Cenários com suporte para usar o AD FS para configurar o logon único no Microsoft 365, Azure ou Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introdução

Este artigo fornece uma visão geral de vários cenários do AD FS (Serviços de Federação do Active Directory (AD FS)) e suas implicações para o SSO (logon único) no Microsoft 365, Microsoft Azure ou Microsoft Intune.

Mais informações

Assim como acontece com a maioria dos serviços de nível empresarial, o Serviço de Federação do AD FS (alavancado para SSO) pode ser implementado de várias maneiras, dependendo das necessidades de negócios. Os cenários do AD FS a seguir se concentram em como o Serviço de Federação do AD FS local é publicado na Internet. Este é um aspecto muito específico da implementação do AD FS.

Cenário 1: AD FS totalmente implementado

Descrição

Um servidor farm services do AD FS Federation farm services Solicitações de cliente do Active Directory por meio da autenticação SSO. Um proxy de servidor de federação do AD FS (balanceado por carga) expõe esses principais serviços de autenticação à Internet retransmitindo solicitações e respostas entre clientes da Internet e o ambiente interno do AD FS.

Recomendações

Essa é a implementação recomendada do AD FS.

Pressupostos de suporte

Não há pressupostos de suporte para esse cenário. Esse cenário é compatível com Suporte da Microsoft.

Cenário 2: AD FS publicado pelo firewall

Descrição

Um servidor farm services do AD FS Federation farm services Solicitações de cliente do Active Directory por meio da autenticação SSO. Um servidor TMG (Microsoft Internet Security and Acceleration) / Microsoft Forefront Threat Management Gateway (ou farm de servidores) expõe esses principais serviços de autenticação à Internet por proxy reverso.

Limitações

A Proteção de Autenticação Estendida deve ser desabilitada no farm de servidores da Federação do AD FS para que isso funcione. Isso enfraquece o perfil de segurança do sistema. Para considerações de segurança, recomendamos que você não faça isso.

Pressupostos de suporte

Presume-se que o firewall ISA/TMG e a regra de proxy reverso sejam implementados corretamente e estejam funcionais. Para Suporte da Microsoft dar suporte a esse cenário, as seguintes condições devem ser verdadeiras:

  • O proxy reverso do tráfego HTTPS (porta 443) entre o cliente da Internet e o servidor AD FS deve ser transparente.
  • O servidor do AD FS deve receber uma cópia fiel das solicitações SAML do cliente da Internet.
  • Os clientes da Internet devem receber cópias fiéis de respostas SAML como se os clientes estivessem diretamente anexados ao servidor do AD FS local.

Para obter informações sobre problemas comuns que podem fazer com que essa configuração falhe, confira o seguinte recurso:

Cenário 3: AD FS não publicado

Descrição

Um servidor farm services do AD FS Federation faz solicitações de cliente do Active Directory por meio da autenticação SSO e o farm de servidores não é exposto à Internet por nenhum método.

Limitações

Os clientes de Internet (incluindo dispositivos móveis) não podem usar recursos do serviço de nuvem da Microsoft. Por motivos de nível de serviço, recomendamos que você não faça isso.

Clientes ricos do Outlook não podem se conectar a recursos de Exchange Online. Para obter mais informações, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

2466333 usuários federados não podem se conectar a uma caixa de correio Exchange Online

Pressupostos de suporte

Supõe-se que o cliente reconheça por implementação que essa configuração não fornece o pacote de serviços totalmente anunciado com suporte por Microsoft Entra ID. Nessas circunstâncias, esse cenário é suportado por Suporte da Microsoft.

Cenário 4: AD FS publicado por VPN

Descrição

Um servidor de Federação do AD FS (ou farm de servidores de federação) atende solicitações de cliente do Active Directory por meio da autenticação do SSO, e o farm de servidor ou servidor não é exposto à Internet por nenhum método. Os clientes de Internet se conectam e usam serviços do AD FS somente por meio de uma conexão VPN (rede virtual privada) com o ambiente de rede local.

Limitações

A menos que os clientes da Internet (incluindo dispositivos móveis) sejam capazes de VPN, eles não podem usar os serviços de nuvem da Microsoft. Por motivos de nível de serviço, recomendamos que você não faça isso.

Clientes ricos do Outlook (incluindo clientes ActiveSync) não podem se conectar a recursos Exchange Online. Para obter mais informações, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

2466333 usuários federados não podem se conectar a uma caixa de correio Exchange Online Pressupostos de suporte

Supõe-se que o cliente reconheça pela implementação que essa configuração não fornece o conjunto de serviços totalmente anunciado com suporte pela federação de identidade em Microsoft Entra ID.

Presume-se que a VPN seja implementada corretamente e seja funcional. Para que esse cenário seja suportado por Suporte da Microsoft, as seguintes condições devem ser verdadeiras:

  • O cliente pode se conectar ao sistema AD FS pelo nome DNS por meio de HTTPS (porta 443).
  • O cliente pode se conectar ao ponto de extremidade de federação Microsoft Entra pelo nome DNS usando portas/protocolos apropriados.

Federação de identidade do AD FS e Microsoft Entra de alta disponibilidade

Cada cenário pode ser variado usando um servidor autônomo da Federação do AD FS em vez de um farm de servidores. No entanto, é sempre uma recomendação de prática recomendada da Microsoft que todos os serviços críticos de infraestrutura sejam implementados usando tecnologia de alta disponibilidade para evitar a perda de acesso.

A disponibilidade do AD FS local afeta diretamente a disponibilidade do serviço de nuvem da Microsoft para usuários federados e seu nível de serviço é responsabilidade do cliente. A biblioteca do Microsoft TechNet contém extensas diretrizes sobre como planejar e implantar o AD FS no ambiente local. Essas diretrizes podem ajudar os clientes a alcançar o nível de serviço de destino para esse subsistema crítico. Para obter mais informações, acesse o seguinte site do TechNet:

Serviços de Federação do Active Directory (AD FS) 2.0

Referências

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.