Scenarier som stöds för att använda AD FS för att konfigurera enkel inloggning i Microsoft 365, Azure eller Intune

  • Artikel
  • Gäller för:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Inledning

Den här artikeln innehåller en översikt över olika scenarier med Active Directory Federation Services (AD FS) (AD FS) och deras konsekvenser för enkel inloggning (SSO) i Microsoft 365, Microsoft Azure eller Microsoft Intune.

Mer information

Precis som med de flesta tjänster på företagsnivå kan AD FS Federation Service (som används för enkel inloggning) implementeras på många sätt, beroende på affärsbehov. Följande AD FS-scenarier fokuserar på hur den lokala AD FS-federationstjänsten publiceras på Internet. Detta är en mycket specifik aspekt av AD FS-implementeringen.

Scenario 1: Fullständigt implementerad AD FS

Beskrivning

En AD FS Federation servergrupp tjänster Active Directory-klientbegäranden via SSO-autentisering. En AD FS-federationsserverproxy (belastningsutjämning) exponerar dessa kärnautentiseringstjänster för Internet genom att vidarebefordra begäranden och svar fram och tillbaka mellan Internetklienter och den interna AD FS-miljön.

Rekommendationer

Detta är den rekommenderade implementeringen av AD FS.

Antaganden om stöd

Det finns inga stödantaganden för det här scenariot. Det här scenariot stöds av Microsoft Support.

Scenario 2: Brandväggspublicerad AD FS

Beskrivning

En AD FS Federation servergrupp tjänster Active Directory-klientbegäranden via SSO-autentisering. En Microsoft Internet Security and Acceleration (ISA)/Microsoft Forefront Threat Management Gateway -server (TMG) (eller servergrupp) exponerar dessa kärnautentiseringstjänster för Internet via omvänd proxy.

Begränsningar

Utökat autentiseringsskydd måste inaktiveras i AD FS Federation-servergruppen för att detta ska fungera. Detta försvagar systemets säkerhetsprofil. För säkerhetsöverväganden rekommenderar vi att du inte gör detta.

Antaganden om stöd

Det förutsätts att ISA/TMG-brandväggen och omvänd proxyregel implementeras korrekt och fungerar. För att Microsoft Support ska stödja det här scenariot måste följande villkor vara uppfyllda:

  • Den omvända proxyn för HTTPS-trafik (port 443) mellan Internetklienten och AD FS-servern måste vara transparent.
  • AD FS-servern måste ta emot en trogen kopia av SAML-begäranden från Internetklienten.
  • Internetklienter måste ta emot trogna kopior av SAML-svar som om klienterna var direkt kopplade till den lokala AD FS-servern.

Information om vanliga problem som kan orsaka att den här konfigurationen misslyckas finns i följande resurs:

Scenario 3: Icke-publicerad AD FS

Beskrivning

En AD FS Federation servergrupp tjänster Active Directory-klientbegäranden via SSO-autentisering, och servergruppen exponeras inte för Internet med någon metod.

Begränsningar

Internetklienter (inklusive mobila enheter) kan inte använda Microsofts molntjänstresurser. Av skäl på tjänstnivå rekommenderar vi att du inte gör detta.

Outlook rich-klienter kan inte ansluta till Exchange Online resurser. Mer information finns i följande artikel i Microsofts bibliotek med tekniska supportartiklar

2466333 federerade användare kan inte ansluta till en Exchange Online postlåda

Antaganden om stöd

Det förutsätts att kunden bekräftar genom implementering att den här konfigurationen inte tillhandahåller den fullständigt annonserade sviten med tjänster som stöds av Microsoft Entra ID. Under dessa omständigheter stöds det här scenariot av Microsoft Support.

Scenario 4: VPN-publicerad AD FS

Beskrivning

En AD FS-federationsserver (eller federationsservergrupp) tillhandahåller Active Directory-klientbegäranden via SSO-autentisering, och servern eller servergruppen exponeras inte för Internet med någon metod. Internetklienter ansluter till och använder endast AD FS-tjänster via en virtuell privat nätverksanslutning (VPN) till den lokala nätverksmiljön.

Begränsningar

Om inte Internetklienter (inklusive mobila enheter) är VPN-kompatibla kan de inte använda Microsofts molntjänster. Av skäl på tjänstnivå rekommenderar vi att du inte gör detta.

Outlook rich-klienter (inklusive ActiveSync-klienter) kan inte ansluta till Exchange Online resurser. Mer information finns i följande artikel i Microsofts bibliotek med tekniska supportartiklar

2466333 federerade användare kan inte ansluta till en Exchange Online postlådaSupportantaganden

Det förutsätts att kunden bekräftar genom implementering att den här konfigurationen inte tillhandahåller den fullständigt annonserade sviten med tjänster som stöds av identitetsfederation i Microsoft Entra ID.

Det antas att VPN är korrekt implementerat och fungerar. För att det här scenariot ska kunna stödjas av Microsoft Support måste följande villkor vara uppfyllda:

  • Klienten kan ansluta till AD FS-systemet med DNS-namn via HTTPS (port 443).
  • Klienten kan ansluta till Microsoft Entra federationsslutpunkt efter DNS-namn med hjälp av lämpliga portar/protokoll.

AD FS- och Microsoft Entra-identitetsfederation med hög tillgänglighet

Varje scenario kan varieras med hjälp av en fristående AD FS-federationsserver i stället för en servergrupp. Det är dock alltid en rekommendation från Microsoft om bästa praxis att alla kritiska infrastrukturtjänster implementeras med hjälp av teknik med hög tillgänglighet för att undvika förlust av åtkomst.

Lokal AD FS-tillgänglighet påverkar direkt Microsofts molntjänsttillgänglighet för federerade användare och dess servicenivå är kundens ansvar. Microsoft TechNet-biblioteket innehåller omfattande vägledning om hur du planerar och distribuerar AD FS i den lokala miljön. Den här vägledningen kan hjälpa kunderna att nå sin måltjänstnivå för det här kritiska undersystemet. Mer information finns på följande TechNet-webbplats:

Active Directory Federation Services (AD FS) (AD FS) 2.0

Referenser

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.