar de Active Directory Federation Services Configuration Wizard. Omdat die de eerste ADFS server is, kies je voor "Create the first federation server in a federation server farm". In het volgende scherm "Connect to AD DS" moet je een account gebruiken die voor verbinding gaat zorgen naar Active Directory. Dat moet een domainadmin account zijn.
In het volgende scherm moet een certificaat worden gekozen (dat certificaat moet dus al op de server geïnstalleerd zijn). Ik heb een wildcard certificaat die ik daarvoor gebruik (*.domain.tld). De federation Service Name moet gekozen worden (hou daarbij dezelfde domeinnaam aan, bijvoorbeeld voorafgegaan door ADFS) en voer een Federation Service Display Name in.
Daarna ga je aangeven welk account gebruikt wordt om de service te laten draaien. Dit kan een managed account zijn, maar je kunt ook een domeinaccount gebruiken. Dat domeinaccount hoeft overigens geen domainadmin te zijn.
Kies nu het databasetype. Als je een SQL Server wilt gebruiken, moet die al geinstalleerd en klaar zijn. Een WID database werkt echter ook prima (en is dan ook mijn keuze).
Klik een paar keer op next, en ADFS is geinstalleerd. Ga dan in een browser naar https://ADFS.<domain>.<tld>/adfs/ls/ldpInitiatedSignon.aspx
Voeg deze site ook toe aan de Local Intranet Sites in Internet Explorer. Voor het domein kun je dat ook bijvoorbeeld via een GPO doen. Hierdoor kun je gebruik maken van Auto Logon.
Daarmee is de installatie van ADFS klaar.
We gaan dan nu verder met het publiceren van ADFS via TMG.
Maak een nieuwe Web Site Publishing regel aan. Bij het tabblad from kies je voor sources anywhere, bij het tabblad To gebruik je als published site ADFS.<domain>.<tld> (of wat je bij het instellen van ADFS gekozen hebt), zet "forware the Original host header instead..." aan, en selecteer "Request appear to come from the Original client" (bij mij werkt die instelling, het kan zijn dat je hier de andere optie moet kiezen)
Traffic is HTTPS, de listener is de listener die gekoppeld is aan het wildcard certificaat wat hierboven ook gebruikt is. Deze listener gebruikt geen SSO, bij forms is niets ingevuld, authentication is "No Authentication" en bij Connections is uiteraard Enable SSL ingeschakeld (op port 443)
De public name is hetzelfde als wat er in tijdens de installatie van ADFS is ingesteld, en bij paths gebruik je /adfs/* als internal path
Authentication Delegation moet staan op "No delegation, but client may authenticate directly"
Tabblad Bridging is ingesteld op Web Server, met Redirects to SSL port 443.
Users zijn All Users, schedule is Always (maar als je niet wilt dat men op bepaalde tijden werkt, kun je dat uiteraard aanpassen), en bij Link translation staat alles uit.
Klik op OK, en de regel is aangemaakt. Doe nu een rechtermuisknopklikje op de zojuist gemaakte regel, en selecteer "configure HTTP". Op het tabblad General moeten "Verify normalization" en "Block high but characters" uit staan.
Nog even op OK klikken, apply klikken, en de regel is doorgevoerd en actief.
Nu moet ook het hosts bestand nog even aangepast worden, zodat de gekozen domeinnaam (adfs.<domain>.<tld> hier) verwijst naar de juiste server.
Nu kun je echter nog steeds niet met je eigen credentials aanmelden op Office 365: Er is nog geen synchronisatie. Dat moet ook nog even ingesteld worden.
<volgt>
Bij de instellingen van ADFS moet nog een ding anders worden ingesteld via AD FS management: anders werkt SSO wel via de browser, maar kun je het inloggen met CRM 2015 voor Outlook of OneDrive for Business wel vergeten (en dit heeft me even gekost voordat ik daarachter kwam)... Bij de authentication policies moet bij de Global Settings bij Intranet zowel Forms Authentication als Windows Authentication aanstaan.