7
Hilfe bei Einrichtung von AD FS
Hallo Leute,
ich brauche mal wieder euren Rat.
Infrastruktur ist ein lokales AD und Exchange Online. Abgleich soll mittels Azure AD Connect gemacht werden.
Die User selbst verwenden Smartcards für die Anmeldung an der Domaine. Daher ist es nun auch angedacht, AD FS für die Authentifizierung einzurichten.
Hier nun gleich die erste Frage: Hat wer Erfahrungen mit AD FS im Zusammenhang mit Smartcards? Klappt das so, wie ich mir das vorstelle?
Für die Installation/Einrichtung von AD FS habe ich diese Anleitung gefunden.
Ich hänge hier nun aber bei den Zertifikaten.
Denn lt. dieser Anleitung (klick und klick) kommuniziert AD FS nur intern. Sprich ich brauche auch nur ein internes Zertifikat.
Hier steht aber leider genau das Gegenteil.
Kann mir wer sagen, was denn da nun stimmt?
Wer hat damit schon Erfahrungen?
Besten Dank für eure Hilfe
Patrick
ich brauche mal wieder euren Rat.
Infrastruktur ist ein lokales AD und Exchange Online. Abgleich soll mittels Azure AD Connect gemacht werden.
Die User selbst verwenden Smartcards für die Anmeldung an der Domaine. Daher ist es nun auch angedacht, AD FS für die Authentifizierung einzurichten.
Hier nun gleich die erste Frage: Hat wer Erfahrungen mit AD FS im Zusammenhang mit Smartcards? Klappt das so, wie ich mir das vorstelle?
Für die Installation/Einrichtung von AD FS habe ich diese Anleitung gefunden.
Ich hänge hier nun aber bei den Zertifikaten.
Denn lt. dieser Anleitung (klick und klick) kommuniziert AD FS nur intern. Sprich ich brauche auch nur ein internes Zertifikat.
Hier steht aber leider genau das Gegenteil.
Kann mir wer sagen, was denn da nun stimmt?
Wer hat damit schon Erfahrungen?
Besten Dank für eure Hilfe
Patrick
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 438947
Url: https://administrator.de/contentid/438947
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
7 Kommentare
Neuester Kommentar
Ich zitiere mal
würde das Sinn machen, wenn es nur intern ginge?
Aber ob das bei euch Sinn macht hängt von der Gesamtstruktur ab.
VG
ADFS (Active Directory Federation Services) ist eine Software von Microsoft, mit deren Hilfe sich User über Organisationsgrenzen hinweg per Single > Sign-on an unterschiedlichen Services anmelden können. ADFS nutzt hierfür die Benutzerverwaltung des Active Directories (AD).
würde das Sinn machen, wenn es nur intern ginge?
Aber ob das bei euch Sinn macht hängt von der Gesamtstruktur ab.
VG
Mich hat diesbezüglich die Grafik von MS ziemlich verunsichert.
Aber anhand deiner Schreibweise deute ich: AD FS muss extern erreichbar sein = externes Zertifikat?
Bez. Smartcard: hast du hier Erfahrungen? Bzw. funktioniert das dann auch wirklich so, dass sich die User mit der Smartcard dann z.b. in Exchange Online anmelden können?
Grüße
Patrick
Hier habe ich nun eine bessere Anleitung gefunden. Damit wird das mit dem Zertifikat etwas klarer.
Sollte wer Erfahrungen bez. AD FS und Smartcards haben: nur her damit
Grüße
Patrick
Sollte wer Erfahrungen bez. AD FS und Smartcards haben: nur her damit
Grüße
Patrick
Moin,
@certifiedit.net
Gruß,
Dani
Infrastruktur ist ein lokales AD und Exchange Online. Abgleich soll mittels Azure AD Connect gemacht werden.
grundsätzlich ist mit Azure AD Connect kein Microsoft AD FS mehr notwendig. Mit den Verfahren Password Hash Sync und Pass-Through Authentifizierung hat Microsoft endlich auch für kleine Unternehmen einen vernüftigen Weg gefunden.Die User selbst verwenden Smartcards für die Anmeldung an der Domaine. Daher ist es nun auch angedacht, AD FS für die Authentifizierung einzurichten.
Hm, da kommt ich nicht mit. Wenn sich der Benutzer an einem Rechner pe Smartcard anmeldet, warum möchtest du anschließend am Exchange Online nochmals eine Authentifizierung durchführen?Aber anhand deiner Schreibweise deute ich: AD FS muss extern erreichbar sein = externes Zertifikat?
Nein! Bitte nie nie nie den Server mit der AD FS Rolle im Internet veröffentlichen! Für die Erreichbarkeit nutzt man einen Reverse Proxy. Es gibt es die Rolle Web Application Proxy (WAP). Diese wird meist auf einem (v) Server in der DMZ (Arbeitsgruppe) bereitgestellt. Wichtig ist, dass der WAP-Server dem Zertifikatsausteller des Zertifikats auf dem AD FS-Server vertraut. Ansonsten funktioniert das Konstrukt gar nicht. Der WAP-Server kann dann aus dem Internet erreichbar sein.Sollte wer Erfahrungen bez. AD FS und Smartcards haben:
Je nachdem welche 3rd Party Software ihr für Smartcard Authentifizierung einsetzte, gibt es meist ein Plugin für AD FS. @certifiedit.net
würde das Sinn machen, wenn es nur intern ginge?
Das hängt von ein paar Details ab. Geht es ihm ausschließlich um die Authenfizierungsanfragen aus dem LAN zu Exchange Online, so ist's richtig gedacht. Geht es aber um Authentifizierungsanfragen vom Internet (z.B Home Office) an einen internen oder externen Service, so muss der Token als auch Dienst geroutet werden können.Gruß,
Dani
Hallo Dani,
Danke für deine Rückmeldung.
Grüße
Patrick
Danke für deine Rückmeldung.
Hm, da kommt ich nicht mit. Wenn sich der Benutzer an einem Rechner pe Smartcard anmeldet, warum möchtest du anschließend am Exchange Online nochmals eine Authentifizierung durchführen?
Mir geht es eher um die Möglichkeit, wenn jemand z.b. HomeOffice macht und Zuhause seine Mails abrufen will.Nein! Bitte nie nie nie den Server mit der AD FS Rolle im Internet veröffentlichen! Für die Erreichbarkeit nutzt man einen Reverse Proxy. Es gibt es die Rolle Web Application Proxy (WAP). Diese wird meist auf einem (v) Server in der DMZ (Arbeitsgruppe) bereitgestellt. Wichtig ist, dass der WAP-Server dem Zertifikatsausteller des Zertifikats auf dem AD FS-Server vertraut. Ansonsten funktioniert das Konstrukt gar nicht. Der WAP-Server kann dann aus dem Internet erreichbar sein.
Das ist mir seit dieser Grafik auch klar. Für mich war das einfach komisch, da die Grafik von MS einfach was anderes darstellt.Je nachdem welche 3rd Party Software ihr für Smartcard Authentifizierung einsetzte, gibt es meist ein Plugin für AD FS.
Wir nutzen für die Smartcard Authentifizierung keine Drittanbietersoftware. Alles mit MS-Bordmitteln gelöst.Grüße
Patrick
Moin,
Theoretisch
- AD FS und WAP einrichten und konfigurieren (Zertifikate ