Scenari supportati per l'uso di AD FS per configurare l'accesso Single Sign-On in Microsoft 365, Azure o Intune
Introduzione
Questo articolo offre una panoramica dei vari scenari di Active Directory Federation Services (AD FS) e delle relative implicazioni per l'accesso Single Sign-On (SSO) in Microsoft 365, Microsoft Azure o Microsoft Intune.
Ulteriori informazioni
Come per la maggior parte dei servizi a livello aziendale, il servizio federativo AD FS (usato per l'accesso Single Sign-On) può essere implementato in molti modi, a seconda delle esigenze aziendali. Gli scenari AD FS seguenti si concentrano sul modo in cui il servizio federativo AD FS locale viene pubblicato in Internet. Questo è un aspetto molto specifico dell'implementazione di AD FS.
Scenario 1: AD FS completamente implementato
Descrizione
Un client Active Directory dei servizi della server farm federativa di AD FS richiede tramite l'autenticazione SSO. Un proxy del server federativo AD FS (con carico bilanciato) espone tali servizi di autenticazione di base a Internet inoltrando richieste e risposte avanti e indietro tra i client Internet e l'ambiente AD FS interno.
Suggerimenti
Questa è l'implementazione consigliata di AD FS.
Presupposti di supporto
Non esistono presupposti di supporto per questo scenario. Questo scenario è supportato da supporto tecnico Microsoft.
Scenario 2: AD FS pubblicato dal firewall
Descrizione
Un client Active Directory dei servizi della server farm federativa di AD FS richiede tramite l'autenticazione SSO. Un server Microsoft Internet Security and Acceleration (ISA) /Microsoft Forefront Threat Management Gateway (TMG) (o server farm) espone tali servizi di autenticazione di base a Internet tramite proxy inverso.
Limitazioni
La protezione dell'autenticazione estesa deve essere disabilitata nella server farm federativa di AD FS perché funzioni. In questo modo il profilo di sicurezza del sistema viene indebolito. Per considerazioni sulla sicurezza, è consigliabile non eseguire questa operazione.
Presupposti di supporto
Si presuppone che il firewall ISA/TMG e la regola proxy inverso siano implementati correttamente e siano funzionali. Per supporto tecnico Microsoft supportare questo scenario, è necessario che siano soddisfatte le condizioni seguenti:
- Il proxy inverso del traffico HTTPS (porta 443) tra il client Internet e il server AD FS deve essere trasparente.
- Il server AD FS deve ricevere una copia fedele delle richieste SAML dal client Internet.
- I client Internet devono ricevere copie fedeli delle risposte SAML come se i client fossero collegati direttamente al server AD FS locale.
Per informazioni sui problemi comuni che possono causare l'esito negativo di questa configurazione, vedere la risorsa seguente:
L'articolo Microsoft TechNet seguente:
Uso di un proxy di terze parti come sostituzione di un proxy del server federativo AD FS 2.0
Scenario 3: AD FS non pubblicato
Descrizione
Un client active directory dei servizi della server farm federativa di AD FS richiede tramite l'autenticazione SSO e la server farm non viene esposta a Internet da alcun metodo.
Limitazioni
I client Internet (inclusi i dispositivi mobili) non possono usare le risorse del servizio cloud Microsoft. Per motivi a livello di servizio, è consigliabile non eseguire questa operazione.
I client avanzati di Outlook non possono connettersi alle risorse Exchange Online. Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
2466333 gli utenti federati non possono connettersi a una cassetta postale di Exchange Online
Presupposti di supporto
Si presuppone che il cliente riconosca per implementazione che questa configurazione non fornisce la suite di servizi completamente annunciata supportata da Microsoft Entra ID. In queste circostanze, questo scenario è supportato da supporto tecnico Microsoft.
Scenario 4: AD FS pubblicato da VPN
Descrizione
Un server federativo AD FS (o server farm federativa) esegue richieste client active directory tramite l'autenticazione SSO e il server o la server farm non è esposto a Internet tramite alcun metodo. I client Internet si connettono ai servizi AD FS e usano solo tramite una connessione VPN (Virtual Private Network) all'ambiente di rete locale.
Limitazioni
A meno che i client Internet (inclusi i dispositivi mobili) non siano compatibili con VPN, non possono usare i servizi cloud Microsoft. Per motivi a livello di servizio, è consigliabile non eseguire questa operazione.
I client avanzati di Outlook (inclusi i client ActiveSync) non possono connettersi alle risorse Exchange Online. Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
2466333 gli utenti federati non possono connettersi a una cassetta postale di Exchange Online Presupposti di supporto
Si presuppone che il cliente riconosca per implementazione che questa configurazione non fornisce la suite di servizi completamente annunciata supportata dalla federazione delle identità in Microsoft Entra ID.
Si presuppone che la VPN sia implementata correttamente e sia funzionale. Affinché questo scenario sia supportato da supporto tecnico Microsoft, devono essere soddisfatte le condizioni seguenti:
- Il client può connettersi al sistema AD FS tramite nome DNS tramite HTTPS (porta 443).
- Il client può connettersi all'endpoint federativo Microsoft Entra in base al nome DNS usando porte/protocolli appropriati.
Ad FS a disponibilità elevata e federazione delle identità Microsoft Entra
Ogni scenario può essere variato usando un server federativo AD FS autonomo anziché una server farm. Tuttavia, è sempre consigliabile usare Microsoft per implementare tutti i servizi di infrastruttura critici usando la tecnologia a disponibilità elevata per evitare la perdita di accesso.
La disponibilità di AD FS locale influisce direttamente sulla disponibilità del servizio cloud Microsoft per gli utenti federati e il livello di servizio è responsabilità del cliente. La libreria Microsoft TechNet contiene indicazioni dettagliate su come pianificare e distribuire AD FS nell'ambiente locale. Queste indicazioni possono aiutare i clienti a raggiungere il livello di servizio di destinazione per questo sottosistema critico. Per altre informazioni, visitare il sito Web TechNet seguente:
Active Directory Federation Services (ADFS) 2.0
Riferimenti
Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per