Al momento sei offline in attesa che la connessione Internet venga ristabilita

Scenari supportati per l'utilizzo di ADFS per impostare servizio single sign-on in Office 365, Azure o Windows Intune

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 2510193
INTRODUZIONE
In questo articolo viene fornita una panoramica dei vari scenari di Active Directory Federation Services (ADFS) e le relative implicazioni per servizio single sign-on (SSO) in Office 365, Microsoft Azure o in Windows Intune.
ULTERIORI INFORMAZIONI
Come con la maggior parte dei servizi a livello aziendale, il servizio federativo ADFS (sfruttato per SSO) può essere implementato in diversi modi, a seconda delle esigenze aziendali. I seguenti scenari di ADFS è incentrata sulla on-premise servizio federativo ADFS viene pubblicato su Internet. Questo è un aspetto molto specifico dell'implementazione di ADFS.

Scenario 1: Completamente implementato ADFS

Descrizione
Una federazione ADFS server farm servizi Active Directory client richieste tramite autenticazione SSO. Un ADFS (bilanciato del carico) proxy server federativo espone tali servizi di autenticazione di base a Internet per l'inoltro di richieste e risposte tra client Internet e l'ambiente interno di ADFS.

Consigli
Questo è l'implementazione consigliata di ADFS.

Presupposti di supporto
Non esistono presupposti alcun supporto per questo scenario. Questo scenario è supportato dal servizio supporto Microsoft.

Scenario 2: Pubblicato da Firewall AD FS

Descrizione
Una federazione ADFS server farm servizi Active Directory client richieste tramite autenticazione SSO. Microsoft Internet Security and Acceleration (ISA) / server di Microsoft Forefront Threat Management Gateway (TMG) (o server farm) espone i servizi di autenticazione base a Internet tramite proxy inverso.

Limitazioni
Nella server farm di federazione ADFS per questa operazione, è necessario disattivare protezione autenticazione estesa. Questo indebolisce il profilo di protezione del sistema. Per motivi di sicurezza, si consiglia di non farlo.
Presupposti di supporto
Si presuppone che la regola di proxy inverso e il firewall ISA/TMG sono implementati correttamente e sono funzionali. Per il supporto di Microsoft supportare questo scenario, devono verificarsi le seguenti condizioni:
  • Il proxy inverso di traffico HTTPS (porta 443) tra il client Internet e il server ADFS deve essere trasparente.
  • Il server ADFS deve ricevere una copia fedele di richieste SAML dal client Internet.
  • I client Internet devono ricevere una copia fedele di risposte SAML come se i client sono stati collegati direttamente in locale server ADFS.
Per informazioni sui problemi comuni che possono causare questo errore nella configurazione, vedere le risorse seguenti:

Scenario 3: Non pubblicate AD FS

Descrizione
Un client di Active Directory servizi di federazione ADFS server farm le richieste tramite l'autenticazione SSO e della server farm non è esposto a Internet da qualsiasi metodo.

Limitazioni
I client Internet (inclusi i dispositivi mobili) non è possibile utilizzare risorse servizio cloud di Microsoft. Per motivi di a livello di servizio, si consiglia di non farlo.

Rich client di Outlook non è possibile connettersi alle risorse in linea di Exchange. Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
2466333 Gli utenti federati non possono connettersi a una cassetta postale di Exchange Online
Presupposti di supporto
Si presuppone che il cliente riconosce dall'implementazione che il programma di installazione non fornisce la suite di servizi supportati da Azure Active Directory (AD Azure) completamente annunciata. In questi casi, questo scenario è supportato dal servizio supporto Microsoft.

Scenario 4: Pubblicati VPN AD FS

Descrizione

Le richieste dei client di Active Directory tramite l'autenticazione SSO di servizi di un server di federazione ADFS (o server farm federativa) e il server o server farm non è esposto a Internet da qualsiasi metodo. I client Internet connettono e utilizzano i servizi ADFS solo tramite una connessione di rete privata virtuale (VPN) per l'ambiente di rete locale.

Limitazioni

A meno che non sono in grado di VPN client di Internet (inclusi i dispositivi mobili), non possono utilizzare i servizi cloud di Microsoft. Per motivi di a livello di servizio, si consiglia di non farlo.

Outlook rich client (compresi i client di ActiveSync) non può connettersi a risorse in linea di Exchange. Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
2466333 Gli utenti federati non possono connettersi a una cassetta postale di Exchange Online
Presupposti di supporto

Si presuppone che il cliente riconosce dall'implementazione che il programma di installazione non fornisce la suite di servizi supportati dalla federazione delle identità in Active Directory Azure completamente annunciata.

Si presuppone la connessione VPN è implementata correttamente e sia funzionante. In questo scenario saranno supportati dal supporto Microsoft, devono verificarsi le seguenti condizioni:
  • Nome DNS tramite HTTPS (porta 443), il client può connettersi al sistema di ADFS.
  • Il client può connettersi all'endpoint AD Azure federazione con un nome DNS utilizzando porte/protocolli appropriati.

Federazione delle identità ADFS e Azure AD elevata disponibilità

Ogni scenario può essere variato tramite un server autonomo di federazione ADFS invece di una server farm. Tuttavia, è sempre una raccomandazione consigliate di Microsoft che tutti i servizi di infrastruttura critica essere implementato utilizzando la tecnologia ad alta disponibilità per evitare la perdita di accesso.

On-premise disponibilità ADFS influisce direttamente sulla disponibilità dei servizi cloud di Microsoft per gli utenti federati e il livello di servizio è responsabilità del cliente. La libreria Microsoft TechNet contiene istruzioni dettagliate su come pianificare e distribuire ADFS nell'ambiente locale. Questa guida può aiutare i clienti a raggiungere il livello di servizio di destinazione per questo sottosistema critico. Per ulteriori informazioni, vedere il seguente sito Web Microsoft TechNet:
RIFERIMENTI
Ulteriore assistenza? Vai al Community di Office 365 sito Web o il Forum di Azure Active Directory .

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 2510193 - Ultima revisione: 06/20/2014 11:18:00 - Revisione: 10.0

Microsoft Azure, Microsoft Office 365, Microsoft Office 365 for enterprises (pre-upgrade), Microsoft Office 365 for education  (pre-upgrade), CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtit
Feedback