Podporované scénáře použití služby AD FS k nastavení jednotného přihlašování v Microsoftu 365, Azure nebo Intune
Úvod
Tento článek obsahuje přehled různých scénářů Active Directory Federation Services (AD FS) (AD FS) a jejich důsledků pro jednotné přihlašování (SSO) v Microsoft 365, Microsoft Azure nebo Microsoft Intune.
Další informace
Stejně jako u většiny služeb na podnikové úrovni je možné službu AD FS Federation Service (s využitím jednotného přihlašování) implementovat mnoha způsoby v závislosti na obchodních potřebách. Následující scénáře služby AD FS se zaměřují na to, jak je místní služba AD FS Federation Service publikovaná na internetu. Toto je velmi specifický aspekt implementace služby AD FS.
Scénář 1: Plně implementovaná služba AD FS
Popis
Farma federačních serverů služby AD FS obsluhuje požadavky klientů služby Active Directory prostřednictvím ověřování jednotného přihlašování. Proxy federačního serveru SLUŽBY AD FS (s vyrovnáváním zatížení) zpřístupňuje tyto základní ověřovací služby internetu předáváním požadavků a odpovědí mezi internetovými klienty a interním prostředím služby AD FS.
Doporučení
Toto je doporučená implementace služby AD FS.
Předpoklady podpory
Pro tento scénář neexistují žádné předpoklady podpory. Tento scénář podporuje podpora Microsoftu.
Scénář 2: Služba AD FS publikovaná bránou firewall
Popis
Farma federačních serverů služby AD FS obsluhuje požadavky klientů služby Active Directory prostřednictvím ověřování jednotného přihlašování. Server Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (nebo serverová farma) zpřístupňuje tyto základní ověřovací služby internetu pomocí reverzního proxy serveru.
Omezení
Aby to fungovalo, musí být rozšířená ochrana ověřování ve farmě federačních serverů služby AD FS zakázaná. To oslabuje profil zabezpečení systému. V případě bezpečnostních aspektů doporučujeme, abyste to neuděláli.
Předpoklady podpory
Předpokládá se, že firewall ISA/TMG a pravidlo reverzního proxy serveru jsou správně implementovány a jsou funkční. Aby podpora Microsoftu podporovaly tento scénář, musí být splněné následující podmínky:
- Reverzní proxy přenosy HTTPS (port 443) mezi internetovým klientem a serverem AD FS musí být transparentní.
- Server služby AD FS musí přijímat věrnou kopii požadavků SAML z internetového klienta.
- Internetoví klienti musí přijímat věrné kopie odpovědí SAML, jako kdyby byli klienti přímo připojeni k místnímu serveru SLUŽBY AD FS.
Informace o běžných problémech, které můžou způsobit selhání této konfigurace, najdete v následujícím zdroji informací:
Následující článek na webu Microsoft TechNet:
Použití proxy serveru třetí strany jako náhrady za proxy federačního serveru SLUŽBY AD FS 2.0
Scénář 3: Nepublikovaná služba AD FS
Popis
Farma federačních serverů SLUŽBY AD FS obsluhuje požadavky klientů služby Active Directory prostřednictvím ověřování jednotného přihlašování a serverová farma není žádným způsobem přístupná k internetu.
Omezení
Internetoví klienti (včetně mobilních zařízení) nemůžou používat prostředky cloudové služby Microsoftu. Z důvodů na úrovni služeb doporučujeme, abyste to neuděláli.
Klienti s bohatými funkcemi Aplikace Outlook se nemůžou připojit k prostředkům Exchange Online. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2466333 federované uživatele se nemůžou připojit k poštovní schránce Exchange Online
Předpoklady podpory
Předpokládá se, že zákazník implementací potvrdí, že toto nastavení neposkytuje plně inzerovanou sadu služeb, které Microsoft Entra ID podporuje. Za těchto okolností tento scénář podporuje podpora Microsoftu.
Scénář 4: SLUŽBA AD FS publikovaná v síti VPN
Popis
Federační server služby AD FS (nebo farma federačních serverů) obsluhuje požadavky klientů služby Active Directory prostřednictvím ověřování jednotného přihlašování a serverová farma nejsou žádným způsobem vystaveny internetu. Internetoví klienti se připojují ke službám AD FS a používají je pouze prostřednictvím připojení virtuální privátní sítě (VPN) k místnímu síťovému prostředí.
Omezení
Pokud internetoví klienti (včetně mobilních zařízení) nepodporují síť VPN, nemůžou používat cloudové služby Microsoftu. Z důvodů na úrovni služeb doporučujeme, abyste to neuděláli.
Klienti s bohatým obsahem Outlooku (včetně klientů ActiveSync) se nemůžou připojit k Exchange Online prostředkům. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2466333 federovaných uživatelů se nemůžou připojit k poštovní schránce Exchange Online Podporované předpoklady
Předpokládá se, že zákazník implementací potvrdí, že toto nastavení neposkytuje plně inzerovanou sadu služeb, které jsou podporovány federací identit v Microsoft Entra ID.
Předpokládá se, že síť VPN je správně implementována a je funkční. Aby podpora Microsoftu tento scénář podporoval, musí být splněné následující podmínky:
- Klient se může připojit k systému AD FS pomocí názvu DNS přes HTTPS (port 443).
- Klient se může připojit ke koncovému bodu federace Microsoft Entra podle názvu DNS pomocí příslušných portů nebo protokolů.
Vysoce dostupná služba AD FS a federace identit Microsoft Entra
Každý scénář se může lišit použitím samostatného federačního serveru služby AD FS místo serverové farmy. Vždy je ale osvědčeným postupem Microsoftu, aby se všechny důležité služby infrastruktury implementovaly pomocí technologie vysoké dostupnosti, aby nedošlo ke ztrátě přístupu.
Dostupnost místní služby AD FS přímo ovlivňuje dostupnost cloudových služeb Microsoftu pro federované uživatele a za její úroveň služeb zodpovídá zákazník. Knihovna Microsoft TechNet obsahuje rozsáhlé pokyny k plánování a nasazení služby AD FS v místním prostředí. Tyto doprovodné materiály můžou zákazníkům pomoct dosáhnout cílové úrovně služeb pro tento kritický subsystém. Další informace najdete na následujícím webu TechNet:
Active Directory Federation Services (AD FS) (AD FS) 2.0
Odkazy
Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro