Удостоверение для корпорации ContosoIdentity for the Contoso Corporation

Сводка: Понимаете, как используются преимущества IDaaS и предоставляет географически распределенные Contoso и избыточных проверки подлинности для пользователей.Summary: Understand how Contoso takes advantage of IDaaS and provides geographically distributed and redundant authentication for its users.

Корпорация Майкрософт предоставляет удостоверение как службы (IDaaS) по его облака. Принятие включительно облачной инфраструктуры, Contoso IDaaS решения необходимо использовать свои поставщика удостоверений в локальной и включить федеративной проверки подлинности с помощью их существующих поставщиков удостоверений надежных, сторонних производителей.Microsoft provides an Identity as a Service (IDaaS) across its cloud offerings. To adopt a cloud-inclusive infrastructure, Contoso's IDaaS solution must leverage their on-premises identity provider and include federated authentication with their existing trusted, third-party identity providers.

Леса Windows Server AD организации ContosoContoso's Windows Server AD forest

Contoso использует один лес Active Directory Windows Server (AD) для contoso.com с семь доменами, один для каждого регионе. Штаб-квартире, сервер-концентратор региональных офисах и филиалах содержат контроллеров домена для локальной проверки подлинности и авторизации.Contoso uses a single Windows Server Active Directory (AD) forest for contoso.com with seven domains, one for each region of the world. The headquarters, regional hub offices, and satellite offices contain domain controllers for local authentication and authorization.

На рисунке 1: Contoso леса и домены во всем миреFigure 1: Contoso's forest and domains worldwide

Лес Windows Server AD и соответствующие домены Contoso, настроенные для разных точек мира

На рисунке 1 показан лес Contoso с региональными доменами для разных частей света, в которых находятся региональные офисы.Figure 1 shows the Contoso forest with regional domains for the different parts of the world that contain regional hubs.

Компания Contoso хочет использовать учетные записи и группы в лесу contoso.com для аутентификации и авторизации своих облачных приложений и рабочих нагрузок.Contoso wants to use the accounts and groups in the contoso.com forest for authentication and authorization for its cloud-based apps and workloads.

Инфраструктура Contoso федеративной проверки подлинностиContoso's federated authentication infrastructure

Позволяет Contoso:Contoso allows:

  • клиентам использовать свои учетные записи Майкрософт, Facebook или Google Mail для входа на общедоступный веб-сайт;Customers to use their Microsoft, Facebook, or Google Mail accounts to sign in to their public web site.

  • поставщикам и партнерам использовать свои учетные записи LinkedIn, Salesforce или Google Mail для входа в партнерскую экстрасеть.Vendors and partners to use their LinkedIn, Salesforce, or Google Mail accounts to sign in to the partner extranet.

На рисунке 2: Contoso Поддержка федеративного проверки подлинности для клиентов и партнеровFigure 2: Contoso's support for federated authentication for customers and partners

Существующая инфраструктура Contoso, обеспечивающая поддержку федеративной аутентификации клиентов и партнеров

На рисунке 2 показана DMZ Contoso, которая содержит общедоступный веб-сайт, партнерскую экстрасеть и набор серверов AD FS. DMZ подключена к Интернету, в котором находятся клиенты, партнеры и Интернет-службы.Figure 2 shows the Contoso DMZ containing a public web site, a partner extranet, and a set of AD FS servers. The DMZ is connected to the Internet that contains customers and partners and Internet services.

Серверы служб федерации Active Directory (AD FS) в DMZ выполняют аутентификацию клиентов на общедоступном веб-сайте и партнеров в партнерской экстрасети.Active Directory Federation Services (AD FS) servers in the DMZ authenticate customer credentials for access to the public web site and partner credentials for access to the partner extranet.

Когда Contoso переходит его общедоступного веб-сайта Azure Web App и экстрасети Dynamics 365 партнера, они хотят продолжить использовать эти поставщики удостоверений сторонних производителей для своих клиентов и партнеров. Это будет выполняется путем настройки федерации между клиентами Contoso Azure AD и Поставщики удостоверений сторонних производителей.When Contoso transitions its public web site to an Azure Web App and partner extranet to Dynamics 365, they want to continue to use these third-party identity providers for their customers and partners. This will be accomplished by configuring federation between Contoso Azure AD tenants and these third-party identity providers.

