Ondersteunde scenario's voor het gebruik van AD FS kunt u eenmalige aanmelding in Office 365, Azure of Windows Intune instellen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 2510193 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Inleiding

Dit artikel bevat een overzicht van verschillende scenario's voor Active Directory Federation Services (AD FS) en de gevolgen daarvan voor eenmalige aanmelding (SSO) in Office 365 of Azure Microsoft Windows Intune.

MEER INFORMATIE

Als met de meeste services op ondernemingsniveau, kan de AD FS Federation-Service (gebruikt voor eenmalige aanmelding) worden geïmplementeerd op vele manieren, afhankelijk van de behoeften van het bedrijf. De volgende AD FS-scenario's zich richten op hoe de lokalen op AD FS-Federation-Service op het Internet wordt gepubliceerd. Dit is een zeer specifiek aspect van AD FS-implementatie.

Scenario 1: AD FS volledig geïmplementeerd

Beschrijving
Een AD FS-federatie server-farm services Active Directory-client vraagt door middel van verificatie voor eenmalige aanmelding. Een AD FS (taakverdeling) Federation-serverproxy beschrijft deze kernservices verificatie met het Internet door het doorsturen van aanvragen en antwoorden heen en weer tussen Internetclients en interne AD FS-omgeving.

Aanbevelingen
Dit is de aanbevolen implementatie van AD FS.

Ondersteuning van veronderstellingen
Er zijn geen veronderstellingen ondersteuning voor dit scenario. In dit scenario wordt ondersteund door Microsoft Support.

Scenario 2: Firewall-gepubliceerde AD FS

Beschrijving
Een AD FS-federatie server-farm services Active Directory-client vraagt door middel van verificatie voor eenmalige aanmelding. Een Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG)-server (of server-farm) beschrijft de kernservices verificatie met het Internet via een reverse proxy.

Beperkingen
Uitgebreide beveiliging voor verificatie moet worden uitgeschakeld op de AD FS-Federation-serverfarm dit werkt. Dit verzwakt het beveiligingsprofiel van het systeem. Omwille van beveiliging is het raadzaam dat u dit niet doet.
Ondersteuning van veronderstellingen
Wordt uitgegaan van de firewall van ISA/TMG en reverse proxy regel correct worden geïmplementeerd en functioneel zijn. Voor Microsoft Support voor ondersteuning van dit scenario, wordt de volgende voorwaarden voldaan:
  • De reverse proxy verkeer HTTPS (poort 443) tussen de Internet-client en de AD FS-server moet transparant zijn.
  • De AD FS-server moet een getrouwe kopie van SAML-aanvragen ontvangen van de Internet-client.
  • Internet-clients moeten getrouw kopieën van SAML antwoorden ontvangen als de clients rechtstreeks zijn gekoppeld aan de installaties van AD FS-server.
Zie de volgende bronnen voor meer informatie over bekende problemen die leiden deze configuratie tot kunnen mislukt:

Scenario 3: Niet-gepubliceerde AD FS

Beschrijving
Een AD FS-federatie server-farm services Active Directory-client vraagt door middel van verificatie voor eenmalige aanmelding en de server-farm door de methode is niet blootgesteld aan Internet.

Beperkingen
Internet-clients (met inbegrip van mobiele apparaten) bronnen van Microsoft cloud-service niet gebruiken. Omwille van de service level is het raadzaam dat u dit niet doet.

Rijke Outlook-clients geen verbinding maken met Exchange Online bronnen. Zie voor meer informatie het volgende artikel in de Microsoft Knowledge Base:
2466333 Federatieve gebruikers geen verbinding maken met een Exchange Online-Postvak
Ondersteuning van veronderstellingen
De klant erkent door implementatie van deze instelling biedt niet de volledige aangekondigde suite van services die worden ondersteund door Azure Active Directory (AD Azure) wordt aangenomen. In dit scenario wordt onder deze omstandigheden wordt ondersteund door Microsoft Support.

Scenario 4: VPN-gepubliceerde AD FS

Beschrijving

Een AD FS-Federation-server (of de Federation-serverfarm) services Active Directory clientaanvragen door middel van verificatie voor eenmalige aanmelding en de server of server-farm is niet blootgesteld aan Internet door een methode. Internet-clients verbinding maken met en gebruik van AD FS-services alleen via een virtueel particulier netwerk (VPN) verbinding met de netwerkomgeving van ruimten.

Beperkingen

Internet-clients (met inbegrip van mobiele apparaten) VPN-ondersteuning, tenzij geen gebruik van Microsoft cloud services. Omwille van de service level is het raadzaam dat u dit niet doet.

Rijke Outlook-clients (met inbegrip van de ActiveSync-clients) geen verbinding maken met Exchange Online bronnen. Zie voor meer informatie het volgende artikel in de Microsoft Knowledge Base:
2466333 Federatieve gebruikers geen verbinding maken met een Exchange Online-Postvak
Ondersteuning van veronderstellingen

De klant erkent door implementatie van deze instelling biedt niet de volledige aangekondigde suite van services die worden ondersteund door de Federatie in Azure AD identiteit wordt aangenomen.

Wordt uitgegaan van de VPN-verbinding correct is geïmplementeerd en goed functioneert. In dit scenario moet worden ondersteund door Microsoft Support voor wordt de volgende voorwaarden voldaan:
  • De client kan verbinding maken met het AD FS-systeem door DNS-namen via HTTPS (poort 443).
  • De client verbinding kan maken naar het eindpunt van de Federatie Azure AD door de DNS-naam met behulp van de juiste poorten/protocollen.

Hoge beschikbaarheid AD FS en Azure AD id-federatie

Elk scenario kan worden ingesteld met een zelfstandige AD FS-Federation-server in plaats van een server-farm. Het is echter altijd een aanbeveling voor het beste praktijken van Microsoft dat alle kritieke infrastructuurservices worden geïmplementeerd met behulp van technologie voor hoge beschikbaarheid om te voorkomen dat het verlies van access.

Op-premises beschikbaarheid van AD FS rechtstreeks van invloed op Microsoft cloud beschikbaarheid van de service voor federatieve gebruikers en de dienstverlening is de verantwoordelijkheid van de klant. De Microsoft TechNet-bibliotheek bevat uitgebreide instructies over het plannen en implementeren van AD FS in de omgeving van ruimten. Deze richtsnoeren kan helpen klanten bereiken hun doel serviceniveau voor dit essentiële subsysteem. Ga naar de volgende TechNet-website voor meer informatie:
http://technet.Microsoft.com/en-us/library/adfs2 (WS.10).aspx

VERWIJZINGEN

Nog steeds hulp nodig? Ga naar de Office 365-Community website of de Azure Active Directory-Forums .

Eigenschappen

Artikel ID: 2510193 - Laatste beoordeling: zaterdag 21 juni 2014 - Wijziging: 12.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Trefwoorden: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.
De Engelstalige versie van dit artikel is de volgende: 2510193

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com