Migrarea de la autentificarea SSO Azure AD la ADFS

VJSpeter

30.12.2022, 16:52

Avem un client cu următoarea configurație.

onPrem Active Directory cu Azure AD Connect și Password Hash Sync (PHS), inclusiv activarea SSO
SSO pentru toate aplicațiile M365
Integrarea a aproximativ 15 aplicații cloud externe diferite, care au încredere în relația Azure pentru a utiliza SSO în browser

Acum, clientul dorește să migreze la autentificarea ADFS, pentru a utiliza soluția onPrem MFA pentru toate aplicațiile sale în viitor. Deci, ce se întâmplă dacă schimbăm metoda „User Sign-In” în Azure AD Connect departe de PHS incl. SSO la „Federație cu ADFS”? Am gasit urmatoarea postare: Combinați ADFS și Azure AD pentru autentificare - Întrebări și răspunsuri Microsoft unde utilizatorul „amanpreetsingh-msft” descrie fluxul de comunicare. Dar din moment ce avem o configurație puțin diferită, nu sunt sigur dacă acest flux de comunicare se aplică și la noi. Ar mai funcționa automat SSO? Și ce trebuie să luăm în considerare în ceea ce privește cele două abordări SSO diferite: „PRT SSO” și „Seamless SSO”. În prezent, nu știm ce tip de SSO folosește clientul.

De asemenea, am găsit următorul flux de comunicare: SSO2 Dar nu acoperă în totalitate configurația noastră. Deoarece nu trimitem niciun bilet Kerberos către Azure AD. Constelația noastră implică SAML, revendicări de intrare și de ieșire, o încredere între Azure și un furnizor de servicii (în loc de ADFS direct) un fel de jeton SSO în tehnologia „PRT SSO” sau „Seamless SSO”.Cum ar arăta fluxul de comunicare în cazul nostru?

Sau ar putea fi o abordare mai bună de a „migra” încrederile dintre aplicații și Azure de la Azure la ADFS una câte una?

Multumesc pentru ajutor!

1 + 0

adfs

saml

azureadconnect

Puncte:0

Server

Massimo

30.12.2022, 17:14

Depinde de aplicație, dar scenariul cel mai probabil este că va trebui să configurați toate aplicațiile pentru a utiliza o încredere ADFS în loc de o încredere Azure AD.

este posibil că unele aplicații pot continua să utilizeze încrederi Azure AD și apoi Azure AD se va ocupa de autentificarea federată cu ADFS, dar acest lucru ar complica foarte mult procesul de conectare și ar face mai dificil de gestionat și depanat. De asemenea, adăugarea ADFS înseamnă adăugarea unui potențial punct de eșec, ca în „dacă ADFS nu funcționează, nu te vei putea conecta la nimic” (de aceea ADFS este de obicei implementat cu cel puțin o fermă cu două servere) .

Notă secundară: nu „migrați domeniul la „Autentificare ADFS” în Microsoft AD Connect”; va trebui să configurați o fermă ADFS reală (inclusiv un proxy invers pentru publicarea externă) și apoi să configurați domeniul pentru autentificare federală în Azure AD.

Nu cunosc specificul scenariului dvs., dar acest lucru mi se pare destul de complex, mai ales dacă nu aveți o experiență bună cu ADFS (pe care, fără supărare, se pare că nu aveți); dacă motivul clientului pentru a face toate acestea este pur și simplu să-și folosească propria soluție MFA, i-aș sfătui insistent să activeze MFA Microsoft sau să treacă la una dintre diferitele soluții cloud MFA care pot fi integrate cu Azure AD.

0 + 3

VJSpeter

31.12.2022, 07:56

Multumesc Massimo, Chestia este că trebuie să înțelegem pe deplin fluxul de comunicare implicat. De ce „depinde de aplicație”? Întrebarea este de fapt: Ce se întâmplă dacă schimbăm metoda „User Sign-In” în Azure AD Connect departe de PHS incl. SSO la „Federație cu ADFS”? SSO ar funcționa în continuare cu un flux de comunicare așa cum este descris aici: „https://docs.microsoft.com/en-us/answers/questions/3484/mix-adfs-and-azure-ad-pta.html” Și cum ar arăta fluxul de comunicare?

Răspunde

Massimo

31.12.2022, 11:21

Modificarea conectării utilizatorului în ADConnect este de fapt o comandă rapidă pentru a configura ADConnect și a gestiona o fermă ADFS pentru dvs. cu setări standard (presupunând că aveți serverele necesare disponibile); acest lucru nu este absolut recomandat dacă trebuie să configurați și să reglați implementarea ADFS, așa cum pare să fie cazul dvs. (deoarece doriți să adăugați și un MFA personalizat local).

Răspunde

Massimo

31.12.2022, 11:23

Fluxul de autentificare descris în linkul dvs. este corect și, după cum puteți vedea, merge Aplicație -> Azure AD -> ADFS (potențial cu MFA) -> Azure AD -> Aplicație; la fiecare pas, *clientul* (de exemplu, un browser web) este redirecționat către următorul. Cu ADFS există un nivel suplimentar de autentificare, care *ar putea* să complice lucrurile și să rupă SSO, sau pur și simplu s-ar putea să nu.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Migrating from Azure AD SSO authentication to ADFS

TH: การโอนย้ายจากการรับรองความถูกต้อง Azure AD SSO ไปยัง ADFS

RO: Migrarea de la autentificarea SSO Azure AD la ADFS

RU: Миграция с проверки подлинности Azure AD SSO на ADFS

VI: Di chuyển từ xác thực Azure AD SSO sang ADFS

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.