Синхронизация каталогов для леса Windows Server AD организации ContosoDirectory synchronization for Contoso's Windows Server AD forest

Contoso развернут средство Azure AD подключение кластера серверов в его Париж центра обработки данных. Подключение Azure AD синхронизирует изменения на contoso.com леса Windows Server AD с Azure AD клиента, общие для Office 365 организации Contoso, Командной, Dynamics 365 и Azure подписок. Дополнительные сведения о подписках лицензий, учетные записи пользователей и клиентов, посетите подписок, лицензии и учетные записи для Contoso Corporation.Contoso has deployed the Azure AD Connect tool on a cluster of servers in its Paris datacenter. Azure AD Connect synchronizes changes to the contoso.com Windows Server AD forest with the Azure AD tenant shared by Contoso's Office 365, EMS, Dynamics 365, and Azure subscriptions. For more information about subscriptions, licenses, user accounts, and tenants, see Subscriptions, licenses, and user accounts for the Contoso Corporation.

На рисунке 3: Инфраструктура синхронизации каталогов ContosoFigure 3: Contoso's directory synchronization infrastructure

Инфраструктура корпорации Contoso для синхронизации службы каталогов

На рисунке 3 показан кластер серверов со средством Azure AD Connect, которое синхронизирует лес Windows Server AD компании Contoso с клиентом Azure AD.Figure 3 shows a cluster of servers running Azure AD Connect synchronizing the Contoso Windows Server AD forest with the Azure AD tenant.

Contoso настроил федеративной проверки подлинности, которая обеспечивает единый вход для сотрудников организации Contoso. Когда пользователь, который уже вошел в contoso.com леса Windows Server AD обращается к ресурса облаке Майкрософт SaaS или PaaS, будет не запрос пароль.Contoso has configured federated authentication, which provides single sign-on for Contoso's workers. When a user that has already signed in to the contoso.com Windows Server AD forest accesses a Microsoft SaaS or PaaS cloud resource, they will not be prompted for a password.

Географическое распределение трафика аутентификации ContosoGeographical distribution of Contoso authentication traffic

Чтобы лучше поддерживать его мобильных устройств и удаленных сотрудников, Contoso развернут наборов серверов проверки подлинности в его региональных офисах. Эта инфраструктура распределяет нагрузку и предоставляет избыточности и более высокую производительность при проверке подлинности учетные данные пользователя для доступа к Microsoft облака, использующие общие клиента Azure AD.To better support its mobile and remote workforce, Contoso has deployed sets of authentication servers in its regional offices. This infrastructure distributes the load and provides redundancy and higher performance when authenticating user credentials for access to Microsoft cloud offerings that use the common Azure AD tenant.

Чтобы распределить запросы аутентификации, компания Contoso настроила диспетчер трафика Azure с профилем, который использует эффективный метод маршрутизации и направляет запросы на ближайший набор серверов аутентификации. To distribute the load of authentication requests, Contoso has configured Azure Traffic Manager with a profile that uses the performance routing method, which refers authenticating clients to the regionally closest set of authentication servers.

На рисунке 4: Географического трафика проверки подлинности для филиаловFigure 4: Geographical distribution of authentication traffic for regional offices

Географическое распределение трафика аутентификации Contoso для региональных офисов

На рисунке 4 показаны уровни клиентских компьютеров, диспетчер трафика Azure и серверы аутентификации в региональных офисах. Каждый региональные офис использует веб-прокси и серверы AD FS для аутентификации пользователей на контроллерах доменов Windows Server AD.Figure 4 shows the layers of client computers, Azure Traffic Manager, and authentication servers in regional offices. Each regional office uses web proxies and AD FS servers to authenticate user credentials with Windows Server AD domain controllers.

Пример аутентификации:Authentication process example:

  1. На клиентском компьютере инициирует взаимодействие с веб-страницы в клиенте Office 365 в Европе (например, sharepoint.contoso.com).The client computer initiates communication with a web page in the Office 365 tenancy in Europe (such as sharepoint.contoso.com).

  2. Office 365 отправляет запрос на подтверждение подлинности. Запрос содержит URL-адрес для аутентификации.Office 365 sends back a request to send proof of authentication. The request contains the URL to contact for authentication.

  3. Клиентский компьютер пытается разрешить DNS-имя в URL-адресе для IP-адреса.The client computer attempts to resolve the DNS name in the URL to an IP address.

