Scenarier som stöds för att konfigurera enkel inloggning i Office 365, Azure och Windows Intune med AD FS

VIKTIGT: Denna artikel har översatts av Microsofts programvara för maskin-översättning och möjligen efterredigerats via CTF-teknologi av Microsofts community istället för av en professionell mänsklig översättare. För att du på ditt eget språk skall få tillgång till samtliga Knowledge Base-artiklar erbjuder Microsoft både mänskligt översatta såväl som maskinöversatta artiklar samt artiklar som efterredigerats av en community. En maskinöversatt artikel likväl som en artikel som blivit efterredigerad av en community är dock inte alltid helt perfekt, då de kan innehålla misstag i ordförrådet, syntax- och grammatikfel. Microsoft är inte ansvarigt för några felaktigheter, misstag eller skador orsakade av felöversättningar eller för våra kunders bruk av innehållet. Microsoft uppdaterar ofta sin programvara för maskinöversättning samt de verktyg som förbättrar den maskinöversatta efterredigeringen.

Den engelska versionen av artikeln är följande: 2510193
INTRODUKTION
Den här artikeln innehåller en översikt över olika scenarier för Active Directory Federation Services (AD FS) och deras konsekvenser för enkel inloggning (SSO) i Office 365, Microsoft Azure eller Windows Intune.
MER INFORMATION
Som med de flesta på företagsnivå tjänster kan den AD FS-federationstjänsten (drivs för SSO) implementeras på många olika sätt, beroende på företagets behov. Följande AD FS-scenarier som fokuserar på hur en lokal AD FS-federationstjänsten är publicerad på Internet. Detta är en mycket specifik aspekt av AD FS.

Scenario 1: Fullt ut AD FS

Beskrivning
En AD FS-Federation server servergruppen tjänster Active Directory-klienten begär SSO-autentisering. En AD FS (belastningsutjämnade) federationsserverproxyn exponerar de kärntjänsterna för autentisering till Internet genom att vidarebefordra begäranden och svar fram och tillbaka mellan Internet-klienter och interna AD FS-miljö.

Rekommendationer
Detta är det rekommenderade genomförandet av AD FS.

Stödja antaganden
Det finns inget stöd för antaganden i det här scenariot. Detta scenario stöds av Microsoft Support.

Scenario 2: Brandvägg publicerade AD FS

Beskrivning
En AD FS-Federation server servergruppen tjänster Active Directory-klienten begär SSO-autentisering. En Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG)-servern (eller servergruppen) visar de kärntjänsterna för autentisering till Internet genom omvänd proxy.

Begränsningar
Utökat skydd för autentisering måste inaktiveras på den AD FS-Federation-servergruppen för att detta ska fungera. Detta gör mindre restriktiv säkerheten på datorn. Säkerhet rekommenderar vi att du inte gör detta.
Stödja antaganden
Det antas att ISA/TMG-brandväggen och omvänd proxy regeln implementeras korrekt och fungerar. För Microsoft Support att stödja det här scenariot måste följande villkor vara uppfyllda:
  • Omvänd proxy för HTTPS (port 443)-trafik mellan Internet-klient och AD FS-servern måste vara genomskinlig.
  • AD FS-servern ta emot en trogen kopia av SAML-begäranden från Internet-klienten.
  • Internet-klienter måste få Trogna kopior av SAML svar som om klienterna direktansluten till lokalerna servern i AD FS.
Information om vanliga problem som kan orsaka den här konfigurationen misslyckas finns i följande resurser:

Scenario 3: Icke-publicerade AD FS

Beskrivning
En AD FS-Federation server servergruppen tjänster Active Directory-klienten begär SSO-autentisering och servergruppen är inte utsätts för Internet med varje metod.

Begränsningar
Internet-klienter (inklusive mobila enheter) kan inte använda Microsoft cloud serviceresurser. Servicenivåer skäl rekommenderar vi att du inte gör detta.

Outlook RTF-klienter kan inte ansluta till Exchange Online-resurser. Mer information finns i följande artikel i Microsoft Knowledge Base:
2466333 Externa användare kan inte ansluta till Exchange Online-postlåda
Stödja antaganden
Det förutsätts att kunden bekräftar genomförandet installationsprogrammet saknar helt annonserade uppsättning tjänster som stöds av Azure Active Directory (AD Azure). Under dessa omständigheter är detta scenario stöds av Microsoft Support.

Scenario 4: VPN-publicerade AD FS

Beskrivning

En AD FS-federationsserver (eller federationsservergruppen) tjänster Active Directory klientbegäranden SSO-autentisering och servern eller servergruppen utsätts inte för Internet med varje metod. Internet-klienter ansluta till och använda AD FS-tjänster endast via en anslutning för virtuella privata nätverk (VPN) till lokal nätverksmiljö.

Begränsningar

Om Internet-klienter (inklusive mobila enheter) är VPN kan använda de inte Microsoft cloud services. Servicenivåer skäl rekommenderar vi att du inte gör detta.

Outlook RTF-klienter (inklusive ActiveSync-klienter) kan inte ansluta till Exchange Online-resurser. Mer information finns i följande artikel i Microsoft Knowledge Base:
2466333 Externa användare kan inte ansluta till Exchange Online-postlåda
Stödja antaganden

Det förutsätts att kunden bekräftar genomförandet installationsprogrammet saknar helt annonserade uppsättning tjänster som stöds av identitetsfederation i Azure AD.

Det förutsätts VPN har implementerats korrekt och fungerar. I det här scenariot som stöds av Microsoft Support måste följande villkor vara uppfyllda:
  • Klienten kan ansluta till det AD FS-systemet med DNS-namn via HTTPS (port 443).
  • Klienten kan ansluta till federationstjänstens slutpunkt Azure AD med DNS-namn med hjälp av lämpliga portar-protokoll.

Hög tillgänglighet AD FS och AD Azure identitetsfederation

Varje scenario kan varieras med hjälp av en fristående AD FS-federationsserver i stället för en servergrupp. Det är dock alltid en Microsofts metodtips rekommendation att alla kritiska infrastrukturtjänster genomföras med hög tillgänglighet-teknik för att undvika förlust av access.

Lokal AD FS tillgänglighet direkt påverkar Microsoft cloud Servicetillgänglighet för federerade användare och dess servicenivå ansvarar för kunden. Microsoft TechNet library innehåller omfattande vägledning om hur du planerar och distribuerar AD FS i lokal miljö. Den här vägledningen hjälper kunder att nå sina mål servicenivå för detta viktiga undersystem. Mer information finns i följande TechNet-webbplats:
REFERENSER
Behöver du hjälp? Gå till Office 365-Community webbplatsen eller Azure Active Directory-forum .

Varning: Den här artikeln har automatöversatts

Egenskaper

Artikel-id: 2510193 – senaste granskning 06/21/2014 07:07:00 – revision: 12.0

Microsoft Azure, Microsoft Office 365, Microsoft Office 365 for enterprises (pre-upgrade), Microsoft Office 365 for education  (pre-upgrade), CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtsv
Feedback