Scenari supportati per l'utilizzo di ADFS per configurare l'accesso Single Sign-on in Office 365, Azure o Intune

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Introduzione

In questo articolo viene fornita una panoramica dei vari scenari di Active Directory Federation Services (AD FS) e delle relative implicazioni per Single Sign-on (SSO) in Office 365, Microsoft Azure o Microsoft Intune.

Ulteriori informazioni

Come per la maggior parte dei servizi a livello aziendale, il servizio federativo ADFS (utilizzato per SSO) può essere implementato in diversi modi, in base alle esigenze aziendali. Gli scenari AD FS seguenti si concentrano sul modo in cui il servizio federativo di ADFS locale viene pubblicato su Internet. Si tratta di un aspetto molto specifico dell'implementazione di ADFS.

Scenario 1: applicazione AD FS completamente implementata

Descrizione

Una farm del server federativo di ADFS servizi le richieste dei client di Active Directory tramite l'autenticazione SSO. Un proxy server federativo AD FS (con bilanciamento del carico) espone i servizi di autenticazione di base a Internet inoltrando le richieste e le risposte tra i client Internet e l'ambiente ADFS interno.

Consigli

Si tratta dell'implementazione consigliata di ADFS.

Presupposti del supporto

Non esistono presupposti di supporto per questo scenario. Questo scenario è supportato dal supporto tecnico Microsoft. 

Scenario 2: il firewall ha pubblicato ADFS

Descrizione

Una farm del server federativo di ADFS servizi le richieste dei client di Active Directory tramite l'autenticazione SSO. Un server Microsoft Internet Security and Acceleration (ISA)/Microsoft Forefront Threat Management Gateway (TMG) (o server farm) espone i servizi di autenticazione di base a Internet tramite proxy inverso.

Limitazioni

La protezione dell'autenticazione estesa deve essere disabilitata nella farm del server federativo di ADFS affinché funzioni correttamente. Ciò indebolisce il profilo di sicurezza del sistema. Per motivi di sicurezza, è consigliabile non eseguire questa operazione.

Presupposti del supporto

Si presume che il firewall ISA/TMG e la regola del proxy inverso siano implementati correttamente e siano funzionali. Per il supporto di Microsoft per il supporto di questo scenario, è necessario che le condizioni seguenti siano vere:  

  • Il proxy inverso del traffico HTTPS (porta 443) tra il client Internet e il server AD FS deve essere trasparente.
  • Il server AD FS deve ricevere una copia fedele delle richieste SAML dal client Internet.
  • I client Internet devono ricevere copie fedeli delle risposte SAML come se i client fossero direttamente associati al server AD FS locale.

Per informazioni sui problemi comuni che possono causare l'esito negativo di questa configurazione, vedere le risorse seguenti:

Scenario 3: AD FS non pubblicato

Descrizione

Le richieste dei client Active Directory di una server farm federativo di ADFS tramite l'autenticazione SSO e la server farm non vengono esposte a Internet da alcun metodo.

Limitazioni

I client Internet (compresi i dispositivi mobili) non possono utilizzare le risorse del servizio cloud Microsoft. Per motivi a livello di servizio, è consigliabile non eseguire questa operazione. 

I client ricchi di Outlook non possono connettersi alle risorse di Exchange Online. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base riportato di seguito: 

2466333 gli utenti federati non possono connettersi a una cassetta postale di Exchange Online

Presupposti del supporto

Si presume che il cliente riconosca tramite l'implementazione che questo programma di installazione non fornisce la famiglia di servizi completamente pubblicizzata che sono supportati da Azure Active Directory (Azure AD). In queste circostanze, questo scenario è supportato dal supporto tecnico Microsoft. 

Scenario 4: pubblicazione AD FS di una VPN

Descrizione

Un server federativo ADFS (o una server farm di federazione) consente di eseguire richieste client di Active Directory tramite l'autenticazione SSO e il server o la server farm non viene esposto a Internet con qualsiasi metodo. I client Internet si connettono e utilizzano i servizi ADFS solo tramite una connessione VPN (Virtual Private Network) all'ambiente di rete locale.

Limitazioni

A meno che i client Internet (compresi i dispositivi mobili) siano in grado di eseguire la VPN, non possono utilizzare i servizi cloud Microsoft. Per motivi a livello di servizio, è consigliabile non eseguire questa operazione. 

I client RTF di Outlook (compresi i client ActiveSync) non possono connettersi alle risorse di Exchange Online. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base riportato di seguito:

2466333 gli utenti federati non possono connettersi a un presupposti di MailboxSupport di Exchange Online

Si presume che il cliente riconosca tramite l'implementazione che questo programma di installazione non fornisce la famiglia di servizi completamente pubblicizzata che sono supportati dalla Federazione delle identità in Azure AD. 

Si presume che la VPN sia implementata correttamente ed è funzionale. Affinché questo scenario sia supportato dal supporto tecnico Microsoft, è necessario che siano soddisfatte le condizioni seguenti: 

  • Il client è in grado di connettersi al sistema ADFS tramite il nome DNS tramite HTTPS (porta 443).
  • Il client è in grado di connettersi all'endpoint federativo di Azure AD in base al nome DNS utilizzando le porte e i protocolli appropriate. 

Ad FS ad alta disponibilità e ad Azure AD Identity Federation

Ogni scenario può essere modificato utilizzando un server federativo AD FS autonomo anziché una server farm. Tuttavia, è sempre una raccomandazione per le procedure consigliate di Microsoft che tutti i servizi di infrastruttura critica vengano implementati utilizzando una tecnologia a disponibilità elevata per evitare la perdita di accesso.

La disponibilità di ADFS locale incide direttamente sulla disponibilità del servizio cloud di Microsoft per gli utenti federati e il livello di servizio è responsabile del cliente. Microsoft TechNet Library contiene informazioni dettagliate su come pianificare e distribuire ADFS nell'ambiente locale. Queste linee guida consentono ai clienti di raggiungere il livello di servizio di destinazione per questo sottosistema critico. Per ulteriori informazioni, visitare il sito Web TechNet seguente: 

Active Directory Federation Services (ADFS) 2.0

Riferimenti

Ulteriore assistenza Visitare la community Microsoft o il sito Web dei forum di Azure Active Directory.