确保 Office 365 的身份安全

当您希望外包运行电子邮件和其他生产力工具等商品applications的管理和基础设施成本时，Microsoft Office 365 是一个不错的选择。 Office 365 支持使用联合身份模型，让您完全控制用户的身份，包括其密码哈希。

使用BIG-IP 访问策略管理器(APM)，您可以从现有的 Active Directory 到 Office 365 提供安全的联合身份管理，而无需额外的 Active Directory 联合服务 (ADFS) 服务器和代理服务器层。 您可以使用许多增强的 APM 安全功能，例如地理限制和多因素身份验证，来进一步保护对 Office 365 的访问。

一旦您决定将用户迁移到 Office 365，您就需要决定登录模型。 许多大型组织选择联合身份模型，因此他们可以保留对密码哈希的完全内部控制。

在联合身份模型中，Office 365 使用安全访问标记语言 (SAML) 通过现有的 Active Directory 服务（身份提供者或 IdP）对用户进行身份验证。 选择联合登录要求您允许 Office 365 访问您的 Active Directory 服务器并转换 SAML 身份验证请求。

实现此目的的一种方法是使用 Microsoft Active Directory 联合身份验证服务 (ADFS) 服务器和 ADFS 代理服务器来管理安全访问并充当 SAML IdP。

但有一个更简单的方法。

使用 BIG-IP 本地流量管理器 (LTM) 和访问策略管理器 (APM)，您可以仅消除 ADFS 代理服务器或 ADFS 代理服务器和ADFS 服务器本身。 无论哪种情况，BIG-IP 提供的高级安全保护策略（防火墙功能、地理、信誉限制、预身份验证等）均可用于保护您的关键目录基础设施。

替换 ADFS 代理服务器可为您提供高可用性以及由安全的、经过防火墙认证的平台提供的 ADFS 服务器预身份验证服务。

替换 ADFS 代理服务器和 ADFS 服务器本身可以提供相同的安全性和预身份验证优势，此外还简化了基础设施。

可以使用双因素身份验证、客户端证书等高级检查对客户端进行预先身份验证。 您还可以部署端点检查，例如位置和信誉。

使用F5 ADFS iApp 模板可以大大简化部署 BIG-IP 来保护或替换 ADFS 服务器的过程。iApp 模板将高级配置的创建转变为简单的向导驱动过程，从而生成经过测试和验证的配置。

一旦您拥有有效的 SAML IdP，您就可以将此身份联合扩展到许多其他支持 SAML 的applications和服务，从而让您在许多其他基于 Web 的 SaaSapplications中实现单点登录。

首先，您需要决定选择哪种部署模型。 您的选择已在有关 ADFS 的F5 文章系列中完整列出。

1. 一旦您决定了满足您要求的部署模型，请阅读ADFS部署指南并下载iApp 模板。

2. 确保您拥有对 Active Directory 服务器进行配置更改的凭据和权限。

3. 部署您的 BIG-IP 系统并测试高可用性、网络连接等。

4. 运行iApp模板并输入所需信息。 现在您已经有了一个基本的工作安装。

为用户提供对 Office 365 的简化、安全且可管理的访问。

如果您想了解高级身份验证，请阅读BIG-IP Access Policy Manager策略管理器： 身份验证和单点登录。