Estamos tendo um cliente com a seguinte configuração.
onPrem Active Directory com Azure AD Connect e Password Hash Sync (PHS), incluindo ativação de SSO
SSO para todos os aplicativos M365
Integração de cerca de 15 Cloud Apps externas diferentes, que confiam no relacionamento com o Azure para usar SSO no navegador
Agora, o cliente deseja migrar para a autenticação ADFS, a fim de utilizar a solução onPrem MFA para todos os seus aplicativos no futuro. Então, o que acontece se alterarmos o método "Login do usuário" no Azure AD Connect para longe do PHS incl. SSO para "Federação com ADFS"? Encontrei a seguinte postagem:Combine ADFS e Azure AD para autenticação - Perguntas e Respostas da Microsoftonde o usuário "amanpreetsingh-msft" descreve o fluxo de comunicação. Mas como temos uma configuração um pouco diferente, não tenho certeza se esse fluxo de comunicação também se aplica a nós. O SSO ainda funcionaria automaticamente? E o que precisamos levar em consideração em relação às duas abordagens diferentes de SSO: “PRT SSO” e “Seamless SSO”. Atualmente não sabemos que tipo de SSO o cliente usa.
Também encontrei o seguinte fluxo de comunicação:SSO2 Mas não cobre totalmente nossa configuração. Como não encaminhamos nenhum ticket Kerberos para o Azure AD. Nossa constelação envolve SAML, declarações de entrada e saída, uma relação de confiança entre o Azure e um provedor de serviços (em vez de ADFS diretamente), algum tipo de token SSO dentro da tecnologia "PRT SSO" ou "Seamless SSO". Como seria o fluxo de comunicação no nosso caso?
Ou poderia ser uma abordagem melhor para "migrar" as relações de confiança entre os Aplicativos e o Azure do Azure para o ADFS, um por um?
Obrigado pela ajuda!
Responder1
Depende da aplicação, mas o cenário mais provável é que terá de configurar todas as aplicações para utilizar uma confiança ADFS em vez de uma confiança AD AZure.
Isso épossívelque alguns aplicativos podem simplesmente continuar a usar relações de confiança do Azure AD e, em seguida, o Azure AD lidará com a autenticação federada com o ADFS, mas isso complicaria muito o processo de login e tornaria mais difícil o gerenciamento e a solução de problemas. Além disso, adicionar ADFS significa adicionar um ponto potencial de falha, como em "se o ADFS não funcionar, você não conseguirá fazer logon em nada" (é por isso que o ADFS geralmente é implementado com pelo menos um farm de dois servidores) .
Observação lateral: você não "migra o domínio para" Autenticação ADFS "no Microsoft AD Connect"; você precisará configurar um farm ADFS real (incluindo um proxy reverso para publicá-lo externamente) e, em seguida, configurar o domínio para autenticação federada no Azure AD.
Não conheço os detalhes do seu cenário, mas isso parece um pouco complexo, especialmente se você realmente não tem uma boa experiência com ADFS (que, sem intenção de ofender, você parece não ter); se o motivo do cliente para fazer tudo isso for simplesmente usar sua própria solução de MFA, recomendo fortemente que ele habilite apenas o MFA da Microsoft ou mude para uma das várias soluções de MFA em nuvem que podem ser integradas ao Azure AD.