Escenarios admitidos para usar AD FS para configurar el inicio de sesión único en Microsoft 365, Azure o Intune

Introducción

En este artículo se proporciona información general sobre varios escenarios de Servicios de federación de Active Directory (AD FS) (AD FS) y sus implicaciones para el inicio de sesión único (SSO) en Microsoft 365, Microsoft Azure o Microsoft Intune.

Más información

Al igual que con la mayoría de los servicios de nivel empresarial, el servicio de federación de AD FS (aprovechado para sso) se puede implementar de muchas maneras, en función de las necesidades empresariales. Los siguientes escenarios de AD FS se centran en cómo se publica el servicio de federación de AD FS local en Internet. Este es un aspecto muy específico de la implementación de AD FS.

Escenario 1: AD FS totalmente implementado

Descripción

Una granja de servidores de federación de AD FS realiza solicitudes de cliente de Active Directory a través de la autenticación sso. Un proxy de servidor de federación de AD FS (con equilibrio de carga) expone esos servicios de autenticación principales a Internet mediante la retransmisión de solicitudes y respuestas entre clientes de Internet y el entorno interno de AD FS.

Recomendaciones

Esta es la implementación recomendada de AD FS.

Suposiciones de soporte técnico

No hay supuestos de compatibilidad para este escenario. Este escenario es compatible con Soporte técnico de Microsoft.

Escenario 2: AD FS publicado por firewall

Descripción

Una granja de servidores de federación de AD FS realiza solicitudes de cliente de Active Directory a través de la autenticación sso. Un servidor de Microsoft Internet Security and Acceleration (ISA) o Microsoft Forefront Threat Management Gateway (TMG) (o una granja de servidores) expone esos servicios de autenticación principales a Internet mediante proxy inverso.

Limitaciones

La protección de autenticación extendida debe deshabilitarse en la granja de servidores de federación de AD FS para que funcione. Esto debilita el perfil de seguridad del sistema. Por motivos de seguridad, se recomienda no hacerlo.

Suposiciones de soporte técnico

Se supone que el firewall ISA/TMG y la regla de proxy inverso se implementan correctamente y son funcionales. Para que Soporte técnico de Microsoft admita este escenario, deben cumplirse las condiciones siguientes:

  • El proxy inverso del tráfico HTTPS (puerto 443) entre el cliente de Internet y el servidor de AD FS debe ser transparente.
  • El servidor de AD FS debe recibir una copia fiel de las solicitudes SAML del cliente de Internet.
  • Los clientes de Internet deben recibir copias fieles de las respuestas saml como si los clientes estuvieran conectados directamente al servidor de AD FS local.

Para obtener información sobre los problemas comunes que pueden provocar un error en esta configuración, consulte el siguiente recurso:

Escenario 3: AD FS no publicado

Descripción

Una granja de servidores de federación de AD FS realiza solicitudes de cliente de Active Directory a través de la autenticación sso y la granja de servidores no se expone a Internet mediante ningún método.

Limitaciones

Los clientes de Internet (incluidos los dispositivos móviles) no pueden usar recursos de servicio en la nube de Microsoft. Por motivos de nivel de servicio, se recomienda no hacerlo.

Los clientes enriquecidos de Outlook no pueden conectarse a Exchange Online recursos. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:

2466333 los usuarios federados no pueden conectarse a un buzón de Exchange Online

Suposiciones de soporte técnico

Se supone que el cliente reconoce por implementación que esta configuración no proporciona el conjunto de servicios totalmente anunciado que son compatibles con Microsoft Entra ID. En estas circunstancias, este escenario es compatible con Soporte técnico de Microsoft.

Escenario 4: AD FS publicado por VPN

Descripción

Un servidor de federación de AD FS (o granja de servidores de federación) atiende las solicitudes de cliente de Active Directory a través de la autenticación sso y el servidor o granja de servidores no se expone a Internet mediante ningún método. Los clientes de Internet se conectan a los servicios de AD FS y los usan solo a través de una conexión de red privada virtual (VPN) al entorno de red local.

Limitaciones

A menos que los clientes de Internet (incluidos los dispositivos móviles) sean compatibles con VPN, no pueden usar servicios en la nube de Microsoft. Por motivos de nivel de servicio, se recomienda no hacerlo.

Los clientes enriquecidos de Outlook (incluidos los clientes de ActiveSync) no pueden conectarse a Exchange Online recursos. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:

2466333 los usuarios federados no pueden conectarse a un buzón de correo de Exchange Online Suposiciones de soporte técnico

Se supone que el cliente reconoce por implementación que esta configuración no proporciona el conjunto de servicios totalmente anunciado compatible con la federación de identidades en Microsoft Entra ID.

Se supone que la VPN se implementa correctamente y es funcional. Para que Soporte técnico de Microsoft admita este escenario, deben cumplirse las condiciones siguientes:

  • El cliente puede conectarse al sistema de AD FS por nombre DNS a través de HTTPS (puerto 443).
  • El cliente puede conectarse al punto de conexión de federación de Microsoft Entra por nombre DNS mediante los puertos o protocolos adecuados.

Alta disponibilidad de AD FS y federación de identidades de Microsoft Entra

Cada escenario puede variar mediante un servidor de federación de AD FS independiente en lugar de una granja de servidores. Sin embargo, siempre es una recomendación de procedimientos recomendados de Microsoft que todos los servicios de infraestructura críticos se implementen mediante la tecnología de alta disponibilidad para evitar la pérdida de acceso.

La disponibilidad local de AD FS afecta directamente a la disponibilidad del servicio en la nube de Microsoft para los usuarios federados y su nivel de servicio es responsabilidad del cliente. La biblioteca de Microsoft TechNet contiene una amplia guía sobre cómo planear e implementar AD FS en el entorno local. Esta guía puede ayudar a los clientes a alcanzar su nivel de servicio de destino para este subsistema crítico. Para obtener más información, vaya al siguiente sitio web de TechNet:

Servicios de federación de Active Directory (ADFS) 2.0

Referencias

¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.