Прежде всего, позвольте мне описать сценарий. Я пытаюсь создать небольшую организационную сеть для относительно небольшой частной организации (предположим, около 30-40 человек), с основными необходимыми услугами, такими как электронная почта, ведение календаря и общие документы. Там нет физического помещения, поэтому, строго говоря, нет "on-prem" - все будут получать доступ к нему онлайн. Нет необходимости во внутренней сети или машинах, присоединенных к домену. Кроме того, нет существующего развертывания - все создается с нуля. Бюджет тоже довольно ограничен.
В идеале мы хотели бы иметь полностью облачное решение, чтобы минимизировать проблемы с обслуживанием. В то же время мы также хотим минимизировать ежемесячные затраты на пользователя. Кажется, что наиболее эффективный способ сделать это - получить тарифный план Office 365 Exchange Online Kiosk - по цене 2 доллара за пользователя, это дает электронную почту и календарь, но не документы, - а затем развернуть самую дешевую (A0) виртуальную машину Azure с работающим SharePoint Foundation на нем для предоставления услуг документа. Хотя последнее было бы очень медленным для сервера, но это также то, к чему можно получить доступ очень редко, почти никогда одновременно и в основном для чтения, а не для автора, поэтому последствия для производительности приемлемы; в то время как экономия затрат от оплаты 15 долларов США в месяц для всех 30 пользователей вместо дополнительных 2 долларов США на пользователя при обновлении до Office 365 Enterprise K1 (который включает SharePoint Online) является значительной с учетом ограниченного бюджета.
Теперь к самому вопросу. При такой настройке я хочу, чтобы удостоверение Office 365 было основным для пользователей, и чтобы они запомнили только один логин и пароль; и, если это вообще возможно, я бы хотел избежать необходимости запускать и поддерживать какие-либо локальные службы на этой виртуальной машине сверх того, что необходимо. Итак, в идеале я хотел бы каким-то образом просто указать локальному экземпляру SharePoint аутентифицировать пользователей в Office 365 и оставить все как есть. Если это невозможно, мне нужно придумать некоторую схему, которая разрешила бы совместное использование учетной записи и / или синхронизацию между локальным экземпляром AD на виртуальной машине SharePoint и Office 365.
Однако попытка выяснить, как это сделать, оказалась довольно сложной. Существует множество документов на тему взаимодействия между локальным доменом и Office 365, но все они, похоже, предполагают, что локальные удостоверения являются основными, поэтому направление синхронизации - от локальной среды к облаку, а не наоборот, как я намереваться. Существует также много, казалось бы, пересекающихся и сбивающих с толку технологий, охватывающих эту область - ADFS, Azure FS, DirSync - вот три из них, которые продолжают появляться.
Итак, где именно мне нужно искать и чему мне нужно научиться, чтобы понять, как все это настроить так, как я хочу? Если есть несколько разных вариантов, то какой из них будет наименее хрупким и трудоемким в долгосрочной перспективе?
То, чего вы пытаетесь достичь, очень сложно для малого бизнеса, я не могу себе представить, как вы будете поддерживать проблемы, которые возникнут в будущем, поскольку вы пытаетесь реализовать неподдерживаемое решение.
Единственный возможный способ разрешить пользователям аутентификацию в SharePoint с использованием тех же учетных записей Office 365 - включить Синхронизировано (Azure AD Connect) или Федеративный (ADFS) против локального развертывания Active Directory (или, в вашем случае, виртуальной машины Azure), которого у вас в настоящее время нет. https://support.office.com/en-us/article/Understanding-Office-365-identity-and-Azure-Active-Directory-06a189e7-5ec6-4af2-94bf-a22ea225a7a9
Если цена является проблемой, @PJ Mahoney предоставил отличное предложение, рассказав вашим пользователям о существовании двух разных систем и позвольте им жить с этим. имейте в виду, что это может означать скрытые расходы на поддержку и обслуживание двух разных систем.
Если стоимость не является проблемой, выберите план Office 365 Business Essentials, который будет стоить 5 долларов США в месяц на пользователя, вы получите Skype для бизнеса в дополнение к сделке, это удвоит исходную предлагаемую цену в 2 доллара, которую вы ищете. для, но в конечном итоге я бы сказал, что это лучшее вложение, чтобы все было организовано и просто.
Sharepoint 2013 принимает вход в систему с использованием аутентификации SAML 1.1. Поскольку вы используете Office365, ваши пользователи находятся в экземпляре Azure AD. Azure AD поддерживает множество схем проверки подлинности напрямую, но SAML 1.1. Не один из них. Однако служба управления доступом Azure может работать как «ретранслятор» и предоставлять вам службы проверки подлинности на основе SAML 1.1. Вы найдете множество сообщений в блогах об установке, но я отсылаю вас к официальной документации от MS technet: Использование Microsoft Azure Active Directory для проверки подлинности SharePoint 2013.
Тем не менее, использование Sharepoint Online, очевидно, намного проще, поэтому на вашем месте я бы определенно проверил, соответствует ли это вашим требованиям, прежде чем переходить к настройке собственной инфраструктуры Sharepoint.