Scenarier som stöds för att använda AD FS för att konfigurera enkel inloggning i Microsoft 365, Azure eller Intune
Inledning
Den här artikeln innehåller en översikt över olika scenarier med Active Directory Federation Services (AD FS) (AD FS) och deras konsekvenser för enkel inloggning (SSO) i Microsoft 365, Microsoft Azure eller Microsoft Intune.
Mer information
Precis som med de flesta tjänster på företagsnivå kan AD FS Federation Service (som används för enkel inloggning) implementeras på många sätt, beroende på affärsbehov. Följande AD FS-scenarier fokuserar på hur den lokala AD FS-federationstjänsten publiceras på Internet. Detta är en mycket specifik aspekt av AD FS-implementeringen.
Scenario 1: Fullständigt implementerad AD FS
Beskrivning
En AD FS Federation servergrupp tjänster Active Directory-klientbegäranden via SSO-autentisering. En AD FS-federationsserverproxy (belastningsutjämning) exponerar dessa kärnautentiseringstjänster för Internet genom att vidarebefordra begäranden och svar fram och tillbaka mellan Internetklienter och den interna AD FS-miljön.
Rekommendationer
Detta är den rekommenderade implementeringen av AD FS.
Antaganden om stöd
Det finns inga stödantaganden för det här scenariot. Det här scenariot stöds av Microsoft Support.
Scenario 2: Brandväggspublicerad AD FS
Beskrivning
En AD FS Federation servergrupp tjänster Active Directory-klientbegäranden via SSO-autentisering. En Microsoft Internet Security and Acceleration (ISA)/Microsoft Forefront Threat Management Gateway -server (TMG) (eller servergrupp) exponerar dessa kärnautentiseringstjänster för Internet via omvänd proxy.
Begränsningar
Utökat autentiseringsskydd måste inaktiveras i AD FS Federation-servergruppen för att detta ska fungera. Detta försvagar systemets säkerhetsprofil. För säkerhetsöverväganden rekommenderar vi att du inte gör detta.
Antaganden om stöd
Det förutsätts att ISA/TMG-brandväggen och omvänd proxyregel implementeras korrekt och fungerar. För att Microsoft Support ska stödja det här scenariot måste följande villkor vara uppfyllda:
- Den omvända proxyn för HTTPS-trafik (port 443) mellan Internetklienten och AD FS-servern måste vara transparent.
- AD FS-servern måste ta emot en trogen kopia av SAML-begäranden från Internetklienten.
- Internetklienter måste ta emot trogna kopior av SAML-svar som om klienterna var direkt kopplade till den lokala AD FS-servern.
Information om vanliga problem som kan orsaka att den här konfigurationen misslyckas finns i följande resurs:
Följande Microsoft TechNet-artikel:
Använda en proxy från tredje part som ersättning för en AD FS 2.0-federationsserverproxy
Scenario 3: Icke-publicerad AD FS
Beskrivning
En AD FS Federation servergrupp tjänster Active Directory-klientbegäranden via SSO-autentisering, och servergruppen exponeras inte för Internet med någon metod.
Begränsningar
Internetklienter (inklusive mobila enheter) kan inte använda Microsofts molntjänstresurser. Av skäl på tjänstnivå rekommenderar vi att du inte gör detta.
Outlook rich-klienter kan inte ansluta till Exchange Online resurser. Mer information finns i följande artikel i Microsofts bibliotek med tekniska supportartiklar
2466333 federerade användare kan inte ansluta till en Exchange Online postlåda
Antaganden om stöd
Det förutsätts att kunden bekräftar genom implementering att den här konfigurationen inte tillhandahåller den fullständigt annonserade sviten med tjänster som stöds av Microsoft Entra ID. Under dessa omständigheter stöds det här scenariot av Microsoft Support.
Scenario 4: VPN-publicerad AD FS
Beskrivning
En AD FS-federationsserver (eller federationsservergrupp) tillhandahåller Active Directory-klientbegäranden via SSO-autentisering, och servern eller servergruppen exponeras inte för Internet med någon metod. Internetklienter ansluter till och använder endast AD FS-tjänster via en virtuell privat nätverksanslutning (VPN) till den lokala nätverksmiljön.
Begränsningar
Om inte Internetklienter (inklusive mobila enheter) är VPN-kompatibla kan de inte använda Microsofts molntjänster. Av skäl på tjänstnivå rekommenderar vi att du inte gör detta.
Outlook rich-klienter (inklusive ActiveSync-klienter) kan inte ansluta till Exchange Online resurser. Mer information finns i följande artikel i Microsofts bibliotek med tekniska supportartiklar
2466333 federerade användare kan inte ansluta till en Exchange Online postlådaSupportantaganden
Det förutsätts att kunden bekräftar genom implementering att den här konfigurationen inte tillhandahåller den fullständigt annonserade sviten med tjänster som stöds av identitetsfederation i Microsoft Entra ID.
Det antas att VPN är korrekt implementerat och fungerar. För att det här scenariot ska kunna stödjas av Microsoft Support måste följande villkor vara uppfyllda:
- Klienten kan ansluta till AD FS-systemet med DNS-namn via HTTPS (port 443).
- Klienten kan ansluta till Microsoft Entra federationsslutpunkt efter DNS-namn med hjälp av lämpliga portar/protokoll.
AD FS- och Microsoft Entra-identitetsfederation med hög tillgänglighet
Varje scenario kan varieras med hjälp av en fristående AD FS-federationsserver i stället för en servergrupp. Det är dock alltid en rekommendation från Microsoft om bästa praxis att alla kritiska infrastrukturtjänster implementeras med hjälp av teknik med hög tillgänglighet för att undvika förlust av åtkomst.
Lokal AD FS-tillgänglighet påverkar direkt Microsofts molntjänsttillgänglighet för federerade användare och dess servicenivå är kundens ansvar. Microsoft TechNet-biblioteket innehåller omfattande vägledning om hur du planerar och distribuerar AD FS i den lokala miljön. Den här vägledningen kan hjälpa kunderna att nå sin måltjänstnivå för det här kritiska undersystemet. Mer information finns på följande TechNet-webbplats:
Active Directory Federation Services (AD FS) (AD FS) 2.0
Referenser
Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för