Ondersteunde scenario's voor het gebruik van AD FS voor het instellen van eenmalige aanmelding in Microsoft 365, Azure of Intune
Inleiding
Dit artikel bevat een overzicht van verschillende scenario's met Active Directory Federation Services (AD FS) en hun gevolgen voor eenmalige aanmelding (SSO) in Microsoft 365, Microsoft Azure of Microsoft Intune.
Meer informatie
Net als bij de meeste services op ondernemingsniveau kan de AD FS Federation Service (die wordt gebruikt voor eenmalige aanmelding) op verschillende manieren worden geïmplementeerd, afhankelijk van de bedrijfsbehoeften. De volgende AD FS-scenario's zijn gericht op hoe de on-premises AD FS Federation Service op internet wordt gepubliceerd. Dit is een zeer specifiek aspect van de implementatie van AD FS.
Scenario 1: volledig geïmplementeerde AD FS
Beschrijving
Een AD FS Federation-serverfarm services Active Directory-client aanvragen via SSO-verificatie. Een AD FS(load balanced) Federation-serverproxy stelt deze kernverificatieservices beschikbaar op internet door aanvragen en antwoorden heen en weer te sturen tussen internetclients en de interne AD FS-omgeving.
Aanbevelingen
Dit is de aanbevolen implementatie van AD FS.
Ondersteuningsveronderstellingen
Er zijn geen ondersteuningsveronderstellingen voor dit scenario. Dit scenario wordt ondersteund door Microsoft Ondersteuning.
Scenario 2: Door firewall gepubliceerde AD FS
Beschrijving
Een AD FS Federation-serverfarm services Active Directory-client aanvragen via SSO-verificatie. Een Microsoft Internet Security and Acceleration (ISA) /Microsoft Forefront Threat Management Gateway (TMG)-server (of serverfarm) stelt deze kernverificatieservices beschikbaar aan internet via een omgekeerde proxy.
Beperkingen
Uitgebreide verificatiebeveiliging moet worden uitgeschakeld op de AD FS Federation-serverfarm om dit te laten werken. Dit verzwakt het beveiligingsprofiel van het systeem. Uit veiligheidsoverwegingen wordt u aangeraden dit niet te doen.
Ondersteuningsveronderstellingen
Er wordt van uitgegaan dat de ISA/TMG-firewall en omgekeerde proxyregel correct zijn geïmplementeerd en functioneel zijn. Als Microsoft Ondersteuning dit scenario ondersteunt, moet aan de volgende voorwaarden worden voldaan:
- De omgekeerde proxy van HTTPS-verkeer (poort 443) tussen de internetclient en de AD FS-server moet transparant zijn.
- De AD FS-server moet een getrouwe kopie van SAML-aanvragen van de internetclient ontvangen.
- Internetclients moeten getrouwe kopieën van SAML-antwoorden ontvangen alsof de clients rechtstreeks zijn gekoppeld aan de on-premises AD FS-server.
Zie de volgende resource voor informatie over veelvoorkomende problemen die ertoe kunnen leiden dat deze configuratie mislukt:
Het volgende Microsoft TechNet-artikel:
Een proxy van derden gebruiken als vervanging voor een AD FS 2.0-federatieserverproxy
Scenario 3: Niet-gepubliceerde AD FS
Beschrijving
Een AD FS Federation-serverfarm services Active Directory-client aanvraagt via SSO-verificatie, en de serverfarm is niet beschikbaar voor internet via een methode.
Beperkingen
Internetclients (inclusief mobiele apparaten) kunnen geen microsoft-cloudserviceresources gebruiken. Om serviceniveauredenen raden we u aan dit niet te doen.
Outlook Rich-clients kunnen geen verbinding maken met Exchange Online-resources. Raadpleeg het volgende Microsoft Knowledge Base-artikel voor meer informatie:
2466333 federatieve gebruikers kunnen geen verbinding maken met een Exchange Online postvak
Ondersteuningsveronderstellingen
Er wordt van uitgegaan dat de klant door de implementatie erkent dat deze installatie niet de volledig geadverteerde suite met services biedt die worden ondersteund door Microsoft Entra ID. Onder deze omstandigheden wordt dit scenario ondersteund door Microsoft Ondersteuning.
Scenario 4: MET VPN gepubliceerde AD FS
Beschrijving
Een AD FS Federation-server (of federatieserverfarm) biedt active directory-clientaanvragen via SSO-verificatie en de server of serverfarm is op geen enkele manier beschikbaar voor internet. Internetclients maken alleen verbinding met AD FS-services en gebruiken deze via een VPN-verbinding (Virtual Private Network) met de on-premises netwerkomgeving.
Beperkingen
Tenzij internetclients (inclusief mobiele apparaten) VPN-compatibel zijn, kunnen ze geen microsoft-cloudservices gebruiken. Om serviceniveauredenen raden we u aan dit niet te doen.
Outlook rich clients (inclusief ActiveSync-clients) kunnen geen verbinding maken met Exchange Online resources. Raadpleeg het volgende Microsoft Knowledge Base-artikel voor meer informatie:
2466333 federatieve gebruikers kunnen geen verbinding maken met een Exchange Online postvakAannamen ondersteunen
Er wordt van uitgegaan dat de klant door de implementatie erkent dat deze installatie niet de volledig geadverteerde suite van services biedt die worden ondersteund door identiteitsfederatie in Microsoft Entra ID.
Er wordt ervan uitgegaan dat het VPN correct is geïmplementeerd en functioneel is. Dit scenario wordt alleen ondersteund door Microsoft Ondersteuning als aan de volgende voorwaarden is voldaan:
- De client kan via EEN DNS-naam verbinding maken met het AD FS-systeem via HTTPS (poort 443).
- De client kan via de juiste poorten/protocollen verbinding maken met het Microsoft Entra federatie-eindpunt op basis van de DNS-naam.
Ad FS- en Microsoft Entra-identiteitsfederatie met hoge beschikbaarheid
Elk scenario kan worden gevarieerd door een zelfstandige AD FS-federatieserver te gebruiken in plaats van een serverfarm. Het is echter altijd een aanbeveling van Microsoft om alle kritieke infrastructuurservices te implementeren met behulp van technologie voor hoge beschikbaarheid om verlies van toegang te voorkomen.
De beschikbaarheid van on-premises AD FS is rechtstreeks van invloed op de beschikbaarheid van Microsoft-cloudservices voor federatieve gebruikers en het serviceniveau is de verantwoordelijkheid van de klant. De Microsoft TechNet-bibliotheek bevat uitgebreide richtlijnen voor het plannen en implementeren van AD FS in de on-premises omgeving. Deze richtlijnen kunnen klanten helpen hun doelserviceniveau voor dit kritieke subsysteem te bereiken. Ga voor meer informatie naar de volgende TechNet-website:
Active Directory Federation Services (AD FS) 2.0
Verwijzingen
Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor