Cenários suportados para utilizar o AD FS para configurar o início de sessão único no Microsoft 365, no Azure ou no Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introdução

Este artigo fornece uma descrição geral de vários cenários de Serviços de Federação do Active Directory (AD FS) (AD FS) e as suas implicações para o início de sessão único (SSO) no Microsoft 365, Microsoft Azure ou Microsoft Intune.

Mais informações

Tal como acontece com a maioria dos serviços de nível empresarial, o Serviço de Federação do AD FS (alavancado para SSO) pode ser implementado de várias formas, consoante as necessidades empresariais. Os seguintes cenários do AD FS focam-se na forma como o Serviço de Federação do AD FS no local é publicado na Internet. Este é um aspeto muito específico da implementação do AD FS.

Cenário 1: AD FS totalmente implementado

Descrição

Um servidor de federação do AD FS serviços de farm do Active Directory pedidos de cliente através da autenticação SSO. Um proxy de servidor de Federação do AD FS (com balanceamento de carga) expõe esses serviços de autenticação principal à Internet ao reencaminhar pedidos e respostas entre os clientes da Internet e o ambiente interno do AD FS.

Recomendações

Esta é a implementação recomendada do AD FS.

Pressupostos de suporte

Não existem pressupostos de suporte para este cenário. Este cenário é suportado por Suporte da Microsoft.

Cenário 2: AD FS publicado pela firewall

Descrição

Um servidor de federação do AD FS serviços de farm do Active Directory pedidos de cliente através da autenticação SSO. Um servidor microsoft Internet Security and Acceleration (ISA)/Microsoft Forefront Threat Management Gateway (TMG) (ou farm de servidores) expõe esses serviços de autenticação principais à Internet por proxy inverso.

Limitações

A Proteção de Autenticação Alargada tem de ser desativada no farm de servidores de Federação do AD FS para que isto funcione. Isto enfraquece o perfil de segurança do sistema. Para considerações de segurança, recomendamos que não o faça.

Pressupostos de suporte

Presume-se que a firewall ISA/TMG e a regra de proxy inverso são implementadas corretamente e estão funcionais. Para Suporte da Microsoft suportar este cenário, as seguintes condições têm de ser verdadeiras:

  • O proxy inverso do tráfego HTTPS (porta 443) entre o cliente da Internet e o servidor do AD FS tem de ser transparente.
  • O servidor do AD FS tem de receber uma cópia fiel dos pedidos SAML do cliente da Internet.
  • Os clientes da Internet têm de receber cópias fiéis das respostas SAML como se os clientes estivessem diretamente ligados ao servidor do AD FS no local.

Para obter informações sobre problemas comuns que podem fazer com que esta configuração falhe, veja o seguinte recurso:

Cenário 3: AD FS não publicado

Descrição

Um farm de servidores de Federação do AD FS fornece pedidos de cliente do Active Directory através da autenticação SSO e o farm de servidores não é exposto à Internet através de qualquer método.

Limitações

Os clientes da Internet (incluindo dispositivos móveis) não podem utilizar recursos do serviço cloud da Microsoft. Por motivos de nível de serviço, recomendamos que não o faça.

Os clientes avançados do Outlook não conseguem ligar-se a recursos Exchange Online. Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

2466333 os utilizadores federados não conseguem ligar a uma caixa de correio Exchange Online

Pressupostos de suporte

Presume-se que o cliente reconhece, através da implementação, que esta configuração não fornece o conjunto de serviços totalmente anunciado que são suportados pelo Microsoft Entra ID. Nestas circunstâncias, este cenário é suportado por Suporte da Microsoft.

Cenário 4: AD FS publicado em VPN

Descrição

Um servidor de Federação do AD FS (ou farm de servidores de Federação) presta pedidos de cliente do Active Directory através da autenticação SSO e o servidor ou farm de servidores não é exposto à Internet através de qualquer método. Os clientes da Internet ligam-se e utilizam serviços do AD FS apenas através de uma ligação de rede privada virtual (VPN) ao ambiente de rede no local.

Limitações

A menos que os clientes da Internet (incluindo dispositivos móveis) tenham capacidade de VPN, não podem utilizar os serviços cloud da Microsoft. Por motivos de nível de serviço, recomendamos que não o faça.

Os clientes avançados do Outlook (incluindo clientes ActiveSync) não conseguem ligar-se a recursos Exchange Online. Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

2466333 os utilizadores federados não conseguem ligar a uma caixa de correio Exchange Online Suportar pressupostos

Presume-se que o cliente reconhece, através da implementação, que esta configuração não fornece o conjunto de serviços totalmente anunciado que são suportados pela federação de identidade no Microsoft Entra ID.

Presume-se que a VPN está implementada corretamente e está funcional. Para que este cenário seja suportado por Suporte da Microsoft, as seguintes condições têm de ser verdadeiras:

  • O cliente pode ligar ao sistema do AD FS por nome DNS através de HTTPS (porta 443).
  • O cliente pode ligar-se ao ponto final de federação Microsoft Entra por nome DNS através de portas/protocolos adequados.

AD FS de elevada disponibilidade e federação de identidade Microsoft Entra

Cada cenário pode ser variado ao utilizar um servidor de Federação do AD FS autónomo em vez de um farm de servidores. No entanto, é sempre uma recomendação de melhores práticas da Microsoft que todos os serviços de infraestrutura críticos sejam implementados através da utilização de tecnologia de elevada disponibilidade para evitar a perda de acesso.

A disponibilidade do AD FS no local afeta diretamente a disponibilidade do serviço cloud da Microsoft para utilizadores federados e o respetivo nível de serviço é da responsabilidade do cliente. A biblioteca Microsoft TechNet contém orientações abrangentes sobre como planear e implementar o AD FS no ambiente no local. Esta documentação de orientação pode ajudar os clientes a atingir o nível de serviço de destino para este subsistema crítico. Para obter mais informações, aceda ao seguinte site da TechNet:

Serviços de Federação do Active Directory (AD FS) (AD FS) 2.0

Referências

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Microsoft Entra Forums.