Wir haben einen Kunden mit dem folgenden Setup.
onPrem Active Directory mit Azure AD Connect und Password Hash Sync (PHS) inklusive SSO-Aktivierung
SSO für alle M365-Apps
Integration von ca. 15 verschiedenen externen Cloud Apps, welche eine Vertrauensbeziehung zu Azure haben, um SSO im Browser nutzen zu können
Nun möchte der Kunde auf ADFS-Authentifizierung migrieren, um in Zukunft für alle seine Apps die onPrem MFA-Lösung zu verwenden. Was passiert also, wenn wir die Methode „Benutzeranmeldung“ in Azure AD Connect von PHS inkl. SSO auf „Föderation mit ADFS“ ändern? Ich habe den folgenden Beitrag gefunden:Kombinieren Sie ADFS und Azure AD zur Authentifizierung – Microsoft Q&Awo der Benutzer „amanpreetsingh-msft“ den Kommunikationsfluss beschreibt. Da wir aber ein etwas anderes Setup haben, bin ich mir nicht sicher, ob dieser Kommunikationsfluss auch für uns gilt. Würde SSO trotzdem automatisch funktionieren? Und was müssen wir hinsichtlich der beiden unterschiedlichen SSO-Ansätze „PRT SSO“ und „Seamless SSO“ beachten? Wir wissen derzeit nicht, welche Art von SSO der Kunde verwendet.
Ich habe außerdem den folgenden Kommunikationsfluss gefunden:SSO2 Aber es deckt unser Setup nicht vollständig ab. Da wir kein Kerberos-Ticket an Azure AD weiterleiten. Unsere Konstellation umfasst SAML, eingehende und ausgehende Ansprüche, ein Vertrauen zwischen Azure und einem Dienstanbieter (anstelle von ADFS direkt) und eine Art SSO-Token innerhalb der „PRT SSO“- oder „Seamless SSO“-Technologie. Wie würde der Kommunikationsfluss in unserem Fall aussehen?
Oder wäre es möglicherweise ein besserer Ansatz, die Vertrauensstellungen zwischen den Anwendungen und Azure nach und nach von Azure zu ADFS zu „migrieren“?
Vielen Dank für Ihre Hilfe!
Antwort1
Dies hängt von der Anwendung ab, aber im wahrscheinlichsten Szenario müssen Sie alle Apps so konfigurieren, dass sie eine ADFS-Vertrauensstellung anstelle einer Azure AD-Vertrauensstellung verwenden.
Es istmöglichdass einige Anwendungen einfach weiterhin Azure AD-Vertrauensstellungen verwenden können und Azure AD dann die Verbundauthentifizierung mit ADFS übernimmt, dies würde jedoch den Anmeldevorgang erheblich verkomplizieren und die Verwaltung und Fehlerbehebung erschweren. Außerdem bedeutet das Hinzufügen von ADFS das Hinzufügen eines potenziellen Fehlerpunkts, wie in „wenn ADFS nicht funktioniert, können Sie sich nirgendwo anmelden“ (weshalb ADFS normalerweise mit mindestens einer Farm mit zwei Servern implementiert wird).
Randbemerkung: Sie „migrieren die Domäne nicht zur „ADFS-Authentifizierung“ in Microsoft AD Connect“. Sie müssen eine echte ADFS-Farm einrichten (einschließlich eines Reverse-Proxys für die externe Veröffentlichung) und dann die Domäne für die Verbundauthentifizierung in Azure AD konfigurieren.
Ich kenne die Einzelheiten Ihres Szenarios nicht, aber es scheint ziemlich komplex zu sein, vor allem, wenn Sie nicht wirklich viel Erfahrung mit ADFS haben (was bei Ihnen, nichts für ungut, der Fall zu sein scheint). Wenn der Kunde das alles nur macht, um seine eigene MFA-Lösung zu verwenden, würde ich ihm dringend raten, einfach die MFA von Microsoft zu aktivieren oder zu einer der verschiedenen Cloud-MFA-Lösungen zu wechseln, die in Azure AD integriert werden können.