Миграция с проверки подлинности Azure AD SSO на ADFS

У нас есть клиент со следующей настройкой.

• onPrem Active Directory с Azure AD Connect и синхронизацией хэшей паролей (PHS), включая активацию единого входа

• Система единого входа для всех приложений M365

• Интеграция около 15 различных внешних облачных приложений, которые доверяют отношениям с Azure для использования единого входа в браузере.

Теперь клиент хочет перейти на аутентификацию ADFS, чтобы в будущем использовать решение onPrem MFA для всех своих приложений. Итак, что произойдет, если мы изменим метод «Вход пользователя» в Azure AD Connect с PHS, вкл. Единый вход в «Федерацию с ADFS»? Я нашел следующий пост: Совмещайте ADFS и Azure AD для проверки подлинности — Microsoft Q&A где пользователь "amanpreetsingh-msft" описывает поток связи. Но так как у нас немного другая установка, я не уверен, применим ли этот коммуникационный поток и к нам. Будет ли SSO по-прежнему работать автоматически? И что нам нужно учитывать в отношении двух разных подходов к SSO: «PRT SSO» и «Seamless SSO». В настоящее время мы не знаем, какой тип SSO использует клиент.

Я также нашел следующий поток связи: SSO2 Но это не полностью покрывает нашу установку. Поскольку мы не пересылаем билеты Kerberos в Azure AD. Наше созвездие включает в себя SAML, входящие и исходящие заявки, доверие между Azure и поставщиком услуг (вместо непосредственно ADFS), своего рода токен единого входа в рамках технологии «PRT SSO» или «Seamless SSO».Как будет выглядеть коммуникативный поток в нашем случае?

Или может быть лучше «перенести» доверительные отношения между приложениями и Azure из Azure в ADFS один за другим?

Спасибо за вашу помощь!

Это зависит от приложения, но наиболее вероятный сценарий заключается в том, что вам придется настроить все приложения на использование доверия ADFS вместо доверия Azure AD.

Это возможное что некоторые приложения могут просто продолжать использовать доверительные отношения Azure AD, а затем Azure AD будет обрабатывать федеративную аутентификацию с помощью ADFS, но это значительно усложнит процесс входа в систему и затруднит управление им и устранение неполадок. Кроме того, добавление ADFS означает добавление потенциальной точки отказа, например, «если ADFS не работает, вы не сможете войти ни на что» (именно поэтому ADFS обычно реализуется как минимум с фермой из двух серверов). .

Примечание: вы не «переносите домен на «Аутентификацию ADFS» в Microsoft AD Connect»; вам потребуется настроить фактическую ферму ADFS (включая обратный прокси-сервер для ее внешней публикации), а затем настроить домен для федеративной проверки подлинности в Azure AD.

Я не знаю специфики вашего сценария, но это кажется довольно сложным, особенно если у вас действительно нет хорошего опыта работы с ADFS (которого, без обид, у вас, похоже, нет); если клиент делает все это просто для того, чтобы использовать собственное решение MFA, я настоятельно рекомендую ему просто включить MFA от Microsoft или переключиться на одно из различных облачных решений MFA, которые можно интегрировать с Azure AD.