badger
Goto Top

Hilfe bei Einrichtung von AD FS

Hallo Leute,

ich brauche mal wieder euren Rat.

Infrastruktur ist ein lokales AD und Exchange Online. Abgleich soll mittels Azure AD Connect gemacht werden.
Die User selbst verwenden Smartcards für die Anmeldung an der Domaine. Daher ist es nun auch angedacht, AD FS für die Authentifizierung einzurichten.

Hier nun gleich die erste Frage: Hat wer Erfahrungen mit AD FS im Zusammenhang mit Smartcards? Klappt das so, wie ich mir das vorstelle?

Für die Installation/Einrichtung von AD FS habe ich diese Anleitung gefunden.
Ich hänge hier nun aber bei den Zertifikaten.
Denn lt. dieser Anleitung (klick und klick) kommuniziert AD FS nur intern. Sprich ich brauche auch nur ein internes Zertifikat.
Hier steht aber leider genau das Gegenteil.

Kann mir wer sagen, was denn da nun stimmt?
Wer hat damit schon Erfahrungen?

Besten Dank für eure Hilfe
Patrick

Content-Key: 438947

Url: https://administrator.de/contentid/438947

Printed on: December 3, 2022 at 20:12 o'clock

Member: falscher-sperrstatus
falscher-sperrstatus Apr 10, 2019 at 12:42:32 (UTC)
Goto Top
Ich zitiere mal

ADFS (Active Directory Federation Services) ist eine Software von Microsoft, mit deren Hilfe sich User über Organisationsgrenzen hinweg per Single > Sign-on an unterschiedlichen Services anmelden können. ADFS nutzt hierfür die Benutzerverwaltung des Active Directories (AD).

würde das Sinn machen, wenn es nur intern ginge?

Aber ob das bei euch Sinn macht hängt von der Gesamtstruktur ab.

VG
Member: Badger
Badger Apr 10, 2019 at 12:53:11 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:
würde das Sinn machen, wenn es nur intern ginge?

Mich hat diesbezüglich die Grafik von MS ziemlich verunsichert.

Aber anhand deiner Schreibweise deute ich: AD FS muss extern erreichbar sein = externes Zertifikat?

Bez. Smartcard: hast du hier Erfahrungen? Bzw. funktioniert das dann auch wirklich so, dass sich die User mit der Smartcard dann z.b. in Exchange Online anmelden können?

Grüße
Patrick
Member: Badger
Badger Apr 11, 2019 at 05:55:13 (UTC)
Goto Top
Hier habe ich nun eine bessere Anleitung gefunden. Damit wird das mit dem Zertifikat etwas klarer.

Sollte wer Erfahrungen bez. AD FS und Smartcards haben: nur her damit face-smile

Grüße
Patrick
Member: Dani
Dani Apr 11, 2019 updated at 14:19:21 (UTC)
Goto Top
Moin,
Infrastruktur ist ein lokales AD und Exchange Online. Abgleich soll mittels Azure AD Connect gemacht werden.
grundsätzlich ist mit Azure AD Connect kein Microsoft AD FS mehr notwendig. Mit den Verfahren Password Hash Sync und Pass-Through Authentifizierung hat Microsoft endlich auch für kleine Unternehmen einen vernüftigen Weg gefunden.

Die User selbst verwenden Smartcards für die Anmeldung an der Domaine. Daher ist es nun auch angedacht, AD FS für die Authentifizierung einzurichten.
Hm, da kommt ich nicht mit. Wenn sich der Benutzer an einem Rechner pe Smartcard anmeldet, warum möchtest du anschließend am Exchange Online nochmals eine Authentifizierung durchführen?

