Hola, actualmente somos usuarios de bpos y estamos en proceso de actualización o migración a Office365. Estamos usando windows live id para logarnos en bpos pero queremos pasar a usar login único en Office365. Cuando empezamos a usar bpos usamos un dominio de prueba, aunque luego añadimos el nuestro organizativo, actualmente usamos ese para logarnos en bpos. Además coincide en nombre con nuestro dominio interno. La idea es montar un adfs, un adfs proxy y un tmg 2010 para publicar el adfs proxy, para que así nuestros usuarios que no estén ubicados en nuestras oficinas puedan acceder también. Mis dudas son las siguientes:
1.- El servicio de adfs será https://adfs.midominio.es/. Nuestro operador de internet hace un nat para que todo el tráfico web pase por nuestro tmg 2010, teniendo éste 3 patas, una para el router, otra para la red interna y otra para la dmz donde se publicará el adfs proxy. Imaginemos que nuestra ip externa es la 211.27.27.27, ésa nos lleva al tmg. ¿A qué ip debo pedir a mi administrador de dominio externo para que al teclear https://adfs.midominio.es/ me redirija a mi adfs proxy? ¿Debe ser la ip externa que lleva al tmg y el tmg es el que se debe encargar de llevar la petición al adfs proxy?
2.- Entiendo que tengo que pedir a mi administrador de dominio externo, que cree una entrada de forma que adfs.midominio.com apunte a la ip que se indique en la pregunta 1.
3.- Con los certificados también tengo dudas, en un entorno de producción, imagino que habrá que contratar un dominio adfs.midominio.es a una entidad tipo Thawte, que apunte también a la ip de la pregunta1, ¿verdad? Luego habrá que importarlo, etc...
No sé si he explicado bien la situación y las dudas, pero si no es así, por favor, decídmelo y lo puedo detallar mejor.
Muchas gracias. Un saludo.
Hola,
Revisa los siguientes enlaces por si fuesen de tu interés:
onlinehelp.microsoft.com/.../ff652539.aspx
Si el proxy va estar detrás de TMG, el registro para adfs.midominio.es en tus DNS públicos de tu dominio, debe apuntar a la ip pública que TMG tenga en su "pata" que conecta a Internet, y configurar este, TMG, para que "hable" con el proxy.
Para implementar el SSO debes tener un certificado público válido y expedido por alguna entidad certificadora que Microsoft tenga registrada como confiable, cualquiera de las que Windows 2008 R2 admita, las más populares de Internet .... Los certificados hacen referencia a nombres FQDN.
Saludos.
Muchas gracias Jordi, intentaré montar la infraestructura siguiendo tus indicaciones. Otra duda que tengo es cómo publicar el adfs proxy con el tmg, he buscado documentación pero siempre llego al mismo enlace en el que se indica que aún no se ha publicado información al respecto, no sé si tú conocerás algún otro enlace al respecto.
Muchas gracias.
Un saludo.
Revisa la siguiente entrada en la Wiki de la comunidad inglesa por si te fuese de ayuda:
community.office365.com/.../293.aspx