Підтримувані сценарії сценарій виконання AD FS для настроювання єдиного входу у службі Office 365, Azure або Windows Intune

Переклади статей Переклади статей
Номер статті: 2510193 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Введення

У цій статті наведено огляд різні сценарії служб служба Active Directory Федерації (AD FS) та їх наслідки для єдиного входу (SSO) у службі Office 365, Microsoft Azure або Windows Intune.

Додаткові відомості

Як з більшість послуг рівня підприємства, AD FS Федерації служби (позикових коштів для єдиного входу) може бути реалізована по-різному, залежно від потреб бізнесу. Такі сценарії AD FS зосередити увагу на те, як локальна AD FS Федерації служби опубліковані в Інтернет. Це дуже конкретний аспект AD FS реалізації.

Сценарій 1: Повністю реалізовані AD FS

Опис
Послугами AD FS Федерації ферми служб служба Active Directory клієнт запити до сервера через автентифікації для єдиного входу. AD FS (навантаження збалансований) проксі сервер Федерації піддає цих основних служб автентифікації до Інтернету ретранслюючи запити та відповіді і назад між інтернет клієнтів і внутрішнього середовища AD FS.

Рекомендації
Це рекомендований впровадження AD FS.

Підтримка припущення
Там не немає підтримки припущеннях для цього сценарію. Цей сценарій підтримує представник служби підтримки клієнтів Microsoft.

Сценарій 2: Брандмауер опубліковані AD FS

Опис
Послугами AD FS Федерації ферми служб служба Active Directory клієнт запити до сервера через автентифікації для єдиного входу. Microsoft Internet Security і прискорення (ISA) / сервер Microsoft перший план поверху загрозу управління шлюз (ГММ) (або серверній фермі) піддає цих основних служб автентифікації до Інтернету проксі-зворотний.

Обмеження
Розширений захист аутентифікації повинні відключена ферми серверів AD FS Федерації за цю роботу. Це послаблює профіль безпеки системи. З міркувань безпеки рекомендується, що ви не зробите цього.
Підтримка припущення
Передбачається, що ISA/ГММ брандмауер і зворотного проксі правило реалізуються правильно і функціональний. Для підтримки Майкрософт для підтримки цього сценарію такі умови необхідно виконати:
  • Зворотний проксі HTTPS (порт 443) трафік між Інтернет клієнт і сервер AD FS повинні бути прозорими.
  • Сервер AD FS необхідно отримувати вірним копії SAML запити від Інтернет-клієнт.
  • Інтернет клієнтів повинні отримати вірний копії SAML відповіді, наче клієнти були безпосередньо підключений до локальної сервер AD FS.
Для інформації про типові проблеми, які можуть викликати цю конфігурацію на провал, дивіться такі ресурси:

Сценарій 3: Не опубліковані AD FS

Опис
AD FS Федерації сервері ферми служб служба Active Directory клієнт запитує через автентифікації для єдиного входу, і серверної ферми не зазнає впливу Інтернет за будь-яким методом.

Обмеження
Інтернет клієнтів (у тому числі мобільних пристроїв) не можна використовувати Microsoft хмара служби ресурсів. За рівнем сервісу причин ми рекомендуємо, що ви не зробите цього.

Багатих клієнтів Outlook не вдалося підключитися до Exchange Online ресурси. Докладніше перегляньте наступні статті бази знань Майкрософт:
2466333 Федеративних користувачів не вдається підключитися до поштової скриньки Exchange Online
Підтримка припущення
Передбачається, що клієнт визнає, шляхом впровадження що ця установка не надає повністю рекламованого люкс застосунок-служба, які підтримуються Azure служба Active Directory (AD блакитного). За цих обставин цей сценарій підтримує представник служби підтримки клієнтів Microsoft.

Сценарій 4: VPN опубліковані AD FS

Опис

Сервер AD FS Федерації (або Федерації серверної ферми) служби служба Active Directory запити клієнтів через автентифікації для єдиного входу, а на сервері або серверній фермі не зазнає впливу Інтернет за будь-який метод. Інтернет клієнтів підключаються до і використовувати AD FS послуг лише за допомогою віртуальної приватної мережі (VPN) на локальному середовищі мережі.

Обмеження

Якщо інтернет клієнтів (у тому числі мобільних пристроїв), VPN, здатні, вони не можуть використовувати служби Microsoft хмара. За рівнем сервісу причин ми рекомендуємо, що ви не зробите цього.

Outlook багатих клієнтів (у тому числі ActiveSync клієнтів) не вдалося підключитися до Exchange Online ресурси. Докладніше перегляньте наступні статті бази знань Майкрософт:
2466333 Федеративних користувачів не вдається підключитися до поштової скриньки Exchange Online
Підтримка припущення

Передбачається, що клієнт визнає, шляхом впровадження що ця установка не надає повністю рекламованого люкс застосунок-служба, які підтримуються посвідчень у блакитній оголошення.

Передбачається, VPN реалізується правильно і функціональний. За цим сценарієм підтримується, представник служби підтримки клієнтів Microsoft такі умови необхідно виконати:
  • Клієнт може з'єднатись AD FS системи DNS-ім'я через HTTPS (порт 443).
  • Клієнта можна підключити до кінцевої точки Федерації блакитні оголошення DNS-ім'я, використовуючи відповідні порти/протоколів.

Високої доступності AD FS і блакитні оголошення посвідчень

Кожному сценарії можуть бути різноманітні за допомогою ізольованого сервера AD FS Федерації замість серверної ферми. Тим не менш, це завжди рекомендація Microsoft передової практики, що всі життєво важливих елементів інфраструктури служби реалізовані за допомогою високої доступності технології, щоб уникнути втрати доступу.

локальний AD FS доступність безпосередньо впливає на Microsoft хмара можливість підключення послуг для федеративних користувачів, і його рівень сервісу відповідальність клієнта. Microsoft TechNet бібліотека містить великий Указівки щодо планування та розгортання AD FS в локальному середовищі. Цей посібник допоможе клієнтам досягти своїх цільова рівня сервісу для цього критичного підсистеми. Для отримання додаткової інформації зверніться до веб-сайту TechNet:
http://TechNet.Microsoft.com/EN-US/Library/adfs2 (WS.10).aspx

Посилання

Все ще потрібна допомога? Перейдіть до на Office 365 спільноти веб-сайт або в Блакитні служба Active Directory форуми .

Властивості

Номер статті: 2510193 - Востаннє переглянуто: 21 червня 2014 р. - Редакція: 12.0
Застосовується до:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
Ключові слова: 
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 2510193

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com