Aber anhand deiner Schreibweise deute ich: AD FS muss extern erreichbar sein = externes Zertifikat?
Nein! Bitte nie nie nie den Server mit der AD FS Rolle im Internet veröffentlichen! Für die Erreichbarkeit nutzt man einen Reverse Proxy. Es gibt es die Rolle Web Application Proxy (WAP). Diese wird meist auf einem (v) Server in der DMZ (Arbeitsgruppe) bereitgestellt. Wichtig ist, dass der WAP-Server dem Zertifikatsausteller des Zertifikats auf dem AD FS-Server vertraut. Ansonsten funktioniert das Konstrukt gar nicht. Der WAP-Server kann dann aus dem Internet erreichbar sein.

Sollte wer Erfahrungen bez. AD FS und Smartcards haben:
Je nachdem welche 3rd Party Software ihr für Smartcard Authentifizierung einsetzte, gibt es meist ein Plugin für AD FS. face-smile


@certifiedit.net
würde das Sinn machen, wenn es nur intern ginge?
Das hängt von ein paar Details ab. Geht es ihm ausschließlich um die Authenfizierungsanfragen aus dem LAN zu Exchange Online, so ist's richtig gedacht. Geht es aber um Authentifizierungsanfragen vom Internet (z.B Home Office) an einen internen oder externen Service, so muss der Token als auch Dienst geroutet werden können.


Gruß,
Dani
Member: Badger
Badger Apr 11, 2019 at 13:08:27 (UTC)
Goto Top
Hallo Dani,

Danke für deine Rückmeldung.

Hm, da kommt ich nicht mit. Wenn sich der Benutzer an einem Rechner pe Smartcard anmeldet, warum möchtest du anschließend am Exchange Online nochmals eine Authentifizierung durchführen?
Mir geht es eher um die Möglichkeit, wenn jemand z.b. HomeOffice macht und Zuhause seine Mails abrufen will.

Nein! Bitte nie nie nie den Server mit der AD FS Rolle im Internet veröffentlichen! Für die Erreichbarkeit nutzt man einen Reverse Proxy. Es gibt es die Rolle Web Application Proxy (WAP). Diese wird meist auf einem (v) Server in der DMZ (Arbeitsgruppe) bereitgestellt. Wichtig ist, dass der WAP-Server dem Zertifikatsausteller des Zertifikats auf dem AD FS-Server vertraut. Ansonsten funktioniert das Konstrukt gar nicht. Der WAP-Server kann dann aus dem Internet erreichbar sein.
Das ist mir seit dieser Grafik auch klar. Für mich war das einfach komisch, da die Grafik von MS einfach was anderes darstellt.

Je nachdem welche 3rd Party Software ihr für Smartcard Authentifizierung einsetzte, gibt es meist ein Plugin für AD FS. face-smile
Wir nutzen für die Smartcard Authentifizierung keine Drittanbietersoftware. Alles mit MS-Bordmitteln gelöst.

Grüße
Patrick
Member: Dani
Dani Apr 11, 2019 updated at 14:56:32 (UTC)
Goto Top
Moin,
Wir nutzen für die Smartcard Authentifizierung keine Drittanbietersoftware. Alles mit MS-Bordmitteln gelöst.
Okay, meine Erfahrungen damit sind schon 3-4 Jahre her. Damals mit externen Zugriff immer wieder Ärger gehabt (Betriebssystem, verschiedene Smartcard Reader, etc...). Daher sind wir auf OTP-Tokens umgestiegen. Diese funktionieren einfach unabhängig vom Gerät.

Theoretisch
- AD FS und WAP einrichten und konfigurieren (Zertifikate ausrollen, Firewalls anpassen, veröffentlichen im Internet, etc..)
- Funktionalität mit Claims X-Ray testen.
- Relaying Party Trust für Exchange Online einrichten.
- Anwendung ohne MFA (Smartcard) testen.
- Für Relaying Party Trust die Authentification Policy (MFA) entsprechend für intern und/oder extern Smartcard aktivieren.
- Abschließend nochmals testen.

Ist eine Sache (Planen, Installation, Konfiguration, Testen, Dokumentieren) von 4-5 Werktagen.


Gruß,
Dani
Member: Badger
Badger Apr 11, 2019 at 14:17:00 (UTC)
Goto Top
Besten Dank für deine Ausführung!