Podporované scénáře použití služby AD FS k nastavení jednotného přihlašování v Microsoftu 365, Azure nebo Intune

  • Článek
  • Platí pro:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Úvod

Tento článek obsahuje přehled různých scénářů Active Directory Federation Services (AD FS) (AD FS) a jejich důsledků pro jednotné přihlašování (SSO) v Microsoft 365, Microsoft Azure nebo Microsoft Intune.

Další informace

Stejně jako u většiny služeb na podnikové úrovni je možné službu AD FS Federation Service (s využitím jednotného přihlašování) implementovat mnoha způsoby v závislosti na obchodních potřebách. Následující scénáře služby AD FS se zaměřují na to, jak je místní služba AD FS Federation Service publikovaná na internetu. Toto je velmi specifický aspekt implementace služby AD FS.

Scénář 1: Plně implementovaná služba AD FS

Popis

Farma federačních serverů služby AD FS obsluhuje požadavky klientů služby Active Directory prostřednictvím ověřování jednotného přihlašování. Proxy federačního serveru SLUŽBY AD FS (s vyrovnáváním zatížení) zpřístupňuje tyto základní ověřovací služby internetu předáváním požadavků a odpovědí mezi internetovými klienty a interním prostředím služby AD FS.

Doporučení

Toto je doporučená implementace služby AD FS.

Předpoklady podpory

Pro tento scénář neexistují žádné předpoklady podpory. Tento scénář podporuje podpora Microsoftu.

Scénář 2: Služba AD FS publikovaná bránou firewall

Popis

Farma federačních serverů služby AD FS obsluhuje požadavky klientů služby Active Directory prostřednictvím ověřování jednotného přihlašování. Server Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (nebo serverová farma) zpřístupňuje tyto základní ověřovací služby internetu pomocí reverzního proxy serveru.

Omezení

Aby to fungovalo, musí být rozšířená ochrana ověřování ve farmě federačních serverů služby AD FS zakázaná. To oslabuje profil zabezpečení systému. V případě bezpečnostních aspektů doporučujeme, abyste to neuděláli.

Předpoklady podpory

Předpokládá se, že firewall ISA/TMG a pravidlo reverzního proxy serveru jsou správně implementovány a jsou funkční. Aby podpora Microsoftu podporovaly tento scénář, musí být splněné následující podmínky:

  • Reverzní proxy přenosy HTTPS (port 443) mezi internetovým klientem a serverem AD FS musí být transparentní.
  • Server služby AD FS musí přijímat věrnou kopii požadavků SAML z internetového klienta.
  • Internetoví klienti musí přijímat věrné kopie odpovědí SAML, jako kdyby byli klienti přímo připojeni k místnímu serveru SLUŽBY AD FS.

Informace o běžných problémech, které můžou způsobit selhání této konfigurace, najdete v následujícím zdroji informací:

Scénář 3: Nepublikovaná služba AD FS

Popis

Farma federačních serverů SLUŽBY AD FS obsluhuje požadavky klientů služby Active Directory prostřednictvím ověřování jednotného přihlašování a serverová farma není žádným způsobem přístupná k internetu.

Omezení

Internetoví klienti (včetně mobilních zařízení) nemůžou používat prostředky cloudové služby Microsoftu. Z důvodů na úrovni služeb doporučujeme, abyste to neuděláli.

Klienti s bohatými funkcemi Aplikace Outlook se nemůžou připojit k prostředkům Exchange Online. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

2466333 federované uživatele se nemůžou připojit k poštovní schránce Exchange Online

Předpoklady podpory

Předpokládá se, že zákazník implementací potvrdí, že toto nastavení neposkytuje plně inzerovanou sadu služeb, které Microsoft Entra ID podporuje. Za těchto okolností tento scénář podporuje podpora Microsoftu.

Scénář 4: SLUŽBA AD FS publikovaná v síti VPN

Popis

Federační server služby AD FS (nebo farma federačních serverů) obsluhuje požadavky klientů služby Active Directory prostřednictvím ověřování jednotného přihlašování a serverová farma nejsou žádným způsobem vystaveny internetu. Internetoví klienti se připojují ke službám AD FS a používají je pouze prostřednictvím připojení virtuální privátní sítě (VPN) k místnímu síťovému prostředí.

Omezení

Pokud internetoví klienti (včetně mobilních zařízení) nepodporují síť VPN, nemůžou používat cloudové služby Microsoftu. Z důvodů na úrovni služeb doporučujeme, abyste to neuděláli.

Klienti s bohatým obsahem Outlooku (včetně klientů ActiveSync) se nemůžou připojit k Exchange Online prostředkům. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

2466333 federovaných uživatelů se nemůžou připojit k poštovní schránce Exchange Online Podporované předpoklady

Předpokládá se, že zákazník implementací potvrdí, že toto nastavení neposkytuje plně inzerovanou sadu služeb, které jsou podporovány federací identit v Microsoft Entra ID.

Předpokládá se, že síť VPN je správně implementována a je funkční. Aby podpora Microsoftu tento scénář podporoval, musí být splněné následující podmínky:

  • Klient se může připojit k systému AD FS pomocí názvu DNS přes HTTPS (port 443).
  • Klient se může připojit ke koncovému bodu federace Microsoft Entra podle názvu DNS pomocí příslušných portů nebo protokolů.

Vysoce dostupná služba AD FS a federace identit Microsoft Entra

Každý scénář se může lišit použitím samostatného federačního serveru služby AD FS místo serverové farmy. Vždy je ale osvědčeným postupem Microsoftu, aby se všechny důležité služby infrastruktury implementovaly pomocí technologie vysoké dostupnosti, aby nedošlo ke ztrátě přístupu.

Dostupnost místní služby AD FS přímo ovlivňuje dostupnost cloudových služeb Microsoftu pro federované uživatele a za její úroveň služeb zodpovídá zákazník. Knihovna Microsoft TechNet obsahuje rozsáhlé pokyny k plánování a nasazení služby AD FS v místním prostředí. Tyto doprovodné materiály můžou zákazníkům pomoct dosáhnout cílové úrovně služeb pro tento kritický subsystém. Další informace najdete na následujícím webu TechNet:

Active Directory Federation Services (AD FS) (AD FS) 2.0

Odkazy

Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.