Unterstützte Szenarios für die Verwendung von AD FS, um einmaliges Anmelden in Office 365, Windows Azure oder Windows Intune einzurichten

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2510193 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel enthält einen Überblick über die verschiedenen Active Directory-Verbunddienste (AD FS) Szenarien und deren Bedeutung für einmaliges Anmelden (SSO) in Office 365, Windows Azure oder Windows Intune.

WEITERE INFORMATIONEN

Als kann AD FS-Verbunddienst (für SSO genutzt) mit den meisten Diensten auf Unternehmensebene in vielerlei Hinsicht, je nach geschäftlichen Anforderungen implementiert werden. Schwerpunktmäßig die folgenden AD FS-Szenarien, wie das lokale AD FS-Verbunddienst im Internet veröffentlicht wird. Dies ist eine sehr spezielle Aspekt des AD FS-Implementierung.

Szenario 1: AD FS vollständig implementiert

Beschreibung
AD FS-Verbund Serverfarm Dienste Active Directory-Client fordert über SSO-Authentifizierung. Ein AD FS (Lastenausgleich) Verbundserverproxy macht diese Kerndienste für die Authentifizierung mit dem Internet durch Weitergabe von Anforderungen und Antworten zwischen Internetclients und den internen AD FS-Umgebung.

Empfehlungen
Dies ist die empfohlene Implementierung von AD FS Gehostet.

Annahmen zu unterstützen.
Es gibt keine Annahmen Unterstützung für dieses Szenario. Dieses Szenario wird vom Microsoft-Support unterstützt.

Szenario 2: Firewall veröffentlicht AD FS

Beschreibung
AD FS-Verbund Serverfarm Dienste Active Directory-Client fordert über SSO-Authentifizierung. Ein Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG) Server (oder Serverfarm) macht die Basisdienste Authentifizierung mit dem Internet durch reverse-Proxy.

Einschränkungen
Erweiterte Authentifizierungsschutz muss der AD FS-Verbund Serverfarm zu diesem Zweck deaktiviert werden. Dies schwächt das Sicherheitsprofil des Systems. Aus Sicherheitsgründen wird empfohlen, dass Sie dies nicht tun.
Annahmen zu unterstützen.
Es wird angenommen, dass ISA/TMG-Firewall und reverse-Proxy-Regel korrekt implementiert sind und funktionieren. Für Microsoft-Support zur Unterstützung dieses Szenarios müssen die folgenden Bedingungen erfüllt sein:
  • Der reverse-Proxyserver über HTTPS (Port 443)-Datenverkehr zwischen dem Internetclient und dem AD FS-Server muss transparent sein.
  • Der AD FS-Server muss eine originalgetreue Kopie der SAML-Anforderungen vom Internetclient empfangen.
  • Internet-Clients müssen Treue Kopien der SAML-Antworten erhalten, als ob die Clients direkt mit dem lokalen verbunden wären AD FS-Servern.
Informationen über allgemeine Probleme, die diese Konfiguration fehlschlagen verursachen können, finden Sie unter den folgenden Ressourcen:
  • Im folgenden Microsoft Knowledge Base-Artikel
    2535789 Internet-basierte Clientcomputer können nicht authentifizieren, nachdem Sie Active Directory-Verbunddienste (AD FS) in einer "Firewall veröffentlicht" Konfiguration einrichten
  • Im folgenden Microsoft TechNet-Artikel:
    Drittanbieter-Proxy verwenden als Ersatz für einen AD FS 2.0 Kontoverbundserver-Proxy

Szenario 3: Nicht veröffentlichte AD FS

Beschreibung
AD FS-Verbund Serverfarm Dienste Active Directory-Client fordert über SSO-Authentifizierung, und die Server-Farm ist nicht im Internet offen gelegt von jeder Methode.

Einschränkungen
Internet-Clients (einschließlich mobiler Geräte) können nicht Microsoft Cloud Service-Ressourcen verwenden. Aus Gründen der Service Level empfehlen wir, dass Sie dies nicht tun.

Outlook rich-Clients Verbindung keine mit Exchange Online-Ressourcen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
2466333 Föderationsbenutzer Verbindung keine mit Exchange Online-Postfach
Annahmen zu unterstützen.
Es wird angenommen, dass der Kunde durch Implementierung erkennt an, dass Setup vollständig angekündigte Suite von Dienstleistungen bietet, die von Windows Azure Active Directory (AD Windows Azure) unterstützt werden. Unter diesen Umständen ist dieses Szenario vom Support von Microsoft unterstützt.

Szenario 4: VPN-veröffentlicht AD FS

Beschreibung

Ein AD FS-Verbundserver (oder der Verbundserverfarm) bedient Active Directory Clientanforderungen über SSO-Authentifizierung und den Server oder die Serverfarm ist nicht mit dem Internet durch eine beliebige Methode ausgesetzt. Internet-Clients Verbinden mit und ADFS-Dienste nur über ein virtuelles privates Netzwerk (VPN) Verbindung mit der lokalen Netzwerkumgebung verwenden.

Einschränkungen

Es sei denn, Internet-Clients (einschließlich mobiler Geräte) VPN-fähig sind, können sie Microsoft Cloud-Dienste nicht verwenden. Aus Gründen der Service Level empfehlen wir, dass Sie dies nicht tun.

Outlook rich Clients (einschließlich ActiveSync-Clients) Verbindung keine mit Exchange Online-Ressourcen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
2466333 Föderationsbenutzer Verbindung keine mit Exchange Online-Postfach
Annahmen zu unterstützen.

Es wird angenommen, dass durch die Implementierung der Kunde erkennt an, dass Setup vollständig angekündigte Suite von Dienstleistungen zur Verfügung steht, die durch Identitätsverbund in Windows Azure AD unterstützt werden.

Es wird angenommen, das VPN korrekt implementiert und funktionsfähig ist. Für dieses Szenario vom Support von Microsoft unterstützt werden müssen die folgenden Bedingungen erfüllt sein:
  • Der Client kann mit der AD FS-System des DNS-Namens über HTTPS (Port 443) verbinden.
  • Der Client kann an den Endpunkt der Windows Azure Active Directory Federation nach DNS-Namen mit entsprechenden Ports/Protocols verbinden.

Hochverfügbarkeits-AD FS und Windows Azure AD Identitätsverbund

Jedes Szenario kann mit einem AD FS-Verbund-Einzelserver anstelle einer Serverfarm variiert werden. Es ist jedoch immer eine Microsoft Best Practice-Empfehlung, dass alle kritischen Infrastruktur-Services implementiert werden, mithilfe von Technologie mit hoher Verfügbarkeit, um den Zugriff zu vermeiden.

Lokale Verfügbarkeit von AD FS wirkt sich direkt auf die Microsoft-Cloud-Dienstverfügbarkeit für Verbundbenutzer und Service-Level liegt in der Verantwortung des Kunden. Die Microsoft TechNet-Bibliothek enthält umfassende Anweisungen zum Planen und Bereitstellen von AD FS in der lokalen Umgebung. Diese Anleitung hilft Kunden ihre Ziel-Service-Level für kritische Subsystems erreichen. Weitere Informationen finden Sie auf der folgenden TechNet-Website:
http://technet.Microsoft.com/en-us/library/adfs2 (ws

Informationsquellen

Benötigen Sie weitere Hilfe? Klicken Sie auf der Office 365-Community Website oder die Windows Azure-Active Directory-Foren Website.

Eigenschaften

Artikel-ID: 2510193 - Geändert am: Donnerstag, 6. März 2014 - Version: 11.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Keywords: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 2510193
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com