Cenários com suporte para usar o AD FS para configurar o logon único no Microsoft 365, Azure ou Intune
Introdução
Este artigo fornece uma visão geral de vários cenários do AD FS (Serviços de Federação do Active Directory (AD FS)) e suas implicações para o SSO (logon único) no Microsoft 365, Microsoft Azure ou Microsoft Intune.
Mais informações
Assim como acontece com a maioria dos serviços de nível empresarial, o Serviço de Federação do AD FS (alavancado para SSO) pode ser implementado de várias maneiras, dependendo das necessidades de negócios. Os cenários do AD FS a seguir se concentram em como o Serviço de Federação do AD FS local é publicado na Internet. Este é um aspecto muito específico da implementação do AD FS.
Cenário 1: AD FS totalmente implementado
Descrição
Um servidor farm services do AD FS Federation farm services Solicitações de cliente do Active Directory por meio da autenticação SSO. Um proxy de servidor de federação do AD FS (balanceado por carga) expõe esses principais serviços de autenticação à Internet retransmitindo solicitações e respostas entre clientes da Internet e o ambiente interno do AD FS.
Recomendações
Essa é a implementação recomendada do AD FS.
Pressupostos de suporte
Não há pressupostos de suporte para esse cenário. Esse cenário é compatível com Suporte da Microsoft.
Cenário 2: AD FS publicado pelo firewall
Descrição
Um servidor farm services do AD FS Federation farm services Solicitações de cliente do Active Directory por meio da autenticação SSO. Um servidor TMG (Microsoft Internet Security and Acceleration) / Microsoft Forefront Threat Management Gateway (ou farm de servidores) expõe esses principais serviços de autenticação à Internet por proxy reverso.
Limitações
A Proteção de Autenticação Estendida deve ser desabilitada no farm de servidores da Federação do AD FS para que isso funcione. Isso enfraquece o perfil de segurança do sistema. Para considerações de segurança, recomendamos que você não faça isso.
Pressupostos de suporte
Presume-se que o firewall ISA/TMG e a regra de proxy reverso sejam implementados corretamente e estejam funcionais. Para Suporte da Microsoft dar suporte a esse cenário, as seguintes condições devem ser verdadeiras:
- O proxy reverso do tráfego HTTPS (porta 443) entre o cliente da Internet e o servidor AD FS deve ser transparente.
- O servidor do AD FS deve receber uma cópia fiel das solicitações SAML do cliente da Internet.
- Os clientes da Internet devem receber cópias fiéis de respostas SAML como se os clientes estivessem diretamente anexados ao servidor do AD FS local.
Para obter informações sobre problemas comuns que podem fazer com que essa configuração falhe, confira o seguinte recurso:
O seguinte artigo do Microsoft TechNet:
Usando um proxy de terceiros como substituição para um Proxy do Servidor de Federação do AD FS 2.0
Cenário 3: AD FS não publicado
Descrição
Um servidor farm services do AD FS Federation faz solicitações de cliente do Active Directory por meio da autenticação SSO e o farm de servidores não é exposto à Internet por nenhum método.
Limitações
Os clientes de Internet (incluindo dispositivos móveis) não podem usar recursos do serviço de nuvem da Microsoft. Por motivos de nível de serviço, recomendamos que você não faça isso.
Clientes ricos do Outlook não podem se conectar a recursos de Exchange Online. Para obter mais informações, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:
2466333 usuários federados não podem se conectar a uma caixa de correio Exchange Online
Pressupostos de suporte
Supõe-se que o cliente reconheça por implementação que essa configuração não fornece o pacote de serviços totalmente anunciado com suporte por Microsoft Entra ID. Nessas circunstâncias, esse cenário é suportado por Suporte da Microsoft.
Cenário 4: AD FS publicado por VPN
Descrição
Um servidor de Federação do AD FS (ou farm de servidores de federação) atende solicitações de cliente do Active Directory por meio da autenticação do SSO, e o farm de servidor ou servidor não é exposto à Internet por nenhum método. Os clientes de Internet se conectam e usam serviços do AD FS somente por meio de uma conexão VPN (rede virtual privada) com o ambiente de rede local.
Limitações
A menos que os clientes da Internet (incluindo dispositivos móveis) sejam capazes de VPN, eles não podem usar os serviços de nuvem da Microsoft. Por motivos de nível de serviço, recomendamos que você não faça isso.
Clientes ricos do Outlook (incluindo clientes ActiveSync) não podem se conectar a recursos Exchange Online. Para obter mais informações, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:
2466333 usuários federados não podem se conectar a uma caixa de correio Exchange Online Pressupostos de suporte
Supõe-se que o cliente reconheça pela implementação que essa configuração não fornece o conjunto de serviços totalmente anunciado com suporte pela federação de identidade em Microsoft Entra ID.
Presume-se que a VPN seja implementada corretamente e seja funcional. Para que esse cenário seja suportado por Suporte da Microsoft, as seguintes condições devem ser verdadeiras:
- O cliente pode se conectar ao sistema AD FS pelo nome DNS por meio de HTTPS (porta 443).
- O cliente pode se conectar ao ponto de extremidade de federação Microsoft Entra pelo nome DNS usando portas/protocolos apropriados.
Federação de identidade do AD FS e Microsoft Entra de alta disponibilidade
Cada cenário pode ser variado usando um servidor autônomo da Federação do AD FS em vez de um farm de servidores. No entanto, é sempre uma recomendação de prática recomendada da Microsoft que todos os serviços críticos de infraestrutura sejam implementados usando tecnologia de alta disponibilidade para evitar a perda de acesso.
A disponibilidade do AD FS local afeta diretamente a disponibilidade do serviço de nuvem da Microsoft para usuários federados e seu nível de serviço é responsabilidade do cliente. A biblioteca do Microsoft TechNet contém extensas diretrizes sobre como planejar e implantar o AD FS no ambiente local. Essas diretrizes podem ajudar os clientes a alcançar o nível de serviço de destino para esse subsistema crítico. Para obter mais informações, acesse o seguinte site do TechNet:
Serviços de Federação do Active Directory (AD FS) 2.0
Referências
Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de