Microsoft 365, Azure veya Intune'da çoklu oturum açmayı ayarlamak için AD FS kullanımına yönelik desteklenen senaryolar

  • Makale
  • Şunlara uygulanır:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Giriş

Bu makalede çeşitli Active Directory Federasyon Hizmetleri (AD FS) (AD FS) senaryolarına genel bir bakış ve bunların Microsoft 365, Microsoft Azure veya Microsoft Intune çoklu oturum açma (SSO) üzerindeki etkileri açıklanmaktadır.

Daha fazla bilgi

Çoğu kurumsal düzeydeki hizmetlerde olduğu gibi, AD FS Federasyon Hizmeti (SSO için kullanılır) iş gereksinimlerine bağlı olarak birçok şekilde uygulanabilir. Aşağıdaki AD FS senaryoları, şirket içi AD FS Federasyon Hizmeti'nin İnternet'te nasıl yayımlandığına odaklanır. Bu, AD FS uygulamasının çok özel bir yönüdür.

Senaryo 1: Tam olarak uygulanan AD FS

Açıklama

Ad FS Federasyon sunucu grubu hizmetleri Active Directory istemcisi SSO kimlik doğrulaması aracılığıyla istekte bulunur. AD FS (yük dengeli) Federasyon sunucusu proxy'si, istekleri ve yanıtları İnternet istemcileri ile iç AD FS ortamı arasında ileri geri aktararak bu çekirdek kimlik doğrulama hizmetlerini İnternet'e sunar.

Öneriler

Bu, AD FS'nin önerilen uygulamasıdır.

Destek varsayımları

Bu senaryo için herhangi bir destek varsayımı yoktur. Bu senaryo Microsoft Desteği tarafından desteklenir.

Senaryo 2: Güvenlik duvarı tarafından yayımlanan AD FS

Açıklama

Ad FS Federasyon sunucu grubu hizmetleri Active Directory istemcisi SSO kimlik doğrulaması aracılığıyla istekte bulunur. Microsoft Internet Güvenliği ve Hızlandırma (ISA) / Microsoft Forefront Threat Management Gateway (TMG) sunucusu (veya sunucu grubu), bu temel kimlik doğrulama hizmetlerini ters ara sunucuyla İnternet'te kullanıma sunar.

Sınırlamalar

Bunun çalışması için AD FS Federasyon sunucu grubunda Genişletilmiş Kimlik Doğrulama Koruması devre dışı bırakılmalıdır. Bu, sistemin güvenlik profilini zayıflatır. Güvenlikle ilgili dikkat edilmesi gerekenler için bunu yapmamanızı öneririz.

Destek varsayımları

ISA/TMG güvenlik duvarı ve ters ara sunucu kuralının doğru uygulandığı ve işlevsel olduğu varsayılır. Microsoft Desteği bu senaryoyu desteklemesi için aşağıdaki koşulların doğru olması gerekir:

  • İnternet istemcisi ile AD FS sunucusu arasındaki HTTPS (bağlantı noktası 443 numaralı bağlantı noktası) trafiğinin ters ara sunucusu saydam olmalıdır.
  • AD FS sunucusu, İnternet istemcisinden saml isteklerinin sadık bir kopyasını almalıdır.
  • İnternet istemcileri SAML yanıtlarının sadık kopyalarını, istemciler doğrudan şirket içi AD FS sunucusuna eklenmiş gibi almalıdır.

Bu yapılandırmanın başarısız olmasına neden olabilecek yaygın sorunlar hakkında bilgi için aşağıdaki kaynağa bakın:

Senaryo 3: Yayımlanmayan AD FS

Açıklama

AD FS Federasyon sunucu grubu hizmetleri Active Directory istemcisi SSO kimlik doğrulaması aracılığıyla istekte bulunur ve sunucu grubu herhangi bir yöntemle İnternet'e sunulmaz.

Sınırlamalar

İnternet istemcileri (mobil cihazlar dahil) Microsoft bulut hizmeti kaynaklarını kullanamaz. Hizmet düzeyi nedenlerle, bunu yapmamanızı öneririz.

Outlook zengin istemcileri Exchange Online kaynaklarına bağlanamıyor. Ek bilgi için, aşağıdaki Microsoft Bilgi Bankası makalesine bakın:

2466333 Federasyon kullanıcıları Exchange Online posta kutusuna bağlanamıyor

Destek varsayımları

Müşterinin, bu kurulumun Microsoft Entra ID tarafından desteklenen tam olarak tanıtılan hizmet paketini sağlamadığını uygulama yoluyla kabul ettiği varsayılır. Bu koşullar altında, bu senaryo Microsoft Desteği tarafından desteklenir.

Senaryo 4: VPN tarafından yayımlanan AD FS

Açıklama

AD FS Federasyon sunucusu (veya Federasyon sunucusu grubu) Active Directory istemcisi SSO kimlik doğrulaması aracılığıyla istekte bulunur ve sunucu veya sunucu grubu herhangi bir yöntemle İnternet'e sunulmaz. İnternet istemcileri AD FS hizmetlerine yalnızca şirket içi ağ ortamına bir sanal özel ağ (VPN) bağlantısı üzerinden bağlanır ve bunları kullanır.

Sınırlamalar

İnternet istemcileri (mobil cihazlar dahil) VPN özellikli olmadığı sürece Microsoft bulut hizmetlerini kullanamaz. Hizmet düzeyi nedenlerle, bunu yapmamanızı öneririz.

Outlook zengin istemcileri (ActiveSync istemcileri dahil) Exchange Online kaynaklarına bağlanamaz. Ek bilgi için, aşağıdaki Microsoft Bilgi Bankası makalesine bakın:

2466333 Federasyon kullanıcıları bir Exchange Online posta kutusuna bağlanamıyorSupport varsayımları

Müşterinin uygulamaya göre bu kurulumun Microsoft Entra ID'da kimlik federasyonu tarafından desteklenen tam olarak tanıtılan hizmet paketini sağlamadığını kabul ettiği varsayılır.

VPN'nin doğru uygulandığı ve işlevsel olduğu varsayılır. Bu senaryonun Microsoft Desteği tarafından desteklenmesi için aşağıdaki koşulların doğru olması gerekir:

  • İstemci, HTTPS (bağlantı noktası 443) aracılığıyla DNS adıyla AD FS sistemine bağlanabilir.
  • İstemci, uygun bağlantı noktalarını/protokollerini kullanarak DNS adına göre Microsoft Entra federasyon uç noktasına bağlanabilir.

Yüksek kullanılabilirlik AD FS ve Microsoft Entra kimlik federasyonu

Her senaryo, sunucu grubu yerine tek başına AD FS Federasyon sunucusu kullanılarak değiştirilebilir. Ancak, erişim kaybını önlemek için tüm kritik altyapı hizmetlerinin yüksek kullanılabilirlik teknolojisi kullanılarak uygulanması her zaman bir Microsoft en iyi uygulama önerisidir.

Şirket içi AD FS kullanılabilirliği, federasyon kullanıcıları için Microsoft bulut hizmeti kullanılabilirliğini doğrudan etkiler ve hizmet düzeyi müşterinin sorumluluğundadır. Microsoft TechNet kitaplığı, AD FS'yi şirket içi ortamda planlama ve dağıtma hakkında kapsamlı yönergeler içerir. Bu kılavuz, müşterilerin bu kritik alt sistem için hedef hizmet düzeyine ulaşmalarına yardımcı olabilir. Daha fazla bilgi için aşağıdaki TechNet web sitesine gidin:

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) 2.0

Başvurular

Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Microsoft Entra Forumları web sitesine gidin.