Obsługiwane scenariusze dotyczące korzystania z usług AD FS w celu skonfigurowania logowania jednokrotnego na platformie Microsoft 365, azure lub Intune
Wprowadzenie
Ten artykuł zawiera omówienie różnych scenariuszy Active Directory Federation Services (AD FS) oraz ich wpływu na logowanie jednokrotne (SSO) na platformie Microsoft 365, platformie Microsoft Azure lub Microsoft Intune.
Więcej informacji
Podobnie jak w przypadku większości usług na poziomie przedsiębiorstwa, usługę federacyjną usług AD FS (z zastosowaniem logowania jednokrotnego) można zaimplementować na wiele sposobów, w zależności od potrzeb biznesowych. Poniższe scenariusze usług AD FS koncentrują się na sposobie publikowania lokalnej usługi federacyjnej AD FS w Internecie. Jest to bardzo specyficzny aspekt implementacji usług AD FS.
Scenariusz 1. W pełni zaimplementowane usługi AD FS
Opis
Usług AD FS federacyjnych usług farmy serwerów usługi Active Directory żądania klienta za pośrednictwem uwierzytelniania logowania jednokrotnego. Serwer proxy serwera federacyjnego usług AD FS (z równoważeniem obciążenia) uwidacznia te podstawowe usługi uwierzytelniania w Internecie, przekazując żądania i odpowiedzi tam iz powrotem między klientami internetowymi a wewnętrznym środowiskiem usług AD FS.
Zalecenia
Jest to zalecana implementacja usług AD FS.
Założenia dotyczące pomocy technicznej
W tym scenariuszu nie ma żadnych założeń dotyczących obsługi. Ten scenariusz jest obsługiwany przez pomoc techniczna firmy Microsoft.
Scenariusz 2. Usługi AD FS opublikowane przez zaporę
Opis
Usług AD FS federacyjnych usług farmy serwerów usługi Active Directory żądania klienta za pośrednictwem uwierzytelniania logowania jednokrotnego. Serwer Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG) (lub farma serwerów) uwidacznia te podstawowe usługi uwierzytelniania w Internecie za pomocą odwrotnego serwera proxy.
Ograniczenia
Aby to działało, należy wyłączyć rozszerzoną ochronę uwierzytelniania w farmie serwerów federacyjnych usług AD FS. Osłabia to profil zabezpieczeń systemu. Ze względów bezpieczeństwa zalecamy, aby tego nie robić.
Założenia dotyczące pomocy technicznej
Przyjęto założenie, że zapora ISA/TMG i odwrotny serwer proxy są prawidłowo implementowane i działają. Aby pomoc techniczna firmy Microsoft obsługiwać ten scenariusz, muszą być spełnione następujące warunki:
- Zwrotny serwer proxy ruchu HTTPS (port 443) między klientem internetowym a serwerem usług AD FS musi być przezroczysty.
- Serwer usług AD FS musi otrzymać wierną kopię żądań SAML od klienta internetowego.
- Klienci internetowi muszą otrzymywać wierne kopie odpowiedzi SAML tak, jakby klienci byli bezpośrednio dołączani do lokalnego serwera usług AD FS.
Aby uzyskać informacje o typowych problemach, które mogą powodować niepowodzenie tej konfiguracji, zobacz następujący zasób:
Następujący artykuł w witrynie Microsoft TechNet:
Używanie serwera proxy innej firmy jako zamiany na serwer proxy usług AD FS 2.0 Federacyjny
Scenariusz 3. Nieopublizowane usługi AD FS
Opis
Usługi farmy serwerów federacyjnych usług AD FS usługi active directory żądania klienta za pośrednictwem uwierzytelniania logowania jednokrotnego, a farma serwerów nie jest uwidoczniona w Internecie za pomocą żadnej metody.
