Skenario yang didukung untuk menggunakan AD FS untuk mengatur akses terusan di Office 365, Windows Azure, atau Windows Intune

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2510193 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

PENGENALAN

Artikel ini menyediakan Ikhtisar berbagai skenario Active Directory Federation Services (AD FS) dan implikasi mereka untuk akses terusan (SSO akses) di Office 365, Windows Azure, atau Windows Intune.

INFORMASI LEBIH LANJUT

Sebagai dengan tingkat perusahaan, sebagian besar layanan layanan Federasi FS iklan (leverage SSO) dapat dilaksanakan dalam berbagai cara, tergantung pada kebutuhan bisnis. AD FS skenario berikut berfokus pada bagaimana lokal Layanan Federasi FS iklan dipublikasikan ke Internet. Ini adalah aspek yang sangat spesifik pelaksanaan AD FS.

Skenario 1: Sepenuhnya dilaksanakan AD FS

Deskripsi
Server AD FS Federasi pertanian layanan direktori aktif klien permintaan melalui SSO otentikasi. AD FS (load seimbang) Federasi server proxy mengekspos Layanan otentikasi inti tersebut ke Internet oleh menyampaikan permintaan dan tanggapan bolak antara Internet klien dan lingkungan AD FS internal.

Rekomendasi
Ini adalah pelaksanaan direkomendasikan AD FS.

Mendukung asumsi
Ada tidak ada asumsi dukungan untuk skenario ini. Skenario ini didukung oleh Microsoft Support.

Skenario 2: Diterbitkan Firewall AD FS

Deskripsi
Server AD FS Federasi pertanian layanan direktori aktif klien permintaan melalui SSO otentikasi. Microsoft Internet Security and Acceleration (ISA) / server Microsoft Forefront ancaman manajemen Gateway (TMG) (atau server peternakan) memperlihatkan Layanan otentikasi inti tersebut ke Internet dengan reverse proxy.

Keterbatasan
Diperpanjang perlindungan otentikasi harus dinonaktifkan pada AD FS Federasi kampung server untuk bekerja. Ini melemahkan profil keamanan sistem. Untuk pertimbangan keamanan, kami menyarankan bahwa Anda tidak melakukan ini.
Mendukung asumsi
Hal ini diasumsikan bahwa ISA TMG firewall dan reverse proxy aturan diterapkan dengan benar dan fungsional. Untuk Microsoft Support untuk mendukung skenario ini, kondisi berikut ini pasti benar:
  • Reverse proxy HTTPS (port 443) lalu lintas antara Internet klien dan server AD FS harus transparan.
  • Server AD FS harus menerima kopi karbon setia SAML permintaan dari klien Internet.
  • Internet klien harus menerima kopi karbon setia SAML tanggapan seolah-olah klien langsung melekat lokal server AD FS.
Untuk informasi tentang masalah umum yang dapat menyebabkan konfigurasi ini gagal, tampilan sumber daya berikut:

Skenario 3: Bebas diterbitkan AD FS

Deskripsi
Server AD FS Federasi pertanian layanan direktori aktif klien permintaan melalui SSO otentikasi, dan kampung server tidak terkena Internet oleh metode apapun.

Keterbatasan
Internet klien (termasuk ponsel) tidak dapat menggunakan Microsoft awan layanan sumber daya. Untuk alasan tingkat pelayanan, kami sarankan bahwa Anda tidak melakukan ini.

Klien kaya Outlook tidak dapat tersambung ke Exchange Online resources. Untuk informasi lebih lanjut, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
2466333 pengguna gabungan tidak dapat tersambung ke kotak pesan Exchange Online
Mendukung asumsi
Hal ini diasumsikan bahwa Nasabah mengakui oleh implementasi bahwa konfigurasi ini tidak memberikan sepenuhnya diiklankan suite layanan yang didukung oleh Windows Azure Active Directory (Windows Azure AD). Dalam keadaan ini, skenario ini didukung oleh Microsoft Support.

Skenario 4: Diterbitkan VPN AD FS

Deskripsi

Server AD FS Federation (atau Federasi server peternakan) layanan direktori aktif permintaan klien melalui SSO otentikasi, dan server atau kampung server tidak terpapar ke Internet oleh metode apapun. Klien Internet terhubung ke dan menggunakan AD FS Layanan hanya melalui sambungan jaringan pribadi virtual (VPN) ke lingkungan jaringan lokal.

Keterbatasan

Kecuali jika Internet klien (termasuk ponsel) berkemampuan VPN, mereka tidak dapat menggunakan Microsoft awan layanan. Untuk alasan tingkat pelayanan, kami sarankan bahwa Anda tidak melakukan ini.

Klien kaya Outlook (termasuk klien ActiveSync) tidak dapat tersambung ke Exchange Online resources. Untuk informasi lebih lanjut, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
2466333 pengguna gabungan tidak dapat tersambung ke kotak pesan Exchange Online
Mendukung asumsi

Hal ini diasumsikan bahwa Nasabah mengakui oleh implementasi bahwa konfigurasi ini tidak menyediakan suite layanan yang didukung oleh Federasi identitas di Windows Azure iklan sepenuhnya diiklankan.

Hal ini diasumsikan VPN sudah diterapkan dengan benar dan fungsional. Untuk skenario ini harus didukung oleh Microsoft Support, kondisi berikut ini pasti benar:
  • Klien dapat terhubung ke sistem AD FS oleh nama DNS melalui HTTPS (port 443).
  • Klien dapat terhubung ke Windows Azure AD Federasi endpoint oleh nama DNS dengan menggunakan Port/protokol sesuai.

Ketersediaan tinggi AD FS dan Windows Azure AD identity federation

Masing-masing skenario dapat bervariasi dengan menggunakan server AD FS Federasi berdiri sendiri bukan kampung server. Namun, hal ini selalu Microsoft praktek terbaik rekomendasi bahwa semua infrastruktur kritis Layanan diimplementasikan dengan menggunakan teknologi high availability untuk menghindari hilangnya akses.

Lokal ketersediaan AD FS langsung mempengaruhi ketersediaan layanan Microsoft awan untuk pengguna Federasi, dan tingkat layanan yang merupakan tanggung jawab pelanggan. Microsoft TechNet perpustakaan berisi luas panduan tentang bagaimana merencanakan dan menggunakan AD FS dalam lingkungan lokal. Panduan ini dapat membantu pelanggan yang mencapai tingkat layanan target mereka untuk subsistem kritis ini. Untuk informasi lebih lanjut, kunjungi website TechNet berikut:
http://technet.Microsoft.com/en-US/Library/adfs2 (WS.10).aspx

REFERENSI

Masih perlu bantuan? Pergi ke Komunitas Office 365 situs web atau Forum Windows Azure Active Directory .

Properti

ID Artikel: 2510193 - Kajian Terakhir: 09 Maret 2014 - Revisi: 9.0
Berlaku bagi:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Kata kunci: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 2510193

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com