Podporované scénáře pro použití služby AD FS k nastavení jednotného přihlášení do služeb Office 365, Azure nebo aplikace Windows Intune

Překlady článku Překlady článku
ID článku: 2510193 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek obsahuje přehled různých situacích Active Directory Federation Services (AD FS) a jejich důsledky pro jednotné přihlášení (SSO k webu) ve službách Office 365, aplikace Windows Intune nebo Microsoft Azure.

DALŠÍ INFORMACE

Jako se většina služeb na úrovni organizace, služba AD FS Federation (využity SSO) mohou být implementovány v mnoha způsoby, v závislosti na obchodních požadavcích. Následující scénáře služby AD FS se zaměřit jak místní služba AD FS Federation Service je publikování na Internetu. To je velmi specifické aspekty implementace služby AD FS.

Scénář 1: Plně implementovány služby AD FS

Popis
Klientem služby Active Directory services farmy služby ADFS serveru požadavků pomocí ověřování jednotného přihlášení. Služba AD FS (Vyrovnávání zatížení) proxy federačního serveru poskytuje tyto základní ověřování služby na Internetu předáváním žádosti a odpovědi mezi klienty sítě Internet a vnitřní prostředí služby AD FS.

Doporučení
Toto je doporučené provádění služby AD FS.

Předpoklady pro podporu
Neexistují žádné předpoklady pro podporu tohoto scénáře. V tomto scénáři je podporován Microsoft Support.

Scénář 2: Brány Firewall publikování AD FS

Popis
Klientem služby Active Directory services farmy služby ADFS serveru požadavků pomocí ověřování jednotného přihlášení. Microsoft Internet Security and Acceleration (ISA) / server Microsoft Forefront Threat Management brány (TMG) (nebo serverová farma) poskytuje tyto základní služby ověřování k Internetu pomocí zpětného proxy serveru.

Omezení
Rozšířená ochrana pro ověřování, musíte zakázat v serverové farmě federaci služby AD FS pro tuto práci. To oslabí profil zabezpečení systému. Z důvodů zabezpečení doporučujeme, aby jste tuto činnost.
Předpoklady pro podporu
Předpokládá se, že ISA/TMG firewall a pravidla zpětného proxy správně implementován a jsou funkční. Pro Microsoft Support pro podporu tohoto scénáře musí být splněny následující podmínky:
  • Reverzní proxy server (port 443) HTTPS provozu mezi klientů v síti Internet a server služby AD FS musí být transparentní.
  • Server služby AD FS musí být věrnou kopii SAML požadavky klientů v síti Internet.
  • Klienty sítě Internet musí být věrnou kopií SAML odpovědi jakoby klienty byly připojený přímo místním serveru služby AD FS.
Informace o běžných problémech, které mohou způsobit selhání této konfigurace naleznete v následujících zdrojích:
  • V následujícím článku znalostní báze Microsoft Knowledge Base
    2535789Počítač neumožňující funkci prohlížeče klientů nelze přihlásit po nastavení služby AD FS v konfiguraci "brány firewall publikování"
  • V následujícím článku Microsoft TechNet:
    Použití jako náhrada pro Proxy AD FS 2.0 federačního serveru Proxy třetích stran

Scénář 3: Nepublikované AD FS

Popis
Klientem služby ADFS serveru farmy služby služby Active Directory požaduje pomocí ověřování jednotného přihlášení a serverové farmy není vystaven na Internetu jakýmkoli způsobem.

Omezení
Klienty sítě Internet (včetně mobilních) nelze použít Microsoft cloud služby zdroje. Z důvodů úroveň služeb doporučujeme, aby jste tuto činnost.

Klienti ve formátu RTF aplikace Outlook se nemůže připojit k Exchange Online zdrojů. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2466333 Federované uživatele nelze připojit ke schránce Exchange Online
Předpoklady pro podporu
Předpokládá se, že zákazník uznává implementací, aby toto nastavení neposkytuje plně inzerovaných sadu služeb, které jsou podporovány v Azure Active Directory (Azure AD). Za těchto okolností je tento scénář podporován Microsoft Support.

Scénář 4: Publikované VPN AD FS

Popis

Server AD FS Federation (nebo farmy federačních serverů) služeb požadavky klienta služby Active Directory pomocí ověřování jednotného přihlášení k webu a serveru nebo serverové farmy není vystaven na Internetu jakýmkoli způsobem. Klienty sítě Internet připojit a pomocí služby AD FS pouze pomocí připojení virtuální privátní sítě (VPN) k místním síťovém prostředí.

Omezení

Pokud nejste schopen VPN klienty sítě Internet (včetně mobilních), nebudou moci použít cloud služby společnosti Microsoft. Z důvodů úroveň služeb doporučujeme, aby jste tuto činnost.

Bohaté klienty Outlook (včetně klientů aplikace ActiveSync) nemůže připojit k serveru Exchange Online zdrojů. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2466333 Federované uživatele nelze připojit ke schránce Exchange Online
Předpoklady pro podporu

Předpokládá se, že zákazník uznává implementací, aby toto nastavení neposkytuje plně inzerovaných sadu služeb, které jsou podporovány ve federaci identit v Azure AD.

Předpokládá se VPN správně implementován a je funkční. V tomto scénáři jsou podporováni Microsoft Support musí být splněny následující podmínky:
  • Klient může připojit k systému AD FS podle názvu DNS prostřednictvím protokolu HTTPS (port 443).
  • Se může připojit ke koncovému bodu federace Azure AD podle názvu DNS pomocí příslušné porty/protokoly.

Federaci identit služby AD FS a Azure AD vysoká dostupnost

Každý scénář lze měnit pomocí samostatného serveru služby ADFS namísto serverové farmy. Je však vždy nejlepší praxe doporučení Microsoft že všechny kritické infrastruktury služby prováděny pomocí technologie vysoké dostupnosti a předejít tak ztrátě přístupu.

Místní dostupnost služby AD FS přímo ovlivňuje dostupnost služeb Microsoft cloud pro federované uživatele a jeho úroveň služeb je zodpovědný zákazník. Knihovna Microsoft TechNet obsahuje podrobné pokyny pro plánování a nasazení služby AD FS v prostředí místního. Tento návod může pomoci zákazníkům dosáhnout jejich cílová úroveň služeb pro tento podsystém kritické. Další informace naleznete na následujícím webu TechNet:
http://technet.microsoft.com/en-us/library/adfs2 (WS.10).aspx

ODKAZY

Stále potřebujete pomoc? Přejděte Komunity Office 365 Web nebo Fóra Azure služby Active Directory .

Vlastnosti

ID článku: 2510193 - Poslední aktualizace: 20. června 2014 - Revize: 11.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Klíčová slova: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtcs
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 2510193

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com