Ograniczenia
Klienci internetowi (w tym urządzenia przenośne) nie mogą korzystać z zasobów usługi firmy Microsoft w chmurze. Ze względu na poziom usługi zalecamy, aby tego nie robić.
Klienci zaawansowani w programie Outlook nie mogą łączyć się z Exchange Online zasobami. Aby uzyskać więcej informacji, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base:
2466333 użytkownicy federacyjny nie mogą nawiązać połączenia ze skrzynką pocztową Exchange Online
Założenia dotyczące pomocy technicznej
Zakłada się, że klient potwierdza przez implementację, że ta konfiguracja nie zapewnia w pełni anonsowanego pakietu usług obsługiwanych przez Tożsamość Microsoft Entra. W takich okolicznościach ten scenariusz jest obsługiwany przez pomoc techniczna firmy Microsoft.
Scenariusz 4. Usługi AD FS opublikowane przez sieć VPN
Opis
Serwer federacyjny usług AD FS (lub farma serwerów federacyjnych) obsługuje żądania klientów usługi Active Directory za pośrednictwem uwierzytelniania logowania jednokrotnego, a farma serwerów lub serwerów nie jest uwidoczniona w Internecie za pomocą żadnej metody. Klienci internetowi łączą się z usługami AD FS i korzystają z nich tylko za pośrednictwem połączenia wirtualnej sieci prywatnej (VPN) ze środowiskiem sieci lokalnej.
Ograniczenia
Jeśli klienci internetowi (w tym urządzenia przenośne) nie obsługują sieci VPN, nie mogą korzystać z usług firmy Microsoft w chmurze. Ze względu na poziom usługi zalecamy, aby tego nie robić.
Klienci zaawansowani w programie Outlook (w tym klienci ActiveSync) nie mogą łączyć się z Exchange Online zasobami. Aby uzyskać więcej informacji, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base:
2466333 użytkownicy federacyjni nie mogą łączyć się z Exchange Online skrzynkami pocztowymiZasądy obsługi
Zakłada się, że klient potwierdza przez implementację, że ta konfiguracja nie zapewnia w pełni anonsowanego zestawu usług obsługiwanych przez federację tożsamości w Tożsamość Microsoft Entra.
Zakłada się, że sieć VPN jest poprawnie zaimplementowana i działa. Aby ten scenariusz był obsługiwany przez pomoc techniczna firmy Microsoft, muszą być spełnione następujące warunki:
- Klient może nawiązać połączenie z systemem usług AD FS według nazwy DNS za pośrednictwem protokołu HTTPS (port 443).
- Klient może nawiązać połączenie z punktem końcowym federacji Microsoft Entra przy użyciu nazwy DNS przy użyciu odpowiednich portów/protokołów.
Federacja tożsamości usług AD FS o wysokiej dostępności i Microsoft Entra
Każdy scenariusz można zmieniać przy użyciu autonomicznego serwera federacyjnego usług AD FS zamiast farmy serwerów. Jednak zawsze zalecamy najlepsze rozwiązanie firmy Microsoft, aby wszystkie usługi infrastruktury krytycznej były implementowane przy użyciu technologii wysokiej dostępności, aby uniknąć utraty dostępu.
Dostępność lokalnych usług AD FS ma bezpośredni wpływ na dostępność usługi w chmurze firmy Microsoft dla użytkowników federacyjnych, a jej poziom usług jest obowiązkiem klienta. Biblioteka Microsoft TechNet zawiera obszerne wskazówki dotyczące planowania i wdrażania usług AD FS w środowisku lokalnym. Te wskazówki mogą pomóc klientom osiągnąć docelowy poziom usługi dla tego krytycznego podsystemu. Aby uzyskać więcej informacji, przejdź do następującej witryny internetowej TechNet:
Active Directory Federation Services (AD FS) 2.0
Informacje
Nadal potrzebujesz pomocy? Przejdź do witryny microsoft community lub witryny internetowej forów Microsoft Entra.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla