Podporované scenáre pomocou AD FS zriadiť jediné prihlásenie do úradu 365, Windows Azure alebo Windows Intune

Preklady článku Preklady článku
ID článku: 2510193 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

ÚVOD

Tento článok poskytuje prehľad rôznych scenárov pre Active Directory Federation Services (ADFS) (AD FS) a ich dôsledky pre jediné prihlásenie (SSO) v Office 365, Windows Azure alebo Windows Intune.

ĎALŠIE INFORMÁCIE

Ako väčšina služieb enterprise-úrovni, AD FS federácia služby (hybnou silou pre SSO) môže byť vykonaná v mnohých ohľadoch, podľa obchodných potrieb. Tieto AD FS scenáre zameriavajú na ako lokálnu AD FS federácia služby je zverejnená na internete. To je veľmi špecifickým aspektom implementácie AD FS.

Scenár 1: Plne implementované AD FS

Popis
AD FS federácia server farmy služby Active Directory požiadaviek klienta prostredníctvom jediného prihlásenia overovania. AD FS (rovnomerne) federácie servera proxy vystavuje tieto základné overenie služby Internet odovzdávanie žiadostí a odpovedí tam a späť medzi Internet klientov a vnútorného prostredia AD FS.

Odporúčania
Toto je odporúčaná vykonávania AD FS.

Podpora predpoklady
Neexistujú žiadne predpoklady podpory pre tento scenár. Tento scenár je podporovaný Microsoft Support.

Scenár č.2: Firewall-publikoval AD FS

Popis
AD FS federácia server farmy služby Active Directory požiadaviek klienta prostredníctvom jediného prihlásenia overovania. Microsoft Internet Security and Acceleration (ISA) / Microsoft čele hrozba riadenia Gateway (TMG) servera (alebo serverovej farme) vystavuje tieto základné overenie služby na internete reverznej proxy.

Obmedzenia
Musí byť vypnuté rozšírenú ochranu overovania na AD FS federácia serverovej farmy pre túto prácu. To oslabuje profil zabezpečenia systému. Bezpečnostných dôvodov odporúčame že neurobíte to.
Podpora predpoklady
Predpokladá sa, že ISA/TMG firewall a reverznej proxy pravidla sú vykonané správne a funkčné. Pre Microsoft Support na podporu tohto scenára, tieto podmienky musia byť pravda:
  • Reverznej proxy HTTPS (port 443) dopravy medzi Internet klient a server AD FS musia byť transparentné.
  • Server AD FS musí prijímať vernou kópiou SAML požiadavky od klienta Internet.
  • Internet klienti musia prijímať verné kópie SAML reakcie akoby klienti boli priamo pripojené k lokálnym server AD FS.
Informácie o bežných problémoch, ktoré môžu spôsobiť Táto konfigurácia zlyhá, nájdete v nasledujúcich zdrojoch:
  • Nasledujúci článok databázy Microsoft Knowledge Base
    2535789 Internet-založené klientskych počítačov nemôže overiť po nastavení služby Active Directory Federation Services (ADFS) (AD FS) v konfigurácii "firewall-zverejnené"
  • Nasledujúci článok Microsoft TechNet:
    Pomocou tretej strany Proxy ako náhrada AD FS 2.0 federácia Server Proxy

Scenár 3: Nepublikovanej AD FS

Popis
AD FS federácia server farmy služby Active Directory klient žiada prostredníctvom jediného prihlásenia overovania a serverovú farmu nie je vystavený na internete akoukoľvek metódou.

Obmedzenia
Internet klientov (vrátane mobilných zariadení) nemôžete použiť Microsoft cloud služby zdrojov. Úroveň služieb dôvodov, odporúčame že neurobíte to.

Bohatých klientov programu Outlook sa nemôže pripojiť k službe Exchange Online zdroje. Pre viac informácie, pozri nasledujúci článok Microsoft Knowledge Base:
2466333 Federalizovaných používateľov nemôže pripojiť k službe Exchange Online poštovej schránke
Podpora predpoklady
Predpokladá sa, že zákazník berie na vedomie vykonávaním že toto nastavenie neposkytuje plne inzerovanej sada služieb, ktoré sú podporované Windows Azure Active Directory (Windows Azure AD). Za týchto okolností sa tento scenár podporuje Microsoft Support.

Scenár 4: VPN-publikoval AD FS

Popis

Server AD FS federácia (alebo federácie serverovej farmy) služby Active Directory požiadaviek klienta prostredníctvom jediného prihlásenia overovania, a server alebo serverovú farmu nie je vystavený na internete akoukoľvek metódou. Klienti siete Internet pripojiť a využiť služby AD FS len cez pripojenie virtuálnej súkromnej siete (VPN) na lokálnom sieťovom prostredí.

Obmedzenia

Ak Internet klientov (vrátane mobilných zariadení) dokážu VPN-, nemôžu používať Microsoft cloud služby. Úroveň služieb dôvodov, odporúčame že neurobíte to.

Bohatých klientov programu Outlook (vrátane ActiveSync klientov) nemôže pripojiť k službe Exchange Online zdroje. Pre viac informácie, pozri nasledujúci článok Microsoft Knowledge Base:
2466333 Federalizovaných používateľov nemôže pripojiť k službe Exchange Online poštovej schránke
Podpora predpoklady

Predpokladá sa, že zákazník berie na vedomie vykonávaním že toto nastavenie neposkytuje plne inzerovanej sada služieb, ktoré sú podporované totožnosť federácie v Windows Azure AD.

Predpokladá sa VPN je vykonaná správne a je funkčná. Pre tento scenár bude podporovaná Microsoft Support, tieto podmienky musia byť pravda:
  • Klient môže pripojiť na AD FS systém DNS meno cez HTTPS (port 443).
  • Klient môže pripojiť do Windows Azure AD federácie koncový bod názov DNS pomocou príslušné porty/protokolov.

High-dostupnosť AD FS a Windows Azure AD združovanie identít

Každý scenár je možné meniť pomocou samostatný server AD FS federácia namiesto serverovej farmy. Je však vždy Microsoft osvedčených odporúčanie, že všetky kritické infraštruktúry služby vykonávať pomocou high-dostupnosť technológie zabrániť strate prístupu.

Lokálnu AD FS dostupnosť priamo ovplyvňuje dostupnosť služby Microsoft cloud pre federalizovaných používateľov a jeho úroveň služieb je v kompetencii zákazníka. Microsoft TechNet knižnica obsahuje rozsiahly návod ako plánovať a nasadení služby AD FS v lokálnom prostredí. Tento návod môže pomôcť zákazníkom dosiahnuť ich cieľovú úroveň služieb pre tento kritický subsystém. Pre viac informácií prejdite na nasledujúce webovú lokalitu TechNet:
http://technet.Microsoft.com/en-us/library/adfs2 (WS.10).aspx

ODKAZY

Potrebujete ešte pomoc? Prejdite na Komunita používateľov balíka Office 365 webové stránky alebo Windows Azure služby Active Directory Fórum .

Vlastnosti

ID článku: 2510193 - Posledná kontrola: 9. marca 2014 - Revízia: 11.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Kľúčové slová: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 2510193

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com