受支持的方案,对于使用 AD FS 可以设置 Office 365、 Azure 或 Windows Intune 中的单一登录

文章翻译 文章翻译
文章编号: 2510193 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

这篇文章概述了各种 活动目录的联合身份验证服务 (AD FS) 方案并为单一登录 (SSO) 在 Office 365、 Microsoft Azure 或 Windows Intune 及其含义。

详细信息

作为与大多数企业级服务,(加以利用以实现 SSO) AD FS 联合身份验证服务可以实现在许多方面,这取决于业务需求。下面的 AD FS 方案侧重于如何在内部部署 AD FS 联合身份验证服务发布到 Internet。这是一个非常特殊方面,AD FS 实现。

方案 1: 完全实现 AD FS

说明
AD FS 联合身份验证服务器场服务活动目录客户端请求通过 SSO 身份验证。(负载平衡) AD FS 联合服务器代理通过中继请求和响应的 Internet 客户端和内部的 AD FS 环境之间来回公开到互联网的核心身份验证服务。

建议
这是推荐的实现 AD FS。

支持的假设
此情景无需支持的假设。这种情况下被受 Microsoft 支持。

情境 2: 防火墙发布 AD FS

说明
AD FS 联合身份验证服务器场服务活动目录客户端请求通过 SSO 身份验证。Microsoft Internet 安全和加速 (ISA) / Microsoft Forefront 威胁管理网关 (TMG) 服务器 (或服务器场) 公开反向代理服务器通过互联网向这些核心身份验证服务。

限制
在 AD FS 联合身份验证服务器场正常运行,必须禁用身份验证的扩展的保护。这弱系统的安全配置文件。为了安全起见,我们建议您不这样做。
支持的假设
假定的 ISA/TMG 防火墙和反向代理规则的正确实施和正常工作。若要支持此方案的 Microsoft 技术支持,必须满足以下条件:
  • 在Internet 客户端和 AD FS 服务器之间的HTTPS (端口 443)通信的反向代理服务器必须是透明的。
  • AD FS 服务器必须从 Internet 客户端收到 SAML 请求的准确可靠的副本。
  • Internet 客户端必须接收忠诚的 SAML 响应的副本,就像客户端直接连接到内部部署 AD FS 服务器。
可能会导致此配置失败的常见问题的信息,请参阅以下资源:
  • 下面的 Microsoft 知识库文章
    2535789AD FS 中的"防火墙发布"配置设置之后,非浏览器客户端不能登录。
  • 下面的 Microsoft TechNet 文章:
    使用第三方代理代替 AD FS 2.0 联合服务器代理

情境 3: 非发布 AD FS

说明
AD FS 联合身份验证服务器场服务活动目录客户端请求通过 SSO 身份验证,并且服务器场不暴露给 Internet 的任何方法。

限制
Internet 客户端 (包括移动设备) 不能使用 Microsoft 云服务资源。为服务级别方面的考虑,我们建议您不这样做。

Outlook 胖客户端无法连接到 Exchange Online资源。有关详细信息,请参阅下面的 Microsoft 知识库文章:
2466333 联盟的用户无法连接到联机 Exchange 邮箱
支持的假设
我们假定客户承认由实现此安装程序不提供完全公布一套 Azure 活动目录(AD) (Azure AD) 所支持的服务。在这些情况下,这种情况下被受 Microsoft 支持。

情境 4: VPN 发布 AD FS

说明

AD FS 联合身份验证服务器 (或多个联合服务器场) 服务 活动目录(AD) 通过 SSO 验证的客户端请求和服务器或服务器场不公开到 Internet 的任何方法。Internet 客户端连接,并使用 AD FS 服务只能通过虚拟专用网络 (VPN) 连接到内部网络环境。

限制

除非 (包括移动设备) 的 Internet 客户端都支持 VPN 的他们不能使用 Microsoft 云服务。为服务级别方面的考虑,我们建议您不这样做。

Outlook (包括动态同步客户端) 的富客户端无法连接到 Exchange 联机资源。有关详细信息,请参阅下面的 Microsoft 知识库文章:
2466333 联盟的用户无法连接到联机 Exchange 邮箱
支持的假设

我们假定客户承认由实现此安装程序不提供支持的 Azure AD 中的联合身份验证服务完全公布一套。

假定 VPN 实现正确且工作正常。必须支持通过 Microsoft 支持这种情况下,必须满足以下条件:
  • 客户端可以由HTTPS(端口 443)通过DNS名称连接到 AD FS 系统。
  • 客户端可以连接到 Azure 广告联合端点通过 DNS 名称通过使用适当的端口/协议。

高可用性 AD FS 和 Azure AD 联合身份验证

可以使用独立的 AD FS 联合身份验证服务器,而不是服务器场中每个方案。但是,它始终是建议的 Microsoft 最佳实践实现通过高可用性技术来避免出现无法访问的所有关键基础设施服务。

内部 AD FS 可用性直接影响 Microsoft 联盟用户,云服务的可用性和服务级别的客户负责。Microsoft TechNet 库包含大量的指导规划和部署 AD FS 中的内部环境。本指南可帮助客户实现此关键子系统的目标服务级别。有关详细信息,请转到以下 TechNet 网站:
http://technet.microsoft.com/en-us/library/adfs2 (WS.10).aspx

参考

仍需要帮助吗?请转到 Office 365 社区 网站或 Azure 的 活动目录(AD) 论坛 网站。

属性

文章编号: 2510193 - 最后修改: 2014年6月21日 - 修订: 17.0
这篇文章中的信息适用于:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
关键字:?
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2510193
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com