Unser Kunde hat bereits einen bestehenden Forest ForestA. Dieser Forest hat 2 Webserver, die der Domäne beigetreten sind. Benutzer werden beim Herstellen einer Verbindung mit der Anwendung zur ADFS-Anmeldeseite weitergeleitet, geben ihre Domänenanmeldeinformationen ein und melden sich an. Jetzt möchte der Kunde diese Anwendung zu Azure bringen (Lift and Shift). Benutzerkonten verbleiben weiterhin in ForestA. Es besteht kein AD-Vertrauen zwischen ForestA und dem neuen Forest ForestB.
Der Kunde hat bestätigt, dass es nicht notwendig ist, die beiden Webserver der neuen Domäne in ForestB hinzuzufügen. Diese werden als eigenständige Server ausgeführt. Allerdings soll die Authentifizierung weiterhin wie bisher funktionieren. Die Verwaltung von Forest A, einschließlich der ADFS-Server in diesem Forest, erfolgt durch einen Drittanbieter.
Bitte schlagen Sie vor, wie die Architektur aussehen könnte. Müssen wir die Webserver mit ForestB verbinden und zusätzliche ADFS-Server in ForestB bereitstellen?
Antwort1
Nein, fügen Sie einfach Federation Trust für Ihren Webserver mit ADFS hinzu und stellen Sie ADFS in ForestA bereit. Das wird problemlos funktionieren.
Wenn jemand schnell einen einfachen ADFS-Server mit einem Knoten aus einem einzigen Skript einrichten möchte. Dazu müssen nur die Fingerabdruckdetails des Kommunikationszertifikats angegeben werden. Und als Bonus wird die MFA-Funktion für ADFS mit OTP-Codes bereitgestellt. Unter folgendem Link finden Sie Informationen zur Installation der ADFS-Demo mit OTP: https://www.securemfa.com/downloads/mfa-otp#h.p_0CFeLwIix8Fa