  4. Диспетчер трафика Azure получает запрос DNS и отправляет клиентскому компьютеру IP-адрес прокси-сервера веб-приложений в региональном офисе, ближайшем к клиентскому компьютеру.Azure Traffic Manager receives the DNS query and responds to the client computer with the IP address of a web application proxy server in the regional office that is closest to the client computer.

  5. Клиентский компьютер отправляет запрос проверки подлинности сервер прокси-сервера веб-приложений, который отправляет запрос на сервер служб AD FS.The client computer sends an authentication request to a web application proxy server, which forwards the request to an AD FS server.

  6. Сервер AD FS запрашивает учетные данные пользователя с клиентского компьютера.The AD FS server requests the user credentials from the client computer.

  7. Клиентский компьютер отправляет учетные данные пользователя.The client computer sends the user credentials without prompting the user.

  8. Сервер AD FS проверяет учетные данные с помощью контроллера домена Windows Server AD в региональном офисе и возвращает маркер безопасности на клиентский компьютер.The AD FS server validates the credentials with a Windows Server AD domain controller in the regional office and returns a security token to the client computer.

  9. Клиентский компьютер отправляет маркер безопасности в Office 365.The client computer sends the security token to Office 365.

  10. После успешной проверки Office 365 кэширует маркер безопасности и отправляет веб-страницу, запрошенную на шаге 1, на клиентский компьютер.After successful validation, Office 365 caches the security token and sends the web page requested in step 1 to the client computer.

Резервная инфраструктура аутентификации в главном офисе в Azure IaaSRedundancy for the headquarters authentication infrastructure in Azure IaaS

Для обеспечения избыточности для удаленных и мобильных работников штаб-квартире Париж, содержащий 15 000 сотрудников, Contoso развернут второму набору прокси-серверы приложений и серверы AD FS в Azure IaaS.To provide redundancy for the remote and mobile workers of the Paris headquarters that contains 15,000 workers, Contoso has deployed a second set of application proxies and AD FS servers in Azure IaaS.

На рисунке 5: Инфраструктуры избыточные проверки подлинности в Azure IaaSFigure 5: Redundant authentication infrastructure in Azure IaaS

Избыточная инфраструктура аутентификации в Azure IaaS для главного офиса в Париже

На рисунке 5 показаны веб-прокси и серверы AD FS в DMZ и дополнительные наборы этих компонентов в виртуальной сети Azure.Figure 5 shows web proxies and AD FS servers in the DMZ and an additional set of each in a cross-premises Azure virtual network.

Когда основные серверы аутентификации в DMZ главного офиса становятся недоступными, ИТ-специалисты переключают систему на резервный набор, развернутый в Azure IaaS. Последующие запросы аутентификации от компьютеров в парижском офисе используют набор в Azure IaaS, пока проблема не будет устранена.When the primary authentication servers in the headquarters DMZ become unavailable, IT staff switch over to the redundant set deployed in Azure IaaS. Subsequent authentication requests from Paris office computers use the set in Azure IaaS until the availability problem is corrected.

Для переключения в двух направлениях компания Contoso обновляет профиль диспетчера трафика Azure для региона "Париж", чтобы использовать другой набор IP-адресов для прокси-серверов веб-приложений:To switch over and switch back, Contoso updates the Azure Traffic Manager profile for the Paris region to use a different set of IP addresses for the web application proxies:

  • Когда серверы проверки подлинности DMZ доступны, используйте IP-адресов серверов в DMZ.When the DMZ authentication servers are available, use the IP addresses of the servers in the DMZ.

  • когда серверы аутентификации DMZ недоступны, используются IP-адреса серверов в Azure IaaS.When the DMZ authentication servers are not available, use the IP addresses of the servers in Azure IaaS.

See AlsoSee Also

Contoso в Microsoft CloudContoso in the Microsoft Cloud

Ресурсы для администраторов, посвященные архитектуре Microsoft CloudMicrosoft Cloud IT architecture resources

Идентификация в облаке Майкрософт для корпоративных архитекторовMicrosoft Cloud Identity for Enterprise Architects

Защита удостоверений и устройств для Office 365Identity and Device Protection for Office 365

Стратегия Enterprise Cloud корпорации Майкрософт: ресурсы для лиц, принимающих решения в области ИТMicrosoft's Enterprise Cloud Roadmap: Resources for IT Decision Makers