Richten Sie einen ADFS-Server zum Verwalten von Office 365-Identitäten ein

Office 365 ermöglicht verschiedene Identitätsverwaltungsoptionen, von denen jede ihre Vorzüge hat. Schauen wir uns eine Option an – Active Directory-Verbunddienste -, um besser zu verstehen, wie es funktioniert und wie es installiert wird.

Active Directory-Verbunddienste (ADFS) wird in Kombination mit Office 365 verwendet, um ein Szenario zu erstellen, in dem Sie Verbundidentitäten verwenden, die auch als Single Sign-On bezeichnet werden. Verbundidentitäten sind Benutzerkonten in Office 365.

Im Gegensatz zu Cloud-Identitäten oder regulären synchronisierten Identitäten werden diese Identitäten über eine ADFS-Serverinfrastruktur anstelle von Windows Azure Active Directory bei einem lokalen Active Directory authentifiziert. Dies bedeutet, dass sich Endbenutzer mit ihren lokalen Anmeldeinformationen bei Office 365 anmelden.

Um zu verstehen, wie ADFS funktioniert, schauen wir uns an, was passiert, wenn ein Verbundbenutzer versucht, sich anzumelden Büro 365 (Abbildung 1):

Der ADFS-Ratenprozess

Die Installation von ADFS besteht aus drei Schritten:
1. Aktivieren und einrichten Sie die Verzeichnissynchronisierung. Dadurch wird sichergestellt, dass lokale Endbenutzerkonten in einem konsistenten Zustand mit Office 365 synchronisiert werden.
2. Stellen Sie sicher, dass Ihre lokalen Endbenutzerkonten mit einem über das Internet routbaren UPN konfiguriert sind. Dies bedeutet, dass Sie keinen UPN verwenden können, der verwendet .lokal, .corp oder ein anderer interner Domainname. Die von Ihnen verwendeten Domainnamen müssen auch in Ihrem Mandanten konfiguriert und überprüft werden. Beispielsweise, [email protected] wäre ein ungültiger UPN, aber [email protected] wäre gültig.
3. Konfigurieren Sie über PowerShell eine Vertrauensbeziehung zwischen Ihrer lokalen ADFS-Infrastruktur und Office 365 – vorausgesetzt, Sie haben bereits einen Server mit der ADFS-Serverrolle bereitgestellt.

Vorsichtsmaßnahmen und Überlegungen für eine ADFS-Rate

Bei der Bereitstellung von ADFS sind einige wichtige Punkte zu beachten:
Voraussetzungen. Seien Sie vorsichtig, wenn Sie ein Internet-Routing verwenden Domainname für den UPN Ihres Benutzers. Das Erstellen neuer UPNs ist relativ einfach und hat normalerweise nur geringe Auswirkungen. In Ihrem Unternehmen werden jedoch möglicherweise Anwendungen mit fest codierten Referenz-UPNs verwendet. Überprüfen Sie dies, um sicherzustellen, dass ADFS mit Office 365 funktioniert.
Hohe Verfügbarkeit. Sobald Sie ADFS konfiguriert haben, wird die Hochverfügbarkeit äußerst kritisch. Wenn Ihre ADFS-Infrastruktur nicht verfügbar ist, können sich Endbenutzer nicht bei Office 365-Diensten anmelden. Stellen Sie sicher, dass Ihre Infrastruktur hoch verfügbar ist, um Probleme zu vermeiden.
Das Konfigurieren von ADFS als redundant ist einfach. Anstatt während des Setups einen eigenständigen Verbundserver auszuwählen, sollten Sie eine Verbundserverfarm ausführen. Die Installation einer ADFS-Farm hat jedoch ihre eigenen Überlegungen.
Windows Interne Datenbank oder SQL? ADFS wird mit einem installiert Interne Windows-Datenbank Standardmäßig ist dies für die meisten Unternehmen in Ordnung. Sie können eine ADFS-Farm auch mithilfe der internen Windows-Standarddatenbank konfigurieren. Der erste Server wird automatisch als primärer ADFS-Server festgelegt. Nachfolgende Server, die Sie der Farm hinzufügen, rufen automatisch Konfigurationsinformationen vom Primärserver ab und setzen dies alle paar Minuten fort.
Der Nachteil dieses Ansatzes ist, dass Sie nur maximal fünf Server in der Farm haben. Wenn der primäre ADFS-Server ausfällt, können Sie keine ADFS-Konfigurationsänderungen vornehmen, bis er wieder online ist. Andere ADFS-Server werden weiterhin Serviceanforderungen bearbeiten. Dies kann sich jedoch als schwierig erweisen, insbesondere wenn der Primärserver nicht mehr repariert werden kann.
Alternativ zur internen Windows-Datenbank können Sie auch a verwenden SQL-Datenbank für ADFS. Dies erfordert einige zusätzliche Arbeiten während des Setups, aber Sie können SQL für nutzen hohe Verfügbarkeitund es gibt keine primären oder sekundären ADFS-Server in der Farm. Die Verwendung von SQL bedeutet auch, dass Sie mehr als fünf Server in einer Farm haben und zusätzliche ADFS-Funktionen wie z SAML Artefaktauflösung; Diese Funktion wird in Office 365 nicht verwendet, kann jedoch wichtig sein, wenn Sie ADFS mit anderen Anwendungen verwenden möchten.
Topologien. Ein weiterer wichtiger Teil des Puzzles ist die Auswahl des Aussehens Ihrer ADFS-Topologie. Sie sollten ADFS in mehreren Rechenzentren bereitstellen, um sicherzustellen, dass es hoch verfügbar ist. Wenn Sie dies nicht können, können Sie Ihre Internetverbindung deaktivieren. Da einige Organisationen möglicherweise keinen zweiten Standort haben, können Sie Rechenzentren von Drittanbietern oder sogar verwenden Infrastruktur als ein Service Anbieter wie Windows Azure, um einen Teil Ihrer ADFS-Infrastruktur zu hosten.
Lastverteilung. Die Auswahl der richtigen Lastausgleichsoptionen ist ebenfalls wichtig. Obwohl ADFS mit arbeiten kann DNS Round Robin bietet dieser Lastausgleichsmechanismus nur einen begrenzten Wert, wenn einer der ADFS-Proxyserver ausfällt. In diesem Fall ist ein manueller Eingriff erforderlich, um den DNS-Eintrag für den ausgefallenen Server zu entfernen. Clients müssen entweder warten, bis die TTL des Datensatzes abläuft, oder sie müssen ihren DNS löschen Zwischenspeicher manuell. Der Lastausgleich mit einem Tool, das die erforderlichen Integritätsprüfungen durchführen kann, ist besser, erfordert jedoch die Einrichtung redundanter virtueller Geräte. Dies wird wahrscheinlich mehr kosten und komplexer zu verwalten sein.
Klicken Sie hier, um den zweiten Teil dieses Artikels zu lesen, in dem die typischen Vorgänge im Zusammenhang mit der Verwendung von ADFS und die Fehlerbehebung beschrieben werden.
Über den Autor:
Michael Van Horenbeeck ist ein Technologieberater, Microsoft Certified Trainer und Exchange MVP aus Belgien, der hauptsächlich mit Exchange Server, Office 365, Active Directory und etwas Lync arbeitet. Er ist seit 12 Jahren in der Branche tätig und ein häufiger Blogger, Mitglied der belgischen Unified Communications-Benutzergruppe Pro-Exchange und regelmäßiger Mitarbeiter von The UC Architects
Podcast.

Similar Posts

Leave a Reply