Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Trình duyệt của bạn không được hỗ trợ

Bạn cần cập nhật trình duyệt của mình để sử dụng trang web.

Cập nhật lên Internet Explorer phiên bản mới nhất.

Các kịch bản được hỗ trợ để sử dụng AD FS để thiết lập đăng nhập đơn trong Office 365, Azure, hoặc Windows dành

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 2510193
GIỚI THIỆU
Bài viết này cung cấp một tổng quan về các bản ghi dịch vụ liên bang Thư mục Họat động (AD FS) kịch bản và tác động của họ đối với đăng nhập đơn (SSO) trong Office 365, Microsoft Azure, hoặc Windows dành.
THÊM THÔNG TIN
Như với hầu hết các bản ghi dịch vụ của doanh nghiệp cấp, AD FS liên đoàn bản ghi dịch vụ (thừa hưởng cho SSO) có thể được thực hiện trong nhiều cách, tùy thuộc vào nhu cầu kinh doanh. Các tình huống AD FS sau tập trung vào làm thế nào chỗ AD FS liên đoàn bản ghi dịch vụ được xuất bản với Internet. Đây là một khía cạnh rất cụ thể về triển khai AD FS.

Kịch bản 1: Hoàn toàn triển khai AD FS

Mô tả
Một AD FS liên đoàn cụm máy (ứng dụng) chủ bản ghi dịch vụ Thư mục Họat động khách hàng yêu cầu thông qua SSO xác thực. Một AD FS (tải cân bằng) liên hệ phục vụ ủy quyền cho thấy nhiều các lõi bản ghi dịch vụ xác thực Internet bởi chuyển tiếp yêu cầu và phản ứng lại giữa Internet khách hàng và môi trường AD FS nội bộ.

Khuyến nghị
Đây là việc thực hiện đề nghị của AD FS.

Hỗ trợ giả định
Không có không có giả định hỗ trợ cho tình huống này. Kịch bản này được hỗ trợ bởi Microsoft Support.

Trường hợp 2: Xuất bản tường lửa AD FS

Mô tả
Một AD FS liên đoàn cụm máy (ứng dụng) chủ bản ghi dịch vụ Thư mục Họat động khách hàng yêu cầu thông qua SSO xác thực. Một Microsoft Internet Security và Acceleration (ISA) / máy chủ Microsoft Forefront Threat Management Gateway (TMG) (hoặc máy chủ trang trại) đưa ra các bản ghi dịch vụ cốt lõi xác thực Internet bằng cách đảo ngược proxy.

Giới hạn
Mở rộng xác thực bảo vệ phải được vô hiệu hóa trên các trang trại máy chủ AD FS liên bang để làm việc này. Điều này làm suy yếu cấu hình bảo mật của hệ thống. Cân nhắc an ninh, chúng tôi khuyến khích bạn không phải để làm điều này.
Hỗ trợ giả định
Nó giả định rằng ISA/TMG firewall và proxy đảo ngược quy tắc được thực hiện một cách chính xác và chức năng. Microsoft Support để hỗ trợ các trường hợp này, các điều kiện sau đây phải úng sự thực:
  • Proxy HTTPS (port 443) giao thông giữa khách hàng Internet và máy chủ AD FS, đảo ngược phải được minh bạch.
  • Máy chủ AD FS phải nhận được một đồng gửi trung thành của SAML yêu cầu từ khách hàng Internet.
  • Internet khách hàng phải nhận được đồng gửi trung thành của hồi đáp SAML như nếu các khách hàng được gắn trực tiếp vào chỗ máy chủ AD FS.
Để biết thông tin về vấn đề phổ biến mà có thể gây ra cấu hình này thất bại, hãy xem các tài nguyên sau:

Trường hợp 3: Không xuất bản AD FS

Mô tả
Một AD FS liên đoàn cụm máy (ứng dụng) chủ bản ghi dịch vụ Thư mục Họat động khách hàng yêu cầu thông qua SSO xác thực, và các trang trại máy chủ không phải là tiếp xúc với Internet bằng bất kỳ phương pháp.

Giới hạn
Khách hàng Internet (bao gồm cả thiết bị di động) không thể sử dụng Microsoft đám mây bản ghi dịch vụ tài nguyên. Vì lý do bản ghi dịch vụ cấp, chúng tôi đề nghị rằng bạn không làm điều này.

