Поддерживаемые сценарии использования службы федерации Active Directory для настройки единого входа в Office 365, Azure или Windows Intune

Переводы статьи Переводы статьи
Код статьи: 2510193 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В данной статье содержится обзор различных сценариев служб федерации Active Directory (AD FS) и их последствия для единого входа (SSO) в Microsoft Office 365, Microsoft Azure или Windows Intune.

ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ

Как большинство службы уровня предприятия, службы федерации AD FS (используемой для SSO) может осуществляться различными способами, в зависимости от потребностей бизнеса. В следующих сценариях AD FS сосредоточиться на том, как на предприятии службы федерации AD FS опубликованные в Интернете. Это очень конкретные аспекты реализации службы федерации Active Directory.

Сценарий 1: Полностью реализованы AD FS

Описание
Посредством единого входа проверка подлинности запросов клиент Active Directory служб фермы серверов федерации AD FS. AD FS (балансировкой нагрузки) прокси-сервер федерации предоставляет эти основные службы проверки подлинности в Интернет, ретранслируя запросов и ответов между клиентами Интернета и внутренней среды AD FS.

Рекомендации
Это рекомендуемая реализация службы федерации Active Directory.

Поддержка предположения
Нет никаких предположений поддержки для этого сценария. Этот сценарий поддерживается службой поддержки корпорации Майкрософт.

Сценарий 2: Публикации брандмауэра AD FS

Описание
Посредством единого входа проверка подлинности запросов клиент Active Directory служб фермы серверов федерации AD FS. Microsoft Internet Security and Acceleration (ISA) / сервер Microsoft Forefront угроз Management Gateway (TMG) (или ферме серверов) предоставляет службы проверки подлинности этих основных обратного прокси-сервера в Интернет.

Ограничения
В ферме серверов федерации AD FS для этого необходимо отключить расширенную защиту для проверки подлинности. Это ослабляет профиля безопасности системы. По соображениям безопасности рекомендуется не делать этого.
Поддержка предположения
Предполагается правило обратный прокси и брандмауэра ISA/TMG правильности реализации и работы. Для поддержки корпорации Майкрософт для поддержки этого сценария должны выполняться следующие условия:
  • Обратный прокси HTTPS (порт 443) трафик между Интернет-клиентом и сервером службы федерации Active Directory должен быть прозрачным.
  • Службы федерации Active Directory сервер должен получить точного копия запросы SAML от Интернет-клиента.
  • Интернет клиенты должны получить точного копии ответов SAML, как если клиенты был подключен непосредственно к зданию на сервере AD FS.
Для получения сведений о распространенных проблемах, которые могут вызвать эту конфигурацию для сбой, обратитесь к следующим ресурсам:

Сценарий 3: Неопубликованные AD FS

Описание
Посредством единого входа проверка подлинности запрашивает клиент Active Directory служб фермы серверов федерации AD FS и фермы серверов не предоставляется в Интернет любым способом.

Ограничения
Интернет-клиентов (в том числе мобильных устройств) нельзя использовать ресурсы службы облако Microsoft. Для повышения уровня обслуживания рекомендуется не делать этого.

Богатые клиенты Outlook не удается подключиться к Exchange Online ресурсов. Для получения дополнительных сведений обратитесь к следующей статье Microsoft Knowledge Base:
2466333 Федеративные пользователи не могут подключиться к почтовому ящику Exchange Online
Поддержка предположения
Предполагается, что клиент подтверждает реализацией, эта настройка не дает полностью объявленных набор служб, поддерживаемых службой каталогов Active Directory для Azure (Azure AD). В этих обстоятельствах этот сценарий поддерживается службой поддержки корпорации Майкрософт.

Сценарий 4: Опубликованные VPN AD FS

Описание

Сервер федерации AD FS (или ферме серверов федерации) обслуживает запросы клиента Active Directory посредством проверки подлинности единого входа и сервера или фермы серверов не предоставляется в Интернет любым способом. Интернет-клиентов подключиться и использовать службы AD FS только через подключение к виртуальной частной сети (VPN) к сетевой среде на предприятии.

Ограничения

Если Интернет-клиентов (в том числе мобильных устройств) не поддерживает VPN, они не могут использовать облачные службы Майкрософт. Для повышения уровня обслуживания рекомендуется не делать этого.

(Включая клиентов ActiveSync) клиентов с расширенными возможностями Outlook не удается подключиться к Exchange Online ресурсов. Для получения дополнительных сведений обратитесь к следующей статье Microsoft Knowledge Base:
2466333 Федеративные пользователи не могут подключиться к почтовому ящику Exchange Online
Поддержка предположения

Предполагается, что клиент подтверждает реализацией, эта настройка не дает полностью объявленных набор служб, поддерживаемые службой федерации удостоверений в Azure AD.

Предполагается правильно реализован и функциональность VPN-Подключение. В этом сценарии для поддержки технической поддержки корпорации Майкрософт должны выполняться следующие условия:
  • Клиент может подключиться к системе AD FS именем DNS по протоколу HTTPS (порт 443).
  • Клиент может подключаться к конечной точке федерации Azure AD, DNS-имя с помощью соответствующих портов и протоколов.

Федерации удостоверений AD FS и Azure AD высокого уровня доступности

Каждый сценарий может изменяться с помощью изолированного сервера федерации AD FS вместо фермы серверов. Тем не менее он всегда является рекомендация рекомендации корпорации Майкрософт, что все критические инфраструктуры службы реализованы с помощью технологии высокого уровня доступности, чтобы избежать потери доступа.

На предприятии доступность службы федерации Active Directory напрямую влияет на доступность службы облака Microsoft для федеративных пользователей и его уровень обслуживания несет ответственность за клиента. В библиотеке Microsoft TechNet содержит всестороннее руководство для планирования и развертывания службы федерации Active Directory в среде на предприятии. Данное руководство может помочь клиентам достичь их целевого уровня службы для этой подсистемы критических. Дополнительные сведения перейдите на следующий веб-узел TechNet:
http://TechNet.Microsoft.com/en-us/library/adfs2 (WS.10).aspx

ССЫЛКИ

По-прежнему нужна помощь? Последовательно выберите пункты Сообщество Office 365 веб-узел или Форумы Azure Active Directory веб-сайт.

Свойства

Код статьи: 2510193 - Последний отзыв: 21 июня 2014 г. - Revision: 12.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Ключевые слова: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 2510193

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com