Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Einleitung
Dieser Artikel enthält eine Übersicht über verschiedene Active Directory-Verbunddienste (AD FS)-Szenarien und deren Auswirkungen auf einmaliges Anmelden (Single Sign-On, SSO) in Microsoft 365, Microsoft Azure oder Microsoft Intune.
Mehr Informationen
Wie bei den meisten Diensten auf Unternehmensebene kann der AD FS-Verbunddienst (für SSO genutzt) je nach geschäftlichen Anforderungen auf vielfältige Weise implementiert werden. Die folgenden AD FS-Szenarien konzentrieren sich auf die Veröffentlichung des lokalen AD FS-Verbunddiensts im Internet. Dies ist ein sehr spezifischer Aspekt der AD FS-Implementierung.
Szenario 1: Vollständig implementiertes AD FS
BESCHREIBUNG
Eine AD-FS-Verbundserverfarm bedient Active Directory-Clientanforderungen durch SSO-Authentifizierung. Ein AD FS-Verbundserverproxy (Lastenausgleich) macht diese Kernauthentifizierungsdienste für das Internet verfügbar, indem Anforderungen und Antworten zwischen Internetclients und der internen AD FS-Umgebung weitergeleitet werden.
Empfehlungen
Dies ist die empfohlene Implementierung von AD FS.
Annahmen für Unterstützung
Für dieses Szenario gibt es keine Unterstützungsannahmen. Dieses Szenario wird vom Microsoft-Support unterstützt.
Szenario 2: Firewall-veröffentlichte AD FS
BESCHREIBUNG
Eine AD FS-Verbundserverfarm bearbeitet Active Directory-Clientanfragen durch SSO-Authentifizierung. Durch einen Reverse-Proxy stellt ein Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG)-Server (oder eine Serverfarm) Kernauthentifizierungsdienste für das Internet bereit.
Einschränkungen
Erweiterter Authentifizierungsschutz muss in der AD FS-Verbundserverfarm deaktiviert sein, damit dies funktioniert. Dadurch wird das Sicherheitsprofil des Systems geschwächt. Aus Sicherheitsgründen wird empfohlen, dies nicht zu tun.
Annahmen zur Unterstützung
Es wird davon ausgegangen, dass die ISA/TMG-Firewall und die Reverseproxyregel ordnungsgemäß implementiert und funktionsfähig sind. Damit der Microsoft-Support dieses Szenario unterstützt, müssen die folgenden Bedingungen erfüllt sein:
- Der Reverse-Proxy für den HTTPS-Verkehr (Port 443) zwischen dem Internet-Client und dem AD FS-Server muss transparent sein.
- Der AD FS-Server muss eine treue Kopie von SAML-Anforderungen vom Internetclient erhalten.
- Internet-Clients müssen originalgetreue Kopien von SAML-Antworten erhalten, als ob die Clients direkt an den lokalen AD FS-Server angebunden wären.
Informationen zu häufig auftretenden Problemen, die dazu führen können, dass diese Konfiguration fehlschlägt, finden Sie in der folgenden Ressource:
Der folgende Microsoft TechNet-Artikel:
Verwenden eines Drittanbieterproxys als Ersatz für einen AD FS 2.0-Verbundserverproxy
Szenario 3: Nicht veröffentlichte AD FS
BESCHREIBUNG
Eine AD FS-Verbundserverfarm bedient Active Directory-Clientanforderungen durch SSO-Authentifizierung, und die Serverfarm ist auf keine Weise dem Internet zugänglich.
Einschränkungen
Internetclients (einschließlich mobiler Geräte) können keine Microsoft-Clouddienstressourcen verwenden. Aus Gründen auf Serviceebene wird empfohlen, dies nicht zu tun.
Outlook-Rich-Clients können keine Verbindung mit Exchange Online-Ressourcen herstellen. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:
2466333 Verbundbenutzer können keine Verbindung mit einem Exchange Online-Postfach herstellen
Supportannahmen
Es wird davon ausgegangen, dass der Kunde durch Implementierung bestätigt, dass dieses Setup nicht die vollständig angekündigte Suite von Diensten bereitstellt, die von Microsoft Entra ID unterstützt werden. Unter diesen Umständen wird dieses Szenario vom Microsoft-Support unterstützt.
Szenario 4: Über VPN veröffentlichte AD FS
BESCHREIBUNG
Ein AD FS-Verbundserver (oder eine Verbundserverfarm) stellt Active Directory-Clientanforderungen über die Single-Sign-On-Authentifizierung bereit, und der Server oder die Serverfarm ist mit keiner Methode dem Internet ausgesetzt. Internetclients stellen eine Verbindung mit AD FS-Diensten nur über eine VPN-Verbindung (Virtual Private Network) mit der lokalen Netzwerkumgebung her.
Einschränkungen
Sofern Internetclients (einschließlich mobiler Geräte) nicht VPN-fähig sind, können sie Microsoft-Clouddienste nicht verwenden. Aus Gründen auf Serviceebene wird empfohlen, dies nicht zu tun.
Outlook-Rich-Clients (einschließlich ActiveSync-Clients) können keine Verbindung mit Exchange Online-Ressourcen herstellen. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:
2466333 Federierte Benutzer können keine Verbindung mit einem Exchange Online-Postfach herstellen, um Supportannahmen zu treffen.
Es wird davon ausgegangen, dass der Kunde durch Implementierung bestätigt, dass dieses Setup nicht die vollständig angekündigte Suite von Diensten bereitstellt, die von identitätsverbund in Microsoft Entra ID unterstützt werden.
Es wird davon ausgegangen, dass das VPN korrekt implementiert und funktionsfähig ist. Damit dieses Szenario vom Microsoft-Support unterstützt wird, müssen die folgenden Bedingungen erfüllt sein:
- Der Client kann über den DNS-Namen per HTTPS (Port 443) eine Verbindung mit dem AD FS-System herstellen.
- Der Client kann mithilfe der entsprechenden Ports/Protokolle über den DNS-Namen eine Verbindung mit dem Microsoft Entra-Verbundendpunkt herstellen.
Hochverfügbarkeit von AD FS und Microsoft Entra Identity Federation
Jedes Szenario kann variiert werden, indem ein eigenständiger AD FS-Verbundserver anstelle einer Serverfarm verwendet wird. Es ist jedoch stets eine bewährte Vorgehensweise von Microsoft, dass alle kritischen Infrastrukturdienste mithilfe von Hochverfügbarkeitstechnologien implementiert werden, um den Verlust des Zugriffs zu vermeiden.
Die lokale AD FS-Verfügbarkeit wirkt sich direkt auf die Verfügbarkeit des Microsoft-Clouddiensts für Verbundbenutzer aus, und die Dienstebene liegt in der Verantwortung des Kunden. Die Microsoft TechNet-Bibliothek enthält umfassende Anleitungen zum Planen und Bereitstellen von AD FS in der lokalen Umgebung. Diese Anleitung kann Kunden dabei helfen, ihr Zieldienstniveau für dieses kritische Subsystem zu erreichen. Für weitere Informationen besuchen Sie die folgende TechNet-Website:
Active Directory-Verbunddienste (AD FS) 2.0
Verweise
Brauchst du noch Hilfe? Wechseln Sie zu Microsoft Community oder zur Microsoft Entra Forums Website.