Cenários com suporte para o uso do AD FS para configurar o logon único no Office 365, o Windows Azure ou o Windows Intune

Traduções deste artigo Traduções deste artigo
ID do artigo: 2510193 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo fornece uma visão geral de vários cenários de serviços de Federação do Active Directory (AD FS) e suas implicações de single sign-on (SSO) no Office 365, o Windows Azure ou o Windows Intune.

OBTER MAIS INFORMAÇÕES

Como com a maioria dos serviços de nível corporativo, o serviço de Federação do AD FS (aproveitado para SSO) pode ser implementado de várias maneiras, dependendo das necessidades de negócios. Os seguintes cenários do AD FS concentram em como o local serviço de Federação do AD FS é publicado na Internet. Este é um aspecto muito específico da implementação do AD FS.

Cenário 1: Totalmente implementado o AD FS

Descrição
Solicitações de um cliente de Federação AD FS server farm dos serviços do Active Directory através da autenticação SSO. Um AD FS (carga balanceada) proxy de servidor de federação expõe os principais serviços de autenticação à Internet, retransmitindo solicitações e respostas entre os clientes da Internet e o ambiente interno do AD FS.

Recomendações
Esta é a implementação recomendada do AD FS.

Pressuposições de suporte
Não há nenhum suposições de suporte para esse cenário. Esse cenário é compatível com o Microsoft Support.

Cenário 2: Publicado pelo Firewall do AD FS

Descrição
Solicitações de um cliente de Federação AD FS server farm dos serviços do Active Directory através da autenticação SSO. Um Microsoft Internet Security and Acceleration (ISA) / servidor do Microsoft Forefront ameaça Management Gateway (TMG) (ou farm de servidores) expõe os serviços de autenticação de núcleo à Internet através de proxy reverso.

Limitações
Proteção estendida de autenticação deve ser desabilitada no farm de servidores de Federação do AD FS para este trabalho. Isso enfraquece o perfil de segurança do sistema. Para considerações de segurança, recomendamos que você não faça isso.
Pressuposições de suporte
Presume-se que a regra de proxy reverso e firewall ISA/TMG são implementados corretamente e são funcionais. Para o Microsoft Support oferecer suporte a esse cenário, as seguintes condições devem ser verdadeiras:
  • O proxy inverso de tráfego HTTPS (porta 443) entre o cliente da Internet e o servidor do AD FS deve ser transparente.
  • O servidor do AD FS deve receber uma cópia fiel de solicitações SAML do cliente da Internet.
  • Os clientes de Internet devem receber cópias fiel de respostas SAML como se os clientes estavam conectados diretamente para o local server do AD FS.
Para obter informações sobre problemas comuns que podem causar essa configuração falha, consulte os seguintes recursos:

Cenário 3: Não publicado o AD FS

Descrição
Solicitações de um cliente de Federação AD FS server farm dos serviços do Active Directory através da autenticação SSO e o server farm não está exposto à Internet por qualquer método.

Limitações
Clientes de Internet (incluindo dispositivos móveis) não podem usar recursos de serviço de nuvem do Microsoft. Por motivos de nível de serviço, é recomendável que você não faça isso.

Os clientes avançados do Outlook não podem se conectar aos recursos on-line do Exchange. Para obter mais informações, consulte o seguinte artigo da Base de Conhecimento Microsoft:
2466333 Os usuários federados não podem se conectar a uma caixa de correio Exchange Online
Pressuposições de suporte
Presume-se que o cliente reconheça pela implementação que essa configuração não fornece o pacote anunciado totalmente de serviços que são suportados pelo Windows Azure Active Directory (AD Windows Azure). Sob essas circunstâncias, esse cenário é compatível com o Microsoft Support.

Cenário 4: Publicado VPN AD FS

Descrição

Solicitações de cliente do Active Directory através da autenticação SSO de serviços de um servidor de Federação do AD FS (ou farm de servidores de federação) e o servidor ou server farm não está exposto à Internet por qualquer método. Os clientes da Internet conectam e usam serviços do AD FS somente através de uma conexão de rede virtual privada (VPN) para o ambiente de rede local.

Limitações

A menos que os clientes de Internet (incluindo dispositivos móveis) são capazes de VPN, eles não podem usar os serviços de nuvem da Microsoft. Por motivos de nível de serviço, é recomendável que você não faça isso.

Clientes sofisticados do Outlook (incluindo clientes ActiveSync) não podem se conectar aos recursos on-line do Exchange. Para obter mais informações, consulte o seguinte artigo da Base de Conhecimento Microsoft:
2466333 Os usuários federados não podem se conectar a uma caixa de correio Exchange Online
Pressuposições de suporte

Presume-se que o cliente reconheça pela implementação que essa configuração não fornece o pacote anunciado totalmente de serviços que são suportados pelo federação de identidade no Windows Azure AD.

Presume-se a VPN é implementada corretamente e está funcionando. Para esse cenário ser suportados pelo Microsoft Support, as seguintes condições devem ser verdadeiras:
  • O cliente pode se conectar ao sistema do AD FS por nome DNS através de HTTPS (porta 443).
  • O cliente pode se conectar ao ponto de extremidade de Federação AD Windows Azure pelo nome DNS usando portas/protocolos apropriados.

Alta disponibilidade do AD FS e Windows Azure AD a federação de identidades

Cada cenário pode ser variado usando um servidor de Federação do AD FS autônomo em vez de um farm de servidores. No entanto, é sempre uma recomendação da Microsoft recomenda que todos os serviços de infra-estrutura crítica ser implementado usando tecnologia de alta disponibilidade para evitar a perda de acesso.

Local disponibilidade do AD FS afeta diretamente a disponibilidade do serviço de nuvem Microsoft para os usuários federados e seu nível de serviço é de responsabilidade do cliente. A biblioteca do Microsoft TechNet contém orientações abrangentes sobre como planejar e implantar o AD FS no ambiente local. Neste guia pode ajudar os clientes a alcançar seu nível de serviço de destino para este subsistema essencial. Para obter mais informações, consulte o seguinte site do TechNet:
http://technet.microsoft.com/en-us/library/adfs2 (WS

REFERÊNCIAS

Ainda precisa de ajuda? Vá para o Comunidade do Office 365 site ou o Fóruns do Windows Azure do Active Directory site da Web.

Propriedades

ID do artigo: 2510193 - Última revisão: domingo, 9 de março de 2014 - Revisão: 11.0
A informação contida neste artigo aplica-se a:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Palavras-chave: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 2510193

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com