Escenarios admitidos para el uso de AD FS para configurar un inicio de sesión único en Azure, Office 365 o en Windows Intune

Seleccione idioma Seleccione idioma
Id. de artículo: 2510193 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Este artículo proporciona una visión general de los distintos escenarios de los servicios de federación de Active Directory (AD FS) y sus implicaciones para el inicio de sesión único (SSO) en Office 365, Microsoft Azure o Windows Intune.

Obtener más información

Como con la mayoría de los servicios de nivel de empresa, el servicio de federación de AD FS (aprovechado para SSO) pueden implementarse de muchas maneras, dependiendo de las necesidades empresariales. Los siguientes escenarios de AD FS se centran en cómo los locales de servicio de federación de AD FS se publica en Internet. Se trata de un aspecto muy específico de la implementación de AD FS.

Escenario 1: Totalmente implementado AD FS

Descripción
Una federación de AD FS granja servicios Active Directory las solicitudes de cliente a través de autenticación SSO. Un ejemplo de AD FS (equilibrada de carga) proxy de servidor de federación expone los servicios de autenticación a Internet mediante la retransmisión de las solicitudes y respuestas entre los clientes de Internet y el entorno interno de AD FS.

Recomendaciones
Ésta es la implementación recomendada de AD FS.

Supuestos de soporte
No hay ninguna suposición de soporte para este escenario. Este escenario es compatible con Microsoft Support.

Escenario 2: Publicado por el servidor de seguridad de AD FS

Descripción
Una federación de AD FS granja servicios Active Directory las solicitudes de cliente a través de autenticación SSO. Un Microsoft Internet Security and Acceleration (ISA) / servidor de Microsoft Forefront Threat Management Gateway (TMG) (o conjunto de servidores) expone los servicios de autenticación a Internet mediante un proxy inverso.

Limitaciones
Protección de autenticación extendida debe estar deshabilitado en la granja de servidores de federación de AD FS para que funcione. Esto debilita el perfil de seguridad del sistema. Por motivos de seguridad, se recomienda no hacerlo.
Supuestos de soporte
Se supone que la regla de proxy inverso y el servidor de seguridad ISA/TMG se implementen correctamente y son funcionales. Para que Microsoft Support para este escenario, deben cumplirse las siguientes condiciones:
  • El proxy inverso de tráfico HTTPS (puerto 443) entre el cliente de Internet y el servidor de AD FS debe ser transparente.
  • El servidor de AD FS debe recibir una copia fiel de las solicitudes SAML desde el cliente de Internet.
  • Los clientes de Internet deben recibir copias fieles de respuestas SAML como si los clientes se han conectado directamente a los locales en el servidor de AD FS.
Para obtener información acerca de los problemas comunes que pueden producir errores de esta configuración, consulte los siguientes recursos:

Escenario 3: No publicado AD FS

Descripción
Un cliente de Active Directory de servicios de federación de AD FS server farm solicita a través de autenticación SSO y el conjunto de servidores no está expuesto a Internet mediante cualquier método.

Limitaciones
Los clientes de Internet (incluidos los dispositivos móviles) no pueden utilizar recursos de servicios de nube de Microsoft. Por razones de nivel de servicio, se recomienda no hacerlo.

Los clientes enriquecidos de Outlook no pueden conectarse a recursos en línea de Exchange. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
2466333 Los usuarios federados no pueden conectarse a un buzón de Exchange Online
Supuestos de soporte
Se supone que el cliente reconoce implementación que esta configuración no proporciona el conjunto completo anunciado de servicios que son compatibles con Active Directory (AD Azure) de Azure. En estas circunstancias, este escenario es compatible con Microsoft Support.

Escenario 4: Publicado por VPN AD FS

Descripción

Un servidor de federación de AD FS (o conjunto de servidores de federación) servicios de solicitudes de cliente de Active Directory a través de autenticación SSO y el servidor o conjunto de servidores no está expuesto a Internet mediante cualquier método. Los clientes de Internet conectan a y utilizan servicios de AD FS sólo a través de una conexión de red privada virtual (VPN) para el entorno de red local.

Limitaciones

A menos que los clientes de Internet (incluidos los dispositivos móviles) son compatibles con VPN, no pueden utilizar los servicios de nube de Microsoft. Por razones de nivel de servicio, se recomienda no hacerlo.

Los clientes enriquecidos de Outlook (incluidos a los clientes ActiveSync) no pueden conectarse a recursos en línea de Exchange. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
2466333 Los usuarios federados no pueden conectarse a un buzón de Exchange Online
Supuestos de soporte

Se supone que el cliente reconoce implementación que esta configuración no ofrece la suite totalmente anunciada de servicios que son compatibles con la federación de identidades de AD de Azure.

Se supone que la VPN se implementa correctamente y está funcional. En este escenario ser compatible con Microsoft Support, deben cumplirse las siguientes condiciones:
  • El cliente puede conectarse al sistema de AD FS por nombre DNS a través de HTTPS (puerto 443).
  • El cliente puede conectarse al extremo de la federación AD Azure por nombre DNS mediante el uso de puertos y protocolos adecuados.

Federación de identidades de AD FS y Azure AD de alta disponibilidad

Cada escenario puede modificarse mediante el uso de un servidor de federación de AD FS independiente en lugar de un conjunto de servidores. Sin embargo, siempre es una recomendación de mejores prácticas de Microsoft que todos los servicios de infraestructura crítica implementarse con tecnología de alta disponibilidad para evitar la pérdida de acceso.

Local la disponibilidad de AD FS afecta directamente a la disponibilidad del servicio de nube de Microsoft para los usuarios federados y su nivel de servicio es responsabilidad del cliente. La biblioteca de Microsoft TechNet contiene instrucciones detalladas acerca de cómo planear e implementar AD FS en el entorno local. Esta guía puede ayudar a los clientes a alcanzar su nivel de servicio de destino para este subsistema crítico. Para obtener más información, consulte el siguiente sitio Web de TechNet:
http://technet.Microsoft.com/en-us/library/adfs2 (WS.10).aspx

REFERENCIAS

¿Sigue necesitando ayuda? Vaya a la Comunidad de Office 365 sitio Web o el Foros de Azure de Active Directory .

Propiedades

Id. de artículo: 2510193 - Última revisión: viernes, 20 de junio de 2014 - Versión: 13.0
La información de este artículo se refiere a:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Palabras clave: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2510193

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com