Khách hàng phong phú Outlook không thể kết nối với Exchange Online tài nguyên. Để biết thêm thông tin, hãy xem bài viết Cơ sở tri thức Microsoft sau:
2466333 Người dùng đã liên kết không thể kết nối với hộp thư Exchange Online
Hỗ trợ giả định
Người ta cho rằng khách hàng thừa nhận của thực hiện rằng thiết lập này không cung cấp cho bộ bản ghi dịch vụ được hỗ trợ bởi Azure Thư mục Họat động (Azure AD), hoàn toàn được quảng cáo. Trong các trường hợp, trường hợp này được hỗ trợ bởi Microsoft Support.

Kịch bản 4: Xuất bản VPN AD FS

Mô tả

Một máy chủ AD FS liên bang (hoặc liên đoàn máy chủ trang trại) bản ghi dịch vụ Thư mục Họat động khách hàng yêu cầu thông qua SSO xác thực, và các máy chủ hoặc cụm máy (ứng dụng) chủ không phải là tiếp xúc với Internet bằng bất kỳ phương pháp. Khách hàng Internet kết nối và sử dụng AD FS bản ghi dịch vụ chỉ thông qua một kết nối mạng riêng ảo (VPN) đến môi trường mạng tại chỗ.

Giới hạn

Trừ khi khách hàng Internet (bao gồm cả thiết bị di động) có khả năng VPN, họ không thể sử dụng bản ghi dịch vụ đám mây của Microsoft. Vì lý do bản ghi dịch vụ cấp, chúng tôi đề nghị rằng bạn không làm điều này.

Khách hàng phong phú Outlook (bao gồm cả ActiveSync khách hàng) không thể kết nối với Exchange Online tài nguyên. Để biết thêm thông tin, hãy xem bài viết Cơ sở tri thức Microsoft sau:
2466333 Người dùng đã liên kết không thể kết nối với hộp thư Exchange Online
Hỗ trợ giả định

Người ta cho rằng khách hàng thừa nhận của thực hiện rằng thiết lập này không cung cấp cho bộ bản ghi dịch vụ được hỗ trợ bởi liên kết nhận dạng trong Azure quảng cáo, quảng cáo đầy đủ.

Nó giả định VPN được thực hiện một cách chính xác và chức năng. Cho trường hợp này được hỗ trợ bởi Microsoft Support, các điều kiện sau đây phải úng sự thực:
  • Khách hàng có thể kết nối với hệ thống AD FS bởi DNS tên thông qua HTTPS (port 443).
  • Khách hàng có thể kết nối đến điểm cuối liên đoàn Azure quảng cáo bằng tên DNS bằng cách sử dụng thích hợp cổng/giao thức.

High-availability AD FS và Azure quảng cáo liên kết nhận dạng

Mỗi kịch bản có thể khác nhau bằng cách sử dụng một máy chủ AD FS liên đoàn độc lập thay vì một cụm máy (ứng dụng) chủ. Tuy nhiên, nó luôn luôn là một thực hành tốt nhất Microsoft khuyến cáo rằng Tất cả các dịch vụ cơ sở hạ tầng quan trọng được thực hiện bằng cách sử dụng công nghệ cao-sẵn có để tránh mất quyền truy cập.

Chỗ sẵn có AD FS trực tiếp ảnh hưởng đến Microsoft đám mây bản ghi dịch vụ sẵn có cho người dùng đã liên kết, và mức độ bản ghi dịch vụ của nó là trách nhiệm của khách hàng. Thư viện Microsoft TechNet bao gồm mở rộng hướng dẫn về cách lập kế hoạch và triển khai AD FS trong môi trường tại chỗ. Hướng dẫn này có thể giúp khách hàng đạt được mức độ bản ghi dịch vụ mục tiêu cho hệ thống phụ quan trọng này. Để biết thêm chi tiết, hãy vào web site TechNet sau đây:
TÀI LIỆU THAM KHẢO
Vẫn cần trợ giúp? Chuyển đến các Văn phòng 365 cộng đồng web site hoặc các Diễn đàn Azure Thư mục Họat động .

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 2510193 - Xem lại Lần cuối: 06/21/2014 09:16:00 - Bản sửa đổi: 12.0

  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
  • o365 o365e o365a o365m o365062011 pre-upgrade o365022013 after upgrade kbmt KB2510193 KbMtvi
Phản hồi