เรามีลูกค้าที่มีการตั้งค่าต่อไปนี้
onPrem Active Directory พร้อม Azure AD Connect และ Password Hash Sync (PHS) รวมถึงการเปิดใช้งาน SSO
SSO สำหรับแอป M365 ทั้งหมด
การรวมแอปคลาวด์ภายนอกประมาณ 15 รายการซึ่งเชื่อถือความสัมพันธ์กับ Azure เพื่อใช้ SSO ในเบราว์เซอร์
ตอนนี้ ลูกค้าต้องการย้ายไปยังการรับรองความถูกต้องของ ADFS เพื่อใช้โซลูชัน onPrem MFA สำหรับแอปทั้งหมดของเขาในอนาคต แล้วจะเกิดอะไรขึ้นหากเราเปลี่ยนวิธี "ลงชื่อเข้าใช้ของผู้ใช้" ใน Azure AD Connect ให้ห่างจาก PHS รวมถึง SSO เป็น "สหพันธ์กับ ADFS"? ฉันพบโพสต์ต่อไปนี้: ผสม ADFS และ Azure AD สำหรับการรับรองความถูกต้อง - Microsoft Q&A โดยที่ผู้ใช้ " amanpreetsingh-msft" อธิบายขั้นตอนการสื่อสาร แต่เนื่องจากเรามีการตั้งค่าที่แตกต่างกันเล็กน้อย ฉันไม่แน่ใจว่าขั้นตอนการสื่อสารนี้มีผลกับเราด้วยหรือไม่ SSO จะยังคงทำงานโดยอัตโนมัติหรือไม่ และเราต้องคำนึงถึงอะไรบ้างเกี่ยวกับแนวทาง SSO ที่แตกต่างกันสองแนวทาง ได้แก่ "PRT SSO" และ "Seamless SSO" ขณะนี้เราไม่ทราบว่าลูกค้าใช้ SSO ประเภทใด
ฉันยังพบขั้นตอนการสื่อสารต่อไปนี้: สปส.2 แต่ยังไม่ครอบคลุมการตั้งค่าทั้งหมดของเรา เนื่องจากเราไม่ส่งต่อตั๋ว Kerberos ไปยัง Azure AD กลุ่มภาพของเราเกี่ยวข้องกับ SAML การอ้างสิทธิ์ขาเข้าและขาออก ความไว้วางใจระหว่าง Azure และผู้ให้บริการ (แทนที่จะเป็น ADFS โดยตรง) โทเค็น SSO บางประเภทภายในเทคโนโลยี "PRT SSO" หรือ "Seamless SSO"กระแสการสื่อสารจะมีลักษณะอย่างไรในกรณีของเรา
หรืออาจเป็นแนวทางที่ดีกว่าในการ "โอนย้าย" ความน่าเชื่อถือระหว่างแอปพลิเคชันและ Azure ออกจาก Azure ไปยัง ADFS ทีละรายการ
ขอบคุณสำหรับความช่วยเหลือของคุณ!
ขึ้นอยู่กับแอปพลิเคชัน แต่สถานการณ์ที่เป็นไปได้มากที่สุดคือคุณจะต้องกำหนดค่าแอปทั้งหมดให้ใช้ ADFS trust แทน Azure AD trust
มันคือ เป็นไปได้ ว่าบางแอปพลิเคชันสามารถใช้ Azure AD trusts ต่อไปได้ จากนั้น Azure AD จะจัดการการรับรองความถูกต้องแบบรวมศูนย์ด้วย ADFS แต่สิ่งนี้จะทำให้กระบวนการเข้าสู่ระบบซับซ้อนขึ้นมาก และทำให้จัดการและแก้ไขปัญหาได้ยากขึ้น นอกจากนี้ การเพิ่ม ADFS ยังหมายถึงการเพิ่มจุดที่อาจเกิดความล้มเหลว ดังเช่นใน "หาก ADFS ใช้งานไม่ได้ คุณจะไม่สามารถเข้าสู่ระบบใดๆ ได้" (ซึ่งเป็นสาเหตุที่ ADFS มักจะติดตั้งกับฟาร์มอย่างน้อยสองเซิร์ฟเวอร์) .
หมายเหตุด้านข้าง: คุณไม่ "ย้ายโดเมนไปยัง "ADFS Authentication" ใน Microsoft AD Connect" คุณจะต้องตั้งค่าฟาร์ม ADFS จริง (รวมถึงพร็อกซีย้อนกลับสำหรับการเผยแพร่ภายนอก) จากนั้นกำหนดค่าโดเมนสำหรับการรับรองความถูกต้องแบบรวมศูนย์ใน Azure AD
ฉันไม่ทราบรายละเอียดเฉพาะของสถานการณ์ของคุณ แต่ดูเหมือนว่าจะค่อนข้างซับซ้อน โดยเฉพาะอย่างยิ่งหากคุณไม่มีประสบการณ์ที่ดีกับ ADFS (ซึ่งคุณไม่ได้มีเจตนากระทำผิด) หากเหตุผลของลูกค้าในการทำทั้งหมดนี้เพียงเพื่อใช้โซลูชัน MFA ของตนเอง ฉันขอแนะนำอย่างยิ่งให้ลูกค้าเปิดใช้งาน MFA ของ Microsoft หรือเปลี่ยนไปใช้โซลูชัน MFA บนระบบคลาวด์ตัวใดตัวหนึ่งที่สามารถรวมเข้ากับ Azure AD ได้
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
