Podporované scénáře pro použití služby AD FS k nastavení jednotného přihlašování Office 365, Azure nebo Intune

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Úvod

Tento článek obsahuje přehled různých scénářů služby AD FS (Active Directory Federation Services) a jejich důsledky pro jednotné přihlašování (SSO) v Office 365, Microsoft Azure nebo Microsoft Intune.

Další informace

Stejně jako u většiny služeb na podnikové úrovni je možné federační službu AD FS (využitou pro jednotné přihlašování) implementovat mnoha způsoby v závislosti na obchodních potřebách. Následující scénáře služby AD FS se zaměřují na to, jak se místní služba AD FS Federation Service publikuje na internet. Jedná se o velmi specifický aspekt implementace služby AD FS.

Scénář 1: Plně implementovaná služba AD FS

Popis

Klient služby AD FS Federation Server Farm services Active Directory požaduje prostřednictvím ověřování jednotného přihlašování. Proxy federačního serveru služby AD FS (s vyrovnáváním zatížení) tyto základní ověřovací služby zpřístupní internetu předáváním žádostí a odpovědí tam a zpět mezi internetovými klienty a interním prostředím SLUŽBY AD FS.

Doporučení

Toto je doporučená implementace služby AD FS.

Předpoklady podpory

Pro tento scénář neexistují žádné předpoklady podpory. Tento scénář podporuje podpora Microsoftu.

Scénář 2: Služba AD FS publikovaná bránou Firewall

Popis

Klient služby AD FS Federation Server Farm services Active Directory požaduje prostřednictvím ověřování jednotného přihlašování. Server Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (nebo serverová farma) zpřístupní tyto základní ověřovací služby internetu pomocí zpětného proxy serveru.

Omezení

Aby to fungovalo, musí být rozšířená ochrana ověřování ve farmě federačních serverů služby AD FS zakázaná. To oslabuje bezpečnostní profil systému. Z hlediska zabezpečení doporučujeme, abyste to neuváděii.

Předpoklady podpory

Předpokládá se, že firewall ISA/TMG a pravidlo zpětného proxy serveru jsou správně implementovány a funkční. Aby podpora Microsoftu tento scénář podporovala, musí být splněny následující podmínky:

  • Reverzní proxy server přenosu HTTPS (port 443) mezi internetovým klientem a serverem SLUŽBY AD FS musí být průhledný.
  • Server služby AD FS musí od internetového klienta obdržet věrnou kopii žádostí SAML.
  • Klienti internetu musí dostávat věrné kopie odpovědí SAML, jako kdyby byli klienti přímo připojeni k místnímu serveru AD FS.

Informace o běžných problémech, které mohou způsobit selhání této konfigurace, najdete v následujícím zdroji:

Scénář 3: Neveřejné služby AD FS

Popis

Klient služby AD FS Federation Server Farm Services Active Directory požaduje prostřednictvím ověřování jednotného přihlašování a serverová farma není vystavena internetu žádným způsobem.

Omezení

Internetové klienty (včetně mobilních zařízení) nesmějí používat prostředky cloudových služeb Microsoftu. Z důvodů na úrovni služby doporučujeme, abyste to neuměii.

Outlook klienti se nemohou připojit k Exchange Online prostředkům. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

2466333 federovaní uživatelé se nepřipojí k poštovní schránce Exchange Online serveru

Předpoklady podpory

Předpokládá se, že zákazník implementací bere na vědomí, že toto nastavení neposkytuje plně inzerovanou sadu služeb, které Azure Active Directory (Azure AD). Za těchto okolností tento scénář podporuje podpora Microsoftu.

Scénář 4: Služba AD FS publikovaná vpn

Popis

Klient služby AD FS Federation server (nebo serverová farma federace) služby Active Directory požaduje prostřednictvím ověřování jednotného přihlašování a server nebo serverová farma se žádným způsobem ne vystaví internetu. Klienti internetu se připojují ke službám AD FS a používají je jenom prostřednictvím připojení virtuální privátní sítě (VPN) k místnímu síťovému prostředí.

Omezení

Pokud internetové klienty (včetně mobilních zařízení) nejsou schopní vpn, nebudou moci používat cloudové služby Microsoftu. Z důvodů na úrovni služby doporučujeme, abyste to neuměii.

Outlook klienti (včetně klientů ActiveSync) se nepřipojí k Exchange Online prostředkům. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

2466333 federovaní uživatelé se nepřipojí k Exchange Online mailboxSupport

Předpokládá se, že zákazník implementací bere na vědomí, že toto nastavení neposkytuje plně inzerovanou sadu služeb podporovaných federací identit v Azure AD.

Předpokládá se, že vpn je implementována správně a funguje. Aby tento scénář podporovala podpora Microsoftu, musí být splněny následující podmínky:

  • Klient se může připojit k systému AD FS podle názvu DNS prostřednictvím protokolu HTTPS (port 443).
  • Klient se může připojit ke koncovému bodu federace Azure AD pomocí názvu DNS pomocí příslušných portů/protokolů.

Vysoká dostupnost služby AD FS a federace identit Azure AD

Každý scénář se může měnit pomocí samostatného federačního serveru SLUŽBY AD FS místo serverové farmy. Vždy je to ale doporučené doporučení Microsoftu, aby se všechny služby kritické infrastruktury implementovali pomocí technologie s vysokou dostupností, aby se zabránilo ztrátě přístupu.

Dostupnost místní služby AD FS má přímý vliv na dostupnost cloudových služeb Microsoftu pro federované uživatele a její úroveň služeb je odpovědností zákazníka. Knihovna Microsoft TechNet obsahuje rozsáhlé pokyny k plánování a nasazení služby AD FS v místním prostředí. Tyto pokyny můžou zákazníkům pomoct dosáhnout cílové úrovně služeb pro tento důležitý subsystém. Další informace najdete na následujícím webu TechNet:

Active Directory Federation Services (AD FS) 2.0

Odkazy

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.