Tenemos un cliente con la siguiente configuración.
onPrem Active Directory con Azure AD Connect y Password Hash Sync (PHS), incluida la activación de SSO
SSO para todas las aplicaciones M365
Integración de aproximadamente 15 aplicaciones en la nube externas diferentes, que confían en la relación con Azure para usar SSO en el navegador.
Ahora, el cliente desea migrar a la autenticación ADFS para poder utilizar la solución onPrem MFA para todas sus aplicaciones en el futuro. Entonces, ¿qué sucede si cambiamos el método de "Inicio de sesión de usuario" en Azure AD Connect y lo alejamos de PHS incl. ¿SSO a "Federación con ADFS"? Encontré la siguiente publicación:Combine ADFS y Azure AD para la autenticación: preguntas y respuestas de Microsoftdonde el usuario "amanpreetsingh-msft" describe el flujo de comunicación. Pero como tenemos una configuración ligeramente diferente, no estoy seguro de si este flujo de comunicación se aplica a nosotros también. ¿SSO seguiría funcionando automáticamente? ¿Y qué debemos tener en cuenta con respecto a los dos enfoques de SSO diferentes: "PRT SSO" y "Seamless SSO"? Actualmente no sabemos qué tipo de SSO utiliza el cliente.
También encontré el siguiente flujo de comunicación:SSO2 Pero no cubre completamente nuestra configuración. Dado que no reenviamos ningún ticket de Kerberos a Azure AD. Nuestra constelación involucra SAML, reclamos entrantes y salientes, una confianza entre Azure y un proveedor de servicios (en lugar de ADFS directamente) algún tipo de token SSO dentro de la tecnología "PRT SSO" o "Seamless SSO". ¿Cómo sería el flujo de comunicación en nuestro caso?
¿O podría ser un mejor enfoque "migrar" las confianzas entre las aplicaciones y Azure de Azure a ADFS una por una?
¡Gracias por tu ayuda!
Respuesta1
Depende de la aplicación, pero el escenario más probable es que tendrá que configurar todas las aplicaciones para usar una confianza de ADFS en lugar de una confianza de Azure AD.
Esposibleque algunas aplicaciones simplemente pueden continuar usando confianzas de Azure AD y luego Azure AD manejará la autenticación federada con ADFS, pero esto complicaría mucho el proceso de inicio de sesión y haría más difícil su administración y solución de problemas. Además, agregar ADFS significa agregar un punto potencial de falla, como en "si ADFS no funciona, no podrá iniciar sesión en nada" (razón por la cual ADFS generalmente se implementa con al menos una granja de dos servidores). .
Nota al margen: no "migra el dominio a" Autenticación ADFS "en Microsoft AD Connect"; deberá configurar una granja de ADFS real (incluido un proxy inverso para publicarla externamente) y luego configurar el dominio para la autenticación federada en Azure AD.
No conozco los detalles de su escenario, pero esto parece un poco complejo, especialmente si realmente no tiene buena experiencia con ADFS (que, sin ánimo de ofender, no parece tenerla); Si el motivo del cliente para hacer todo esto es simplemente usar su propia solución MFA, le recomiendo encarecidamente que simplemente habilite MFA de Microsoft o cambie a una de las diversas soluciones MFA en la nube que se pueden integrar con Azure AD.