Scénarios pris en charge pour configuration de l'authentification unique dans Office 365, Azure ou Windows Intune à l'aide de AD FS

Traductions disponibles Traductions disponibles
Numéro d'article: 2510193 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article fournit une vue d'ensemble des différents scénarios d'Active Directory Federation Services (ADFS) et leurs implications de session unique (SSO) dans Office 365, Microsoft Azure ou Windows Intune.

PLUS D'INFORMATIONS

Comme avec la plupart des services au niveau de l'entreprise, le Service de fédération AD FS (utilisé pour l'authentification unique) peut être implémenté de différentes façons, en fonction des besoins de l'entreprise. Les scénarios AD FS suivants se concentrent sur la manière des locaux de Service de fédération AD FS est publié sur Internet. Il s'agit d'un aspect très spécifique de mise en oeuvre AD FS.

Scénario 1: Totalement implémentée AD FS

Description
Une fédération AD FS serveur batterie de serveurs Active Directory client demandes de services par le biais de l'authentification SSO. Un AD FS (équilibrée de la charge) serveur proxy de fédération expose ces services d'authentification de base à Internet par relais des demandes et les réponses entre les clients Internet et de l'environnement interne du AD FS.

Recommandations
Il s'agit de l'implémentation recommandée de AD FS.

Prise en charge des hypothèses
Il n'y a aucune hypothèse de prise en charge pour ce scénario. Ce scénario est pris en charge par le Support Microsoft.

Scénario 2: Publication de pare-feu ADFS

Description
Une fédération AD FS serveur batterie de serveurs Active Directory client demandes de services par le biais de l'authentification SSO. Un Microsoft Internet Security and Acceleration (ISA) / serveur de Microsoft Forefront Threat Management Gateway (TMG) (ou batterie de serveurs) expose ces services d'authentification de base à Internet par proxy inverse.

Limitations
Protection étendue de l'authentification doit être désactivée sur la batterie de serveurs de fédération AD FS pour cette opération. Le profil de sécurité du système en sera affaiblie. Pour des raisons de sécurité, il est recommandé que vous ne le faites pas.
Prise en charge des hypothèses
Il est supposé que la règle de proxy inverse et le pare-feu ISA/TMG sont implémentées correctement et fonctionnent. Pour le Support de Microsoft prendre en charge ce scénario, les conditions suivantes doivent être remplies :
  • Le proxy inverse du trafic HTTPS (port 443) entre le client Internet et le serveur AD FS doit être transparente.
  • Le serveur AD FS doit recevoir une copie fidèle de demandes SAML provenant du client Internet.
  • Les clients Internet doivent recevoir une copie fidèle de réponses SAML comme si les clients étaient directement reliés à la locale serveur AD FS.
Pour plus d'informations sur les problèmes courants qui peuvent provoquer cette configuration échoue, consultez les ressources suivantes :

Scénario 3: Non publiées ADFS

Description
Un client Active Directory services de fédération AD FS server batterie demande par le biais de l'authentification SSO et la batterie de serveurs n'est pas exposée à Internet par n'importe quelle méthode.

Limitations
Clients Internet (y compris les périphériques mobiles) ne peut pas utiliser les ressources de service de cloud de Microsoft. Pour des raisons de niveau de service, nous recommandons que vous ne le faites pas.

Clients riches d'Outlook ne peuvent pas se connecter aux ressources Exchange en ligne. Pour plus d'informations, consultez l'article suivant de la Base de connaissances Microsoft :
2466333 Les utilisateurs fédérés ne peuvent pas se connecter à une boîte aux lettres Exchange Online
Prise en charge des hypothèses
Il est supposé que le client reconnaît par la mise en oeuvre que ce programme d'installation ne fournit pas la suite de services qui sont pris en charge par Azure Active Directory (AD Azure) entièrement publiée. Dans ces circonstances, ce scénario est pris en charge par le Support Microsoft.

Scénario 4: Publication de VPN ADFS

Description

Un serveur de fédération AD FS (ou de la batterie de serveurs de fédération) traite les requêtes des clients Active Directory via l'authentification SSO, et le serveur ou la batterie de serveurs n'est pas exposé à Internet par n'importe quelle méthode. Les clients Internet se connectent à et utilisent les services AD FS uniquement par le biais d'une connexion de réseau privé virtuel (VPN) à l'environnement de réseau local.

Limitations

À moins que les clients Internet (y compris les périphériques mobiles) sont capables de VPN, ils ne peut pas utiliser services de cloud de Microsoft. Pour des raisons de niveau de service, nous recommandons que vous ne le faites pas.

Clients riches d'Outlook (y compris les clients ActiveSync) ne peut pas se connecter aux ressources Exchange en ligne. Pour plus d'informations, consultez l'article suivant de la Base de connaissances Microsoft :
2466333 Les utilisateurs fédérés ne peuvent pas se connecter à une boîte aux lettres Exchange Online
Prise en charge des hypothèses

Il est supposé que le client reconnaît par la mise en oeuvre que ce programme d'installation ne fournit pas la suite de services qui sont pris en charge par la fédération d'identité dans Active Directory Azure entièrement publiée.

Il est supposé le VPN est implémenté correctement et fonctionne. Pour ce scénario est pris en charge par le Support Microsoft, les conditions suivantes doivent être remplies :
  • Le client peut se connecter au système AD FS par nom DNS via HTTPS (port 443).
  • Le client peut se connecter au point de terminaison fédération AD Azure par nom DNS à l'aide de protocoles/ports appropriés.

Fédération des identités AD FS et AD Azure haute disponibilité

Chaque scénario peut être modifiée à l'aide d'un serveur de fédération AD FS autonome au lieu d'une batterie de serveurs. Toutefois, il est toujours une recommandation de meilleures pratiques de Microsoft que tous les services d'infrastructure critique être implémentée à l'aide de la technologie de haute disponibilité pour éviter la perte de l'accès.

Sur site AD FS disponibilité affecte directement Microsoft cloud service pour les utilisateurs fédérés et son niveau de service est de la responsabilité du client. La bibliothèque Microsoft TechNet contient des instructions détaillées sur la façon de planifier et déployer ADFS dans l'environnement local. Ce guide peut aider les clients à atteindre leur niveau de service cible de ce sous-système critique. Pour plus d'informations, consultez le site Web TechNet suivant :
http://technet.Microsoft.com/en-us/library/adfs2 (ws.10).aspx

RÉFÉRENCES

Besoin d'aide ? Accédez à la Communauté Office 365 site Web ou le Forums Azure Active Directory (site Web).

Propriétés

Numéro d'article: 2510193 - Dernière mise à jour: vendredi 20 juin 2014 - Version: 11.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Mots-clés : 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 2510193
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com