支持的方案:使用 AD FS 在 Office 365、Azure 或 Intune 中设置单一登录
备注
Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章。
简介
本文概述了各种 Active Directory 联合身份验证服务 (AD FS) 方案及其对 Office 365、Microsoft Azure 或 Microsoft Intune 中的单一登录 (SSO) 的影响。
详细信息
与大多数企业级服务一样, (SSO) 的 AD FS 联合身份验证服务可以通过多种方式实现,具体取决于业务需求。 以下 AD FS 方案侧重于如何将本地 AD FS 联合身份验证服务发布到 Internet。 这是 AD FS 实现的具体方面。
方案 1:完全实现的 AD FS
说明
AD FS 联合服务器场通过 SSO 身份验证为 Active Directory 客户端请求提供服务。 AD FS (负载平衡) 联合服务器代理通过中继 Internet 客户端和内部 AD FS 环境之间的请求和响应,向 Internet 公开这些核心身份验证服务。
建议
这是建议的 AD FS 实现。
支持假设
此方案没有支持假设。 此方案受 Microsoft 支持支持。
方案 2:防火墙发布的 AD FS
说明
AD FS 联合服务器场通过 SSO 身份验证为 Active Directory 客户端请求提供服务。 Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG) server (or server farm) 通过反向代理向 Internet 公开这些核心身份验证服务。
限制
必须在 AD FS 联合服务器场上禁用扩展身份验证保护,此操作将正常工作。 这将削弱系统的安全配置文件。 出于安全考虑,建议您不要这样做。
支持假设
假定 ISA/TMG 防火墙和反向代理规则已正确实现且正常工作。 若要使 Microsoft 支持支持此方案,则满足以下条件:
- HTTPS 反向代理 (端口 443) Internet 客户端和 AD FS 服务器之间的流量必须透明。
- AD FS 服务器必须收到来自 Internet 客户端的 SAML 请求的真实副本。
- Internet 客户端必须收到 SAML 响应的真实副本,就像客户端直接连接到本地 AD FS 服务器一样。
有关可能导致此配置失败的常见问题的信息,请参阅以下资源:
以下 Microsoft TechNet 文章:
方案 3:未发布的 AD FS
说明
AD FS 联合服务器场通过 SSO 身份验证为 Active Directory 客户端请求提供服务,并且服务器场不通过任何方法向 Internet 公开。
限制
Internet (包括移动设备) 都使用 Microsoft 云服务资源。 出于服务级别原因,建议您不要这样做。
Outlook富客户端无法连接到Exchange Online资源。 有关更多信息,请参阅以下 Microsoft 知识库文章:
2466333联盟用户无法连接到邮箱Exchange Online邮箱
支持假设
假定客户通过实现确认,此安装程序不提供完全公布的服务套件,这些服务受 Azure Active Directory (Azure AD) 。 在这些情况下,此方案受 Microsoft 支持支持。
方案 4:VPN 发布的 AD FS
说明
AD FS 联合服务器 (或联合服务器场) 通过 SSO 身份验证为 Active Directory 客户端请求提供服务,并且服务器或服务器场不会通过任何方法向 Internet 公开。 Internet 客户端仅通过虚拟专用网络连接到并使用 AD FS 服务 (VPN) 到本地网络环境的连接。
限制
除非 Internet 客户端 (支持 VPN) 移动设备,否则他们无法使用 Microsoft 云服务。 出于服务级别原因,建议您不要这样做。
Outlook富客户端 (包括 ActiveSync 客户端) 无法连接到Exchange Online资源。 有关更多信息,请参阅以下 Microsoft 知识库文章:
2466333联盟用户无法连接到邮箱Exchange Online支持假设
假定客户通过实现确认,此安装程序不提供联合身份验证在 Azure AD 中支持的完全播发的服务套件。
假定 VPN 已正确实现且正常工作。 若要使此方案受 Microsoft 支持支持,则满足以下条件:
- 客户端可以通过 DNS 名称通过 HTTPS 连接到 AD FS 系统, (端口 443) 。
- 客户端可以使用适当的端口/协议Azure AD DNS 名称连接到联盟终结点。
高可用性 AD FS 和Azure AD联合身份验证
使用独立的 AD FS 联合服务器而不是服务器场,可以改变每种方案。 但是,Microsoft 始终建议使用高可用性技术实现所有关键基础结构服务,以避免丢失访问权限。
本地 AD FS 可用性直接影响联合用户的 Microsoft 云服务可用性,其服务级别由客户负责。 Microsoft TechNet 库包含有关如何在本地环境中计划和部署 AD FS 的广泛指南。 本指南可帮助客户达到针对此关键子系统的目标服务级别。 有关详细信息,请转到以下 TechNet 网站:
Active Directory 联合身份验证服务 (AD FS) 2.0
References
仍然需要帮助? 转到 Microsoft 社区或 Azure Active Directory 论坛网站。