Scénarios pris en charge pour l’utilisation d’AD FS pour configurer l’authentification unique dans Microsoft 365, Azure ou Intune
Introduction
Cet article fournit une vue d’ensemble des différents scénarios de Services ADFS (AD FS) et leurs implications pour l’authentification unique (SSO) dans Microsoft 365, Microsoft Azure ou Microsoft Intune.
Informations supplémentaires
Comme pour la plupart des services de niveau entreprise, le service de fédération AD FS (utilisé pour l’authentification unique) peut être implémenté de nombreuses façons, en fonction des besoins de l’entreprise. Les scénarios AD FS suivants se concentrent sur la façon dont le service de fédération AD FS local est publié sur Internet. Il s’agit d’un aspect très spécifique de l’implémentation d’AD FS.
Scénario 1 : AD FS entièrement implémenté
Description
Une batterie de serveurs de fédération AD FS services les requêtes du client Active Directory via l’authentification unique. Un proxy de serveur de fédération AD FS (à charge équilibrée) expose ces services d’authentification principaux à Internet en relayant les demandes et les réponses entre les clients Internet et l’environnement AD FS interne.
Recommandations
Il s’agit de l’implémentation recommandée d’AD FS.
Hypothèses de prise en charge
Il n’existe aucune hypothèse de prise en charge pour ce scénario. Ce scénario est pris en charge par Support Microsoft.
Scénario 2 : AD FS publié par le pare-feu
Description
Une batterie de serveurs de fédération AD FS services les requêtes du client Active Directory via l’authentification unique. Un serveur Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (ou batterie de serveurs) expose ces services d’authentification principaux à Internet par proxy inverse.
Limitations
La protection étendue de l’authentification doit être désactivée sur la batterie de serveurs de fédération AD FS pour que cela fonctionne. Cela affaiblit le profil de sécurité du système. Pour des raisons de sécurité, nous vous recommandons de ne pas le faire.
Hypothèses de prise en charge
Il est supposé que le pare-feu ISA/TMG et la règle de proxy inverse sont implémentés correctement et sont fonctionnels. Pour Support Microsoft prendre en charge ce scénario, les conditions suivantes doivent être remplies :
- Le proxy inverse du trafic HTTPS (port 443) entre le client Internet et le serveur AD FS doit être transparent.
- Le serveur AD FS doit recevoir une copie fidèle des demandes SAML du client Internet.
- Les clients Internet doivent recevoir des copies fidèles des réponses SAML comme si les clients étaient directement attachés au serveur AD FS local.
Pour plus d’informations sur les problèmes courants qui peuvent entraîner l’échec de cette configuration, consultez la ressource suivante :
L’article Microsoft TechNet suivant :
Utilisation d’un proxy tiers en remplacement d’un proxy de serveur de fédération AD FS 2.0
Scénario 3 : AD FS non publié
Description
Une batterie de serveurs de fédération AD FS répond aux demandes du client Active Directory via l’authentification unique, et la batterie de serveurs n’est exposée à Internet par aucune méthode.
Limitations
Les clients Internet (y compris les appareils mobiles) ne peuvent pas utiliser les ressources du service cloud Microsoft. Pour des raisons de niveau de service, nous vous recommandons de ne pas le faire.
Les clients riches Outlook ne peuvent pas se connecter aux ressources Exchange Online. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :
2466333 les utilisateurs fédérés ne peuvent pas se connecter à une boîte aux lettres Exchange Online
Hypothèses de prise en charge
Il est supposé que le client reconnaît par implémentation que cette configuration ne fournit pas la suite de services entièrement publiées qui sont pris en charge par Microsoft Entra ID. Dans ces circonstances, ce scénario est pris en charge par Support Microsoft.
Scénario 4 : AD FS publié par VPN
Description
Un serveur de fédération AD FS (ou une batterie de serveurs de fédération) répond aux demandes du client Active Directory via l’authentification unique, et le serveur ou la batterie de serveurs n’est exposé à Internet par aucune méthode. Les clients Internet se connectent aux services AD FS et utilisent uniquement par le biais d’une connexion de réseau privé virtuel (VPN) à l’environnement réseau local.
Limitations
Sauf si les clients Internet (y compris les appareils mobiles) sont compatibles VPN, ils ne peuvent pas utiliser les services cloud Microsoft. Pour des raisons de niveau de service, nous vous recommandons de ne pas le faire.
Les clients riches Outlook (y compris les clients ActiveSync) ne peuvent pas se connecter aux ressources Exchange Online. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :
2466333 les utilisateurs fédérés ne peuvent pas se connecter à une boîte aux lettres Exchange Online Supporter les hypothèses
Il est supposé que le client reconnaît par implémentation que cette configuration ne fournit pas la suite de services entièrement publiées qui sont pris en charge par la fédération d’identité dans Microsoft Entra ID.
Il est supposé que le VPN est implémenté correctement et qu’il est fonctionnel. Pour que ce scénario soit pris en charge par Support Microsoft, les conditions suivantes doivent être remplies :
- Le client peut se connecter au système AD FS par nom DNS via HTTPS (port 443).
- Le client peut se connecter au point de terminaison de fédération Microsoft Entra par nom DNS à l’aide des ports/protocoles appropriés.
Haute disponibilité AD FS et fédération des identités Microsoft Entra
Chaque scénario peut être modifié à l’aide d’un serveur de fédération AD FS autonome au lieu d’une batterie de serveurs. Toutefois, il est toujours recommandé par Microsoft d’implémenter tous les services d’infrastructure critique à l’aide de la technologie haute disponibilité pour éviter toute perte d’accès.
La disponibilité locale d’AD FS affecte directement la disponibilité du service cloud Microsoft pour les utilisateurs fédérés, et son niveau de service est la responsabilité du client. La bibliothèque Microsoft TechNet contient des instructions détaillées sur la façon de planifier et de déployer AD FS dans l’environnement local. Ces conseils peuvent aider les clients à atteindre leur niveau de service cible pour ce sous-système critique. Pour plus d’informations, accédez au site web TechNet suivant :
Active Directory Federation Services (ADFS) 2.0
References
Encore besoin d’aide ? Rejoignez la Communauté Microsoft ou accédez au site web Forums Microsoft Entra.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour