Obsługiwane scenariusze konfigurowania rejestracji jednokrotnej w usłudze Office 365, Azure lub Windows Intune za pomocą usług AD FS

WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.

Anglojęzyczna wersja tego artykułu to: 2510193
WPROWADZENIE
Ten artykuł zawiera omówienie różnych scenariuszy programu Active Directory Federation Services (AD FS) i ich konsekwencje dla rejestracji jednokrotnej (SSO) w usłudze Office 365, Microsoft Azure lub Windows Intune.
WIĘCEJ INFORMACJI
Jako z większości usług korporacyjnych, (dźwignią dla rejestracji Jednokrotnej) usługa federacyjna programu AD FS można zaimplementować na wiele sposobów, w zależności od potrzeb biznesowych. W następujących scenariuszach program AD FS koncentrować się na jak lokalnym usługa federacyjna programu AD FS jest opublikowany w Internecie. Jest to bardzo szczególnych aspektów wdrażania programu AD FS.

Scenariusz 1: W pełni wdrożone programu AD FS

Opis
Klient usługi Active Directory AD FS Federacji serwerów farmy usługi żądania za pośrednictwem uwierzytelniania rejestracji Jednokrotnej. Usług AD FS (równoważone) serwer proxy usługi federacyjnej udostępnia te usługi uwierzytelniania podstawowego z Internetem przekazując żądania i odpowiedzi i z powrotem między klientów internetowych i wewnętrzny środowiska programu AD FS.

Zalecenia
Jest to zalecana wdrażania programu AD FS.

Założenia pomocy technicznej
Nie ma żadnych założeń wsparcia dla tego scenariusza. W tym scenariuszu jest obsługiwany przez Microsoft Support.

Scenariusz 2: Opublikowane zapory AD FS

Opis
Klient usługi Active Directory AD FS Federacji serwerów farmy usługi żądania za pośrednictwem uwierzytelniania rejestracji Jednokrotnej. Program Microsoft Internet Security and Acceleration (ISA) / serwera Microsoft Forefront zagrożenie Management Gateway (TMG) (lub farmy serwerów) udostępnia tych usług uwierzytelniania podstawowego z Internetem przez odwrócony serwer proxy.

Ograniczenia
W farmie serwerów AD FS Federacji, aby to zrobić, należy wyłączyć rozszerzonej ochrony uwierzytelniania. Osłabia profilu zabezpieczeń systemu. Ze względów bezpieczeństwa zaleca się, że nie zrobisz.
Założenia pomocy technicznej
Zakłada się, że regułę wstecznego serwera proxy i zapory ISA/TMG są realizowane prawidłowo i są funkcjonalne. Dla Microsoft Support do obsługi tego scenariusza muszą być spełnione następujące warunki:
  • Odwrócony serwer proxy HTTPS (port 443) ruchu między klienta w sieci Internet i serwera programu AD FS musi być przejrzysty.
  • Serwer AD FS musi otrzymać kopię wierny SAML żądania od klienta w sieci Internet.
  • Internet klientom, którzy otrzymali wierne kopie odpowiedzi SAML, jak gdyby klienci byli bezpośrednio podłączonego do lokalnego serwera programu AD FS.
Aby uzyskać informacje dotyczące typowych problemów, które mogą być przyczyną tej konfiguracji nie powiedzie się zobacz następujące zasoby:

Scenariusz 3: Nieopublikowane AD FS

Opis
Żąda klient usługi Active Directory AD FS Federacji serwerów farmy usługi za pośrednictwem usługi rejestracji Jednokrotnej uwierzytelnianie i farma serwerów nie jest widoczna w Internecie przy zastosowaniu metody.

Ograniczenia
Klientów internetowych (w tym urządzeń mobilnych) nie można używać zasobów usługi Microsoft chmury. Ze względów poziom usług zaleca się, że nie robisz to.

