У нас есть клиент со следующей конфигурацией.
onPrem Active Directory с Azure AD Connect и синхронизацией хэшей паролей (PHS), включая активацию единого входа
SSO для всех приложений M365
Интеграция около 15 различных внешних облачных приложений, которые устанавливают доверительные отношения с Azure для использования единого входа в браузере
Теперь клиент хочет перейти на аутентификацию ADFS, чтобы использовать решение OnPrem MFA для всех своих приложений в будущем. Итак, что произойдет, если мы изменим метод «Вход пользователя» в Azure AD Connect с PHS, включая SSO, на «Федерация с ADFS»? Я нашел следующий пост:Совместное использование ADFS и Azure AD для аутентификации — Microsoft Q&Aгде пользователь "amanpreetsingh-msft" описывает поток коммуникации. Но поскольку у нас немного другая настройка, я не уверен, применим ли этот поток коммуникации к нам. Будет ли SSO работать автоматически? И что нам нужно учитывать в отношении двух разных подходов SSO: "PRT SSO" и "Seamless SSO". В настоящее время мы не знаем, какой тип SSO использует клиент.
Я также обнаружил следующий поток общения:ССО2 Но это не полностью покрывает нашу настройку. Поскольку мы не пересылаем никаких билетов Kerberos в Azure AD. Наша совокупность включает SAML, входящие и исходящие заявки, доверие между Azure и поставщиком услуг (вместо ADFS напрямую), некий токен SSO в рамках технологии «PRT SSO» или «Seamless SSO». Как будет выглядеть поток связи в нашем случае?
Или, может быть, лучше будет «перенести» доверительные отношения между приложениями и Azure из Azure в ADFS по одному?
Спасибо за вашу помощь!
решение1
Это зависит от приложения, но наиболее вероятным сценарием будет настройка всех приложений на использование доверия ADFS вместо доверия Azure AD.
Еговозможныйчто некоторые приложения могут просто продолжать использовать доверительные отношения Azure AD, и тогда Azure AD будет обрабатывать федеративную аутентификацию с ADFS, но это значительно усложнит процесс входа и сделает его более сложным для управления и устранения неполадок. Кроме того, добавление ADFS означает добавление потенциальной точки отказа, например, «если ADFS не работает, вы не сможете войти ни во что» (именно поэтому ADFS обычно реализуется как минимум с фермой из двух серверов).
Примечание: вам не нужно «переносить домен на «аутентификацию ADFS» в Microsoft AD Connect»; вам нужно будет настроить фактическую ферму ADFS (включая обратный прокси-сервер для ее внешней публикации), а затем настроить домен для федеративной аутентификации в Azure AD.
Я не знаю подробностей вашего сценария, но это кажется довольно сложным, особенно если у вас нет большого опыта работы с ADFS (которого, без обид, у вас, похоже, нет); если причина, по которой клиент делает все это, заключается в том, чтобы просто использовать свое собственное решение MFA, я бы настоятельно рекомендовал ему просто включить MFA от Microsoft или перейти на одно из различных облачных решений MFA, которые можно интегрировать с Azure AD.