Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Thomas' Tech Talk 7 - AD FS oder PTA

96 vues

Publié le

Die Authentifizierung von hybriden Identitäten kann auf ganz unterschiedliche Weise erfolgen. Wenn keine Kennwort-Hashes zu Azure AD übertragen werden sollen, stehen AD FS und PTA. In diesem Tech Talk erläutere ich die Unterschiede und welche Variante Sie bevorzugt einsetzen sollten.

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Thomas' Tech Talk 7 - AD FS oder PTA

  1. 1. AD FS oder PTA Tech Talk - 7
  2. 2. Warum gibt es AD FS und PTA? Authentifizierung in Azure AD
  3. 3. Microsoft 365 Identitäten Cloud-Identität Hybrid-Identität PTA  Mit lokalem Active Directory separate Benutzerkonten und Kennworte  AAD Connect synchronisiert Benutzer- konten und Kennwort-Hashes  Authentifizierung durch Azure AD  AAD Connect synchronisiert Benutzer- konten ohne Kennwort-Hashes  Authentifizierung durch AD FS oder PTA  Abhängigkeit zur lokalen Infrastruktur
  4. 4. Was sind AD FS und PTA?
  5. 5. AD FS  AD FS  Active Directory Federation Services  AD FS ermöglicht die Authentifizierung eines Anwenders im Unternehmensnetzwerk zur Nutzung einer Applikation im gleichen oder einem anderen Netzwerk  Bereitstellung eines Secure Token Service (STS)  Ausstellung von Authentifizierungs-Token erfolgt durch einen AD FS-Server im Unternehmensnetzwerk  Nutzung eines Authentifizierungs-Tokens zur Anmeldung an die Ziel-Applikation  Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors  Interne Applikationen, z.B. SharePoint Server, Exchange Server, Jira  Anbindung der Applikationen als Relying Party Trust  Jede Applikation wird als separate Relying Party konfiguriert  Microsoft 365 über Azure AD als eine Einheit konfiguriert  Windows Server Funktionsrolle, verfügbar seit Windows Server 2003R2
  6. 6. AD FS  Beispiel AD FS Relying Party Trusts
  7. 7. PTA  PTA  Pass-Through Authentifizierung  PTA authentifiziert einen Anwender im Auftrag von Azure AD gegen lokale Domain Controller  Ausstellung des Authentifizierungs-Tokens durch Azure AD  Nutzung eines Authentifizierungs-Tokens für die gewünschte Ziel-Applikation  Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors  Interne Applikationen  Konfiguration vertrauter Unternehmensapplikationen erfolgt im Azure AD  Seamless Single-Sign-On
  8. 8. PTA  Unterstütze Einsatzszenarien für Benutzeranmeldungen  Webbrowser-basierte Anwendungen  Outlook-Clients mit älteren Protokollen, z.B. ActiveSync, SMTP, POP und IMAP  Ältere Office-Clientanwendungen  Office-Anwendungen mit moderner Authentifizierung  Versionen Office 2013 und neuer  Ältere Protokollanwendungen, z.B. PowerShell Version 1.0  Azure AD-Joins für Windows 10-Geräte  App-Kennwörter für Multi-Faktor Authentifizierung  Limitierungen  Erkennung von Anwendern mit kompromittierten Anmeldeinformationen (Azure AD Funktion)  Azure AD Domain Services erfordern die Kennwort-Hash Synchronisation  Keine Integration in Azure AD Connect Health
  9. 9. AD FS und PTA Technische Unterschiede
  10. 10. ADFS-Farm Internes Netzwerk AD FS vs. PTA Erforderliche Komponenten AD FS PTA Internes Netzwerk Perimeter Netzwerk Perimeter Netzwerk PTAPTAPTA Öffentliche IP-Adresse Hostname, z.B. adfs.contoso.com TLS-Zertifikat
  11. 11. AD FS vs. PTA Erforderliche Komponenten  Azure AD Connect  Optionaler Kennwort-Hash Sync (PHS)  AD FS-Farm  2 AD FS Server  2 AD FS Proxy-Server  Öffentliche IP-Adresse  Hostname für STS-Endpunkt  Split-DNS Konfiguration mit identischem Namen in interner und externer DNS-Zone  Öffentliches TLS-Zertifikat für STS- Endpunkt  Azure AD Connect  Aktivierte Pass-Through Authentifizierung  Optionaler Kennwort-Hash Sync  PTA-Agent 1 auf AAD Connect Server  Weitere PTA-Agenten für bessere Verfügbarkeit  Nutzung von mindestens drei PTA- Agenten AD FS PTA
  12. 12. AD FS oder PTA Empfehlung  Erste Wahl ist immer Pass-Through Authentifizierung  Nutzen Sie AD FS, wenn Sie besondere Anforderungen für Federation-basierte Authentifizierung haben  Nutzen Sie den Entscheidungsbaum zur Auswahl der passenden Authentifizierungsmethode  Wenn Sie bereits AD FS einsetzen, prüfen Sie die Möglichkeit, auf PTA zu wechseln
  13. 13. Thomas Stensitzki Enterprise Consultant | Geschäftsführer Granikos GmbH & Co. KG MVP | Office Apps & Services Twitter: @Stensitzki LinkedIn: https://linkedin.com/in/thomasstensitzki Blog DE: http://Blog.Granikos.eu Blog EN: http://JustCantGetEnough.Granikos.eu MVP Blog: https://blogs.msmvps.com/thomastechtalk Tech Talk Übersicht: http://TechTalk.Granikos.eu Tech Talk Themenwünsche: https://go.granikos.eu/TTTUmfrage Bücheranklicken–mehrerfahren Thomas‘ Tech Talk wird aufgezeichnet mit Camtasia
  14. 14. User sign-in with Azure Active Directory Pass-through Authentication Azure Active Directory Pass-through Authentication: Current limitations Migrate from AD FS to Pass-through Authentication (.docx Download) Microsoft 365 identity models and Azure Active Directory Choose the right authentication method for your Azure Active Directory hybrid identity solution Ressourcen Links

×