Cenários suportados para a utilização de AD FS para configurar um único sign-on no Office 365, Azure ou Intune

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Introdução

Este artigo fornece uma visão geral de vários cenários da Ative Directory Federation Services (AD FS) e suas implicações para um único sign-on (SSO) no Office 365, Microsoft Azure ou Microsoft Intune.

Mais informações

Tal como acontece com a maioria dos serviços a nível empresarial, o Serviço da Federação AD FS (alavancado para sSO) pode ser implementado de muitas formas, dependendo das necessidades empresariais. Os seguintes cenários da AD FS focam-se na forma como o Serviço da Federação AD FS é publicado na Internet. Este é um aspeto muito específico da implementação da AD FS.

Cenário 1: AD FS totalmente implementado

Descrição

Serviços de exploração de servidores da AD FS Federation Ative Directory solicita através da autenticação SSO. Um proxy de servidor da Federação AD FS (load equilibrado) expõe esses serviços de autenticação nuclear à Internet, transmitindo pedidos e respostas de um lado para o outro entre os clientes da Internet e o ambiente interno da AD FS.

Recomendações

Esta é a implementação recomendada de AD FS.

Pressupostos de apoio

Não há pressupostos de apoio para este cenário. Este cenário é suportado pelo Microsoft Support. 

Cenário 2: AD FS publicado em Firewall

Descrição

Serviços de exploração de servidores da AD FS Federation Ative Directory solicita através da autenticação SSO. Um microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG) server (ou server farm) expõe esses serviços de autenticação nuclear à Internet por procuração inversa.

Limitações

A Proteção de Autenticação Alargada deve ser desativada na exploração de servidores da AD FS Federation para que isto funcione. Isto enfraquece o perfil de segurança do sistema. Por questões de segurança, recomendamos que não faça isto.

Pressupostos de apoio

Presume-se que a firewall ISA/TMG e a regra de procuração inversa são implementadas corretamente e estão funcionais. Para que o Suporte da Microsoft suporte este cenário, as seguintes condições devem ser verdadeiras:  

  • O proxy inverso do tráfego HTTPS (porta 443) entre o cliente da Internet e o servidor AD FS deve ser transparente.
  • O servidor AD FS deve receber uma cópia fiel dos pedidos da SAML do cliente da Internet.
  • Os clientes da Internet devem receber cópias fiéis das respostas SAML como se os clientes estivessem diretamente ligados ao servidor AD FS no local.

Para obter informações sobre problemas comuns que possam fazer com que esta configuração falhe, consulte os seguintes recursos:

Cenário 3: AD FS não publicado

Descrição

Um serviço de exploração de servidores da AD FS Federation Ative Directory solicita através da autenticação SSO, e a quinta do servidor não é exposta à Internet por qualquer método.

Limitações

Os clientes da Internet (incluindo dispositivos móveis) não podem utilizar os recursos do serviço de cloud da Microsoft. Por razões de nível de serviço, recomendamos que não o faça. 

Os clientes ricos em perspetivas não conseguem ligar-se aos recursos Online de Intercâmbio. Para mais informações, consulte o seguinte artigo da Microsoft Knowledge Base: 

2466333 Utilizadores federados não podem ligar-se a uma caixa de correio Exchange Online

Pressupostos de apoio

Presume-se que o cliente reconhece através da implementação que esta configuração não fornece o conjunto de serviços totalmente anunciados que são apoiados pelo Azure Ative Directory (Azure AD). Nestas circunstâncias, este cenário é suportado pelo Microsoft Support. 

Cenário 4: VpN-published AD FS

Descrição

Um servidor da Federação AD FS (ou fazenda de servidores da Federação) presta serviços de clientes do Ative Directory através da autenticação SSO, e a quinta do servidor ou servidor não é exposta à Internet por qualquer método. Os clientes da Internet conectam-se e utilizam serviços AD FS apenas através de uma ligação virtual de rede privada (VPN) ao ambiente de rede no local.

Limitações

A menos que os clientes da Internet (incluindo dispositivos móveis) sejam capazes de VPN, não podem usar os serviços de nuvem da Microsoft. Por razões de nível de serviço, recomendamos que não o faça. 

Os clientes ricos em outlook (incluindo clientes ActiveSync) não podem ligar-se aos recursos Online de Intercâmbio. Para mais informações, consulte o seguinte artigo da Microsoft Knowledge Base:

2466333 Utilizadores federados não podem ligar-se a uma caixa de correio Online ExchangePressuposto pressupostos de apoio

É assumido que o cliente reconhece através da implementação que esta configuração não fornece o conjunto de serviços totalmente anunciados que são apoiados pela federação de identidade em Azure AD. 

Presume-se que a VPN é implementada corretamente e está funcional. Para que este cenário seja suportado pelo Microsoft Support, as seguintes condições devem ser verdadeiras: 

  • O cliente pode ligar-se ao sistema AD FS pelo nome DNS através do HTTPS (porta 443).
  • O cliente pode ligar-se ao ponto final da federação Azure AD pelo nome DNS utilizando portas/protocolos apropriados. 

AD FS de alta disponibilidade e federação de identidade Azure AD

Cada cenário pode ser variado usando um servidor autónomo da Federação AD FS da Federação fs em vez de uma fazenda de servidores. No entanto, é sempre uma recomendação da Microsoft de boas práticas para que todos os serviços de infraestrutura crítica sejam implementados utilizando tecnologia de alta disponibilidade para evitar a perda de acesso.

No local, a disponibilidade de AD FS afeta diretamente a disponibilidade do serviço de nuvem da Microsoft para utilizadores federados, e o seu nível de serviço é da responsabilidade do cliente. A biblioteca Microsoft TechNet contém orientações extensivas sobre como planear e implantar AD FS no ambiente no local. Esta orientação pode ajudar os clientes a atingir o seu nível de serviço-alvo para este subsistema crítico. Para mais informações, vá ao seguinte site da TechNet: 

Serviços da Federação de Diretório Ativo (AD FS) 2.0

Referências

Ainda necessita de ajuda? Vá para a página web Comunidade Microsoft ou Fóruns do Azure Active Directory.