Podporované scénáře pro nastavení jednotného přihlašování ve službě AD FS v Office 365, Azure nebo Intune

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Úvod

Tento článek obsahuje přehled různých scénářů služby AD FS (Active Directory Federation Services) a jejich důsledky pro jednotné přihlašování (SSO) v Office 365, Microsoft Azure nebo Microsoft Intune.

Další informace

Stejně jako u většiny služeb na podnikové úrovni, služby AD FS Federation Service (s využitím pro sso) lze implementovat mnoha způsoby, v závislosti na obchodních potřebách. Následující scénáře služby AD FS se zaměřují na to, jak je místní služba AD FS Federation Service publikována do Internetu. Jedná se o velmi specifický aspekt implementace ad FS.

Scénář 1: Plně implementovaná ad fs

Popis

Serverová farma služby ad FS služby Active Directory požaduje klienta služby AD FS prostřednictvím ověřování služby SSO. Proxy serveru Federation server ad FS (vyrovnávání zatížení) zpřístupňuje tyto základní ověřovací služby do Internetu předáváním požadavků a odpovědí tam a zpět mezi klienty Internetu a interním prostředím služby AD FS.

Doporučení

Toto je doporučená implementace systému AD FS.

Předpoklady podpory

Neexistují žádné předpoklady podpory pro tento scénář. Tento scénář je podporován podporou společnosti Microsoft. 

Scénář 2: Službu AD FS publikovanou bránou firewall

Popis

Serverová farma služby ad FS služby Active Directory požaduje klienta služby AD FS prostřednictvím ověřování služby SSO. Server TMG (Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG) (nebo serverová farma) zpřístupňuje tyto základní ověřovací služby internetu pomocí reverzního proxy serveru.

Omezení

Aby tato ochrana fungovala, musí být ve farmě serveru Federace služby AD FS zakázána ochrana rozšířeného ověřování. To oslabuje bezpečnostní profil systému. Z bezpečnostních důvodů doporučujeme, abyste to nedělali.

Předpoklady podpory

Předpokládá se, že isa / TMG firewall a reverzní proxy pravidlo jsou implementovány správně a jsou funkční. Pro podporu společnosti Microsoft pro podporu tohoto scénáře musí být splněny následující podmínky:  

  • Reverzní proxy přenosy https (port 443) mezi internetovým klientem a serverem Služby AD FS musí být transparentní.
  • Server služby AD FS musí obdržet věrnou kopii požadavků SAML od internetového klienta.
  • Klienti internetu musí přijímat věrné kopie odpovědí SAML, jako kdyby klienti byli přímo připojeni k místnímu serveru Služby AD FS.

Informace o běžných problémech, které mohou způsobit selhání této konfigurace, naleznete v následujících zdrojích:

Scénář 3: Nepublikované ad FS

Popis

Serverová farma služby ad FS serverová služba Active Directory požaduje prostřednictvím ověřování s přiřazování služeb ASO a serverová farma není vystavena Internetu žádnou metodou.

Omezení

Internetoví klienti (včetně mobilních zařízení) nemohou používat prostředky cloudových služeb Microsoftu. Z důvodů na úrovni služby doporučujeme, abyste tak nedělali. 

Klienti s bohatými aplikacemi aplikace Outlook se nemohou připojit k prostředkům Exchange Online. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base: 

2466333 Federated uživatelé se nemohou připojit k poštovní schránce Exchange Online

Předpoklady podpory

Předpokládá se, že zákazník implementací potvrdí, že toto nastavení neposkytuje plně inzerovanou sadu služeb, které jsou podporované službou Azure Active Directory (Azure AD). Za těchto okolností je tento scénář podporován podporou společnosti Microsoft. 

Scénář 4: Služba AD FS publikovaná sítí VPN

Popis

Server služby AD FS (nebo farma federačního serveru) služby služby Active Directory, které klientpožaduje prostřednictvím ověřování služby SSO, a serverová nebo serverová farma není žádným způsobem vystavena Internetu. Internetoví klienti se připojují ke službám služby AD FS a používají je no sis pouze prostřednictvím připojení virtuální privátní sítě (VPN) k místnímu síťovému prostředí.

Omezení

Pokud internetoví klienti (včetně mobilních zařízení) nepoužívají síť VPN, nemohou využívat cloudové služby Microsoftu. Z důvodů na úrovni služby doporučujeme, abyste tak nedělali. 

Klienti outlooku rich (včetně klientů ActiveSync) se nemohou připojit k prostředkům Exchange Online. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

2466333 Federated uživatelé se nemohou připojit k poštovní schránce Exchange OnlinePředpoklady podpory

Předpokládá se, že zákazník bere na základě implementace potvrzení, že toto nastavení neposkytuje plně inzerované sady služeb, které jsou podporovány federace identit ve službě Azure AD. 

Předpokládá se, že VPN je implementována správně a je funkční. Aby tento scénář byl podporován podporou společnosti Microsoft, musí být splněny následující podmínky: 

  • Klient se může připojit k systému AD FS podle názvu DNS prostřednictvím protokolu HTTPS (port 443).
  • Klient se může připojit ke koncovému bodu federace Azure AD podle názvu DNS pomocí příslušných portů nebo protokolů. 

Federace identit služby AD FS s vysokou dostupností a azure služby AD

Každý scénář lze měnit pomocí samostatného serveru AD FS Federation namísto serverové farmy. Je však vždy doporučení microsoft osvědčených postupů, aby všechny služby kritické infrastruktury být implementovány pomocí technologie vysoké dostupnosti, aby se zabránilo ztrátě přístupu.

Místní dostupnost služby AD FS přímo ovlivňuje dostupnost cloudových služeb Microsoftu pro federované uživatele a za úroveň jejích služeb odpovídá zákazník. Knihovna Microsoft TechNet obsahuje rozsáhlé pokyny, jak plánovat a nasazovat službu AD FS v místním prostředí. Tyto pokyny mohou zákazníkům pomoci dosáhnout cílové úrovně služeb pro tento kritický subsystém. Další informace naleznete na následujícím webu TechNetu: 

Služba AD FS (Active Directory Federation Services) 2.0

Odkazy

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.