Bogate klienci programu Outlook nie może połączyć się zasoby programu Exchange w trybie Online. Aby uzyskać więcej informacji zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
2466333 Użytkownicy federacyjni nie może nawiązać połączenia skrzynki pocztowej programu Exchange Online
Założenia pomocy technicznej
Zakłada się, że klient przyjmuje do wiadomości przez implementację że ta konfiguracja nie zapewnia pełni anonsowanego pakietu usług, które są obsługiwane przez usługę Azure Active Directory (Azure AD). W tych okolicznościach w tym scenariuszu jest obsługiwany przez Microsoft Support.

Scenariusz 4: Opublikowane VPN AD FS

Opis

Serwer AD FS Federacji (lub farmy serwerów federacyjnych) żądania klientów usługi Active Directory za pośrednictwem usługi rejestracji Jednokrotnej uwierzytelnianie usługi i serwera lub farmy serwerów nie jest widoczna w Internecie przy zastosowaniu metody. Klientów internetowych połączyć się i korzystania z usług AD FS tylko za pośrednictwem połączenia wirtualnej sieci prywatnej (VPN) do środowiska sieci lokalnej.

Ograniczenia

Chyba że klientów internetowych (w tym urządzeń mobilnych) są zdolne do sieci VPN, nie mogą używać usług Microsoft cloud. Ze względów poziom usług zaleca się, że nie robisz to.

Klienci sformatowanego programu Outlook (w tym program ActiveSync klientów) nie może połączyć się zasoby programu Exchange w trybie Online. Aby uzyskać więcej informacji zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
2466333 Użytkownicy federacyjni nie może nawiązać połączenia skrzynki pocztowej programu Exchange Online
Założenia pomocy technicznej

Zakłada się, że klient przyjmuje do wiadomości przez implementację że ta konfiguracja nie zapewnia pełni anonsowanego pakietu usług, które są obsługiwane przez federacji tożsamości w Azure AD.

Zakłada się, sieć VPN jest zaimplementowana poprawnie i działa. W tym scenariuszu obsługiwane przez Microsoft Support muszą być spełnione następujące warunki:
  • Klient może podłączyć do systemu usług AD FS nazwą DNS za pośrednictwem protokołu HTTPS (port 443).
  • Klient może połączyć do końcowego Federacji Azure AD nazwą DNS przy użyciu odpowiednich portów/protokołów.

Federacją tożsamości usług AD FS i Azure AD wysokiej dostępności

Każdego scenariusza mogą być zmieniane za pomocą autonomicznego serwera programu AD FS Federacji zamiast farmy serwerów. Jednak zawsze jest zalecenie najlepszych praktyk Microsoft wykonanie wszystkich usług infrastruktury krytycznej za pomocą technologii wysokiej dostępności w celu uniknięcia utraty dostępu.

Lokalne dostępność programu AD FS ma bezpośredni wpływ na dostępność usługi Microsoft chmura dla użytkowników federacyjnych, a jego poziom usług jest pokrywany przez klienta. Biblioteka Microsoft TechNet zawiera obszerny wytyczne dotyczące sposobu planowania i wdrażania programu AD FS w lokalnym środowisku. Te wskazówki mogą pomóc klientom dotrzeć do ich miejsce docelowe dla tego podsystemu krytyczny poziom usług. Aby uzyskać więcej informacji odwiedź następującą witrynę sieci Web TechNet:
ODWOŁANIA
Nadal potrzebujesz pomocy? Przejdź do Społeczności użytkowników usługi Office 365 witryny sieci Web lub Fora Azure usługi Active Directory witryny sieci Web.

Ostrzeżenie: ten artykuł przetłumaczono automatycznie

Właściwości

Identyfikator artykułu: 2510193 — ostatni przegląd: 06/21/2014 07:03:00 — zmiana: 12.0

Microsoft Azure, Microsoft Office 365, Microsoft Office 365 for enterprises (pre-upgrade), Microsoft Office 365 for education  (pre-upgrade), CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtpl
Opinia