若要設定單一登入 Office 365、 Windows Azure 或 Windows Intune 中使用 AD FS 的支援的案例

文章翻譯 文章翻譯
文章編號: 2510193 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

本文提供各種 Active Directory 同盟服務 (AD FS) 案例和單一登入 (SSO) Office 365、 Windows Azure 或 Windows Intune 中其含意的概觀。

更多資訊

為多數企業層級的服務,AD FS 同盟服務 (sso 運用) 可以實作在許多方面,視商務需求而定。下列的 AD FS 案例著重於如何上場所 AD FS 同盟服務發佈到網際網路。這是非常特定的 AD FS 實作層面。

案例 1: 完整實作,AD FS

描述
AD FS 同盟伺服器陣列服務 Active Directory 的用戶端要求透過 SSO 驗證。(負載平衡) AD FS 同盟伺服器 proxy 轉送要求和回應網際網路用戶端與內部的 AD FS 環境之間的來回公開至網際網路的核心驗證服務。

建議
這是 AD FS 建議的實作。

支援的假設
有這種情況下不支援的假設。這種情況下是由 Microsoft 支援服務支援。

案例 2: 防火牆發佈 AD FS

描述
AD FS 同盟伺服器陣列服務 Active Directory 的用戶端要求透過 SSO 驗證。Microsoft 網際網路安全性與加速 (ISA) / Microsoft Forefront 威脅管理閘道 (TMG) 伺服器 (或伺服器陣列) 會公開由反向 proxy 網際網路那些核心驗證服務。

限制
延伸的驗證保護必須停用 AD FS 同盟伺服器陣列,此工作上。這減弱時系統的安全性設定檔。基於安全性考量,建議您您不這樣做。
支援的假設
它會假設 ISA/TMG 防火牆和反向 proxy 規則都已經正確實作,且可正常運作。如需 Microsoft 支援來支援這種情況下,下列條件必須成立:
  • 網際網路用戶端與 AD FS 伺服器之間的 HTTPS (連接埠 443) 流量反向 proxy 必須是透明的。
  • AD FS 伺服器必須從網際網路用戶端接收 SAML 要求忠實的複本。
  • 網際網路用戶端必須接收忠實的 SAML 回應的複本,如同用戶端如同直接連線至上場所 AD FS 伺服器。
如需有關常見的問題可能會造成這項設定,失敗的資訊,請參閱下列資源:
  • 下列 「 Microsoft 知識庫 」 文件
    2535789 以網際網路為基礎的用戶端電腦無法進行驗證之後您在 「 防火牆發佈 」 的組態中設定 Active Directory 同盟服務 (AD FS)
  • 下列的 Microsoft TechNet 文件:
    使用協力廠商 Proxy,AD FS 2.0 的同盟伺服器 Proxy 的替代文字

案例 3: 非發佈 AD FS

描述
AD FS 同盟伺服器陣列服務 Active Directory 用戶端要求透過 SSO 驗證,並且伺服器陣列時,不顯露給網際網路上,由任何方法。

限制
網際網路用戶端 (包括行動裝置) 不能使用 Microsoft 定域機組服務資源。基於服務層級的理由,建議您您不這樣做。

Outlook 豐富型用戶端無法連線到 Exchange 線上資源。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
2466333 聯盟的使用者無法連線到線上 Exchange 信箱
支援的假設
它會假設客戶會認可來實作這項設定並不提供服務所支援的 Windows Azure Active Directory (Windows Azure 廣告) 的完整通知的套件。在這些情況下,這種情況下是由 Microsoft 支援服務支援。

案例 4: VPN 發行 AD FS

描述

AD FS 同盟伺服器 (或同盟伺服器陣列) 服務透過 SSO 驗證的 Active Directory 用戶端要求而伺服器或伺服器陣列不公開至網際網路的任何方法。網際網路用戶端連線到,並使用 AD FS 服務只能透過上場所的網路環境的虛擬私人網路 (VPN) 連線。

限制

除非網際網路用戶端 (包括行動裝置) VPN 功能,否則他們不能使用 Microsoft 定域機組服務。基於服務層級的理由,建議您您不這樣做。

Outlook (包括動態同步用戶端) 的豐富型用戶端無法連線到 Exchange 線上資源。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
2466333 聯盟的使用者無法連線到線上 Exchange 信箱
支援的假設

它會假設客戶會認可來實作這項設定並不提供支援的 Windows Azure AD 中的身分識別結盟的服務的完整通知的套件。

它會假設 VPN 實作正確且正常運作。若要支援的 Microsoft 支援這種情況下,下列條件必須成立:
  • 用戶端可以連線到 AD FS 系統透過 HTTPS (連接埠 443) 的 DNS 名稱。
  • 用戶端可以連線到 Windows Azure AD 聯盟端點 DNS 名稱使用適當的連接埠/通訊協定。

高可用性 AD FS 和 Windows Azure AD 身分識別結盟

每個案例可以藉由使用獨立的 AD FS 同盟伺服器,而不伺服器伺服陣列各不相同。不過,它永遠是 Microsoft 最佳實務的建議事項,藉由使用高可用性技術來避免失去存取權來實作所有重要的基礎結構服務。

先 AD FS 可用性直接影響聯盟的使用者,Microsoft 定域機組服務可用性和它的服務層級是客戶的責任。Microsoft TechNet 文件庫包含如何規劃和部署上場所環境中的 AD FS 的廣泛指導。本指南可以協助客戶達到這個重要的子系統的目標服務層級。如需詳細資訊,請至下列的 TechNet 網站:
http://technet.microsoft.com/en-us/library/adfs2 (WS.10).aspx

參考

還是需要協助嗎?移至 Office 365 社群 網站或 Windows Azure 的 Active Directory 論壇 網站。

屬性

文章編號: 2510193 - 上次校閱: 2014年3月9日 - 版次: 14.0
這篇文章中的資訊適用於:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
關鍵字:?
o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2510193
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com