Di chuyển từ xác thực Azure AD SSO sang ADFS

Chúng tôi đang có một khách hàng với thiết lập sau.

• onPrem Active Directory với Azure AD Connect và Password Hash Sync (PHS) bao gồm kích hoạt SSO

• SSO cho tất cả các ứng dụng M365

• Tích hợp khoảng 15 ứng dụng đám mây bên ngoài khác nhau, có mối quan hệ tin cậy với Azure để sử dụng SSO trong trình duyệt

Giờ đây, khách hàng muốn chuyển sang xác thực ADFS để sử dụng giải pháp onPrem MFA cho tất cả các ứng dụng của mình trong tương lai. Vì vậy, điều gì sẽ xảy ra nếu chúng tôi thay đổi phương thức "Đăng nhập của người dùng" trong Azure AD Connect mà không bao gồm PHS. SSO thành "Liên kết với ADFS"? Tôi đã tìm thấy bài viết sau: Kết hợp ADFS và Azure AD để xác thực - Microsoft Q&A nơi người dùng " amanpreetsingh-msft" mô tả luồng giao tiếp. Nhưng vì chúng tôi có cách thiết lập hơi khác nên tôi không chắc liệu luồng liên lạc này có áp dụng cho chúng tôi hay không. SSO có còn tự động hoạt động không? Và chúng ta cần tính đến điều gì liên quan đến hai cách tiếp cận SSO khác nhau: "PRT SSO" và "SSO liền mạch". Chúng tôi hiện không biết khách hàng sử dụng loại SSO nào.

Tôi cũng đã tìm thấy luồng giao tiếp sau: SSO2 Nhưng nó không bao gồm đầy đủ thiết lập của chúng tôi. Vì chúng tôi không chuyển tiếp bất kỳ vé kerberos nào tới Azure AD. Chòm sao của chúng tôi liên quan đến SAML, khiếu nại đến và đi, sự tin tưởng giữa Azure và Nhà cung cấp dịch vụ (thay vì ADFS trực tiếp) một số loại mã thông báo SSO trong công nghệ "PRT SSO" hoặc "SSO liền mạch".Luồng giao tiếp sẽ như thế nào trong trường hợp của chúng ta?

Hoặc đó có thể là một cách tiếp cận tốt hơn để "di chuyển" sự tin cậy giữa Ứng dụng và Azure từ Azure sang ADFS từng cái một?

Cảm ơn bạn đã giúp đỡ!

Điều này tùy thuộc vào ứng dụng, nhưng trường hợp rất có thể xảy ra là bạn sẽ phải định cấu hình tất cả các ứng dụng để sử dụng ủy thác ADFS thay vì ủy thác Azure AD.

Của nó khả thi rằng một số ứng dụng có thể chỉ cần tiếp tục sử dụng Azure AD Trust và sau đó Azure AD sẽ xử lý xác thực có liên kết với ADFS, nhưng điều này sẽ làm phức tạp quá trình đăng nhập rất nhiều và gây khó khăn hơn cho việc quản lý cũng như khắc phục sự cố. Ngoài ra, thêm ADFS có nghĩa là thêm một điểm lỗi tiềm ẩn, chẳng hạn như "nếu ADFS không hoạt động, bạn sẽ không thể đăng nhập vào bất cứ thứ gì" (đó là lý do tại sao ADFS thường được triển khai với ít nhất một nhóm hai máy chủ) .

Lưu ý bên lề: bạn không "di chuyển miền sang" Xác thực ADFS "trong Microsoft AD Connect"; bạn sẽ cần thiết lập nhóm ADFS thực tế (bao gồm proxy ngược để xuất bản nhóm đó ra bên ngoài) rồi định cấu hình miền để xác thực có liên kết trong Azure AD.

Tôi không biết chi tiết cụ thể về kịch bản của bạn, nhưng điều này có vẻ hơi phức tạp, đặc biệt nếu bạn không thực sự có kinh nghiệm tốt với ADFS (dường như bạn không có ý định xúc phạm); nếu lý do của khách hàng để thực hiện tất cả những điều này chỉ đơn giản là sử dụng giải pháp MFA của riêng họ, thì tôi thực sự khuyên họ chỉ nên kích hoạt MFA của Microsoft hoặc chuyển sang một trong các giải pháp MFA trên đám mây khác nhau có thể được tích hợp với Azure AD.