Cenários suportados para utilizar o AD FS para configurar serviço single sign-on no Office 365, Azure ou do Windows Intune

Traduções de Artigos Traduções de Artigos
Artigo: 2510193 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo fornece uma descrição geral dos vários cenários de serviços de Federação do Active Directory (AD FS) e suas implicações para o início de sessão único (SSO) no Office 365, Microsoft Azure ou do Windows Intune.

MAIS INFORMAÇÕES

Como com a maior parte dos serviços de nível empresarial, o serviço de Federação do AD FS (utilizadas para SSO) pode ser implementado de várias formas, dependendo das necessidades de negócio. Os seguintes cenários de AD FS destacar o modo como o local serviço de Federação do AD FS é publicado na Internet. Este é um aspecto muito específico da implementação do AD FS.

Cenário 1: Aplicação plena do AD FS

Descrição
Um cliente de Active Directory services de farm de servidor de Federação do AD FS pedidos através da autenticação de SSO. Um ADFS (balanceada de carga) proxy de servidor de Federação expõe os serviços de autenticação principal à Internet retransmitindo pedidos e respostas e para trás entre clientes de Internet e o ambiente de AD FS interno.

Recomendações
Esta é a implementação do AD FS recomendada.

Pressupostos de suporte
Não existem nenhum pressupostos de suporte para este cenário. Neste cenário é suportado pelo Microsoft Support.

Cenário 2: Publicadas Firewall AD FS

Descrição
Um cliente de Active Directory services de farm de servidor de Federação do AD FS pedidos através da autenticação de SSO. Um Microsoft Internet Security and Acceleration (ISA) / servidor de Gateway de gestão (TMG) do Microsoft Forefront ameaça (ou farm de servidores) expõe os serviços de autenticação principal à Internet através de proxy inverso.

Limitações
Protecção da autenticação expandida tem de ser desactivada no farm de servidores de Federação do AD FS para esta opção para trabalhar. Isto enfraquece o perfil de segurança do sistema. Para considerações sobre segurança, recomendamos que não o faça.
Pressupostos de suporte
É assumido que a firewall do ISA/TMG e a regra de proxy inverso são executadas correctamente e que estão a funcionais. Para Support da Microsoft suportar este exemplo, as seguintes condições têm de ser verdadeiras:
  • O proxy inverso do tráfego HTTPS (porta 443) entre o cliente de Internet e o servidor de AD FS tem de ser transparente.
  • O servidor de AD FS deve receber uma cópia imitações de pedidos SAML do cliente de Internet.
  • Os clientes da Internet tem de receber cópias imitações de respostas SAML como se os clientes estavam ligados directamente para as instalações servidor de AD FS.
Para obter informações sobre problemas comuns que podem causar esta configuração falhar, consulte os seguintes recursos:

Cenário 3: Não publicadas AD FS

Descrição
O pedido de um cliente de Active Directory services de farm de servidor de Federação do AD FS através da autenticação de SSO e o farm de servidores não está exposto à Internet por qualquer método.

Limitações
Os clientes de Internet (incluindo dispositivos móveis) não é possível utilizar recursos de serviço de nuvem de Microsoft. Por razões de nível de serviço, recomendamos que não o faça.

Clientes ricos do Outlook não consegue ligar a recursos Online do Exchange. Para mais informações, consulte o seguinte artigo na Microsoft Knowledge Base:
2466333 Os utilizadores federados não consegue ligar a uma caixa de correio Exchange Online
Pressupostos de suporte
É assumido que o cliente reconhece mediante a aplicação que este programa de configuração não fornece o conjunto de programas anunciado totalmente dos serviços que são suportadas pelo Azure Active Directory (Azure AD). Nestas circunstâncias, este cenário é suportado pelo Microsoft Support.

Cenário 4: Publicadas VPN AD FS

Descrição

Pedidos de clientes do Active Directory através da autenticação de SSO de serviços de um servidor de Federação do AD FS (ou farm de servidores de Federação) e o servidor ou farm de servidores não está exposta à Internet por qualquer método. Os clientes Internet ligar a e utilizam serviços de AD FS apenas através de uma ligação de rede privada virtual (VPN) para o ambiente de rede no local.

Limitações

A menos que os clientes de Internet (incluindo dispositivos móveis) sejam com capacidade de VPN, não poderão utilizar os serviços de nuvem de Microsoft. Por razões de nível de serviço, recomendamos que não o faça.

Os clientes Outlook ricos (incluindo clientes ActiveSync) não consegue ligar a recursos Exchange Online. Para mais informações, consulte o seguinte artigo na Microsoft Knowledge Base:
2466333 Os utilizadores federados não consegue ligar a uma caixa de correio Exchange Online
Pressupostos de suporte

É assumido que o cliente reconhece mediante a aplicação que este programa de configuração não fornece o conjunto de serviços que são suportadas pelo Federação de identidades no Azure AD totalmente anunciado.

Assume-se a VPN é implementada correctamente e está a funcionar. Para este cenário a ser suportados pela Microsoft Support, as seguintes condições devem ser verdadeiras:
  • O cliente pode ligar ao sistema de AD FS pelo nome DNS através de HTTPS (porta 443).
  • O cliente pode ligar para o ponto final de Federação de Azure AD pelo nome de DNS utilizando portas adequados/protocolos.

Federação de identidades do AD FS e Azure AD elevada disponibilidade

Cada cenário pode ser modificado utilizando um servidor de Federação do AD FS autónomo em vez de um farm de servidores. No entanto, é sempre uma recomendação de melhores práticas da Microsoft que todos os serviços de infra-estrutura críticas executadas utilizando a tecnologia de elevada disponibilidade para evitar a perda de acesso.

No local a disponibilidade de AD FS afecta directamente a disponibilidade do serviço Microsoft nuvem para os utilizadores federados e seu nível de serviço é da responsabilidade do cliente. A biblioteca Microsoft TechNet contém orientações extensas sobre como planear e implementar o AD FS no ambiente no local. Estas orientações podem ajudar os clientes a atingir o nível de serviço de destino para este subsistema crítico. Para mais informações, consulte o seguinte Web site da TechNet:
http://technet.microsoft.com/en-us/library/adfs2 (WS.10).aspx

REFERÊNCIAS

Ainda precisa de ajuda? Vá para o Comunidade do Office 365 Web site ou o Fóruns de Azure do Active Directory Web site.

Propriedades

Artigo: 2510193 - Última revisão: 21 de junho de 2014 - Revisão: 12.0
A informação contida neste artigo aplica-se a:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Palavras-chave: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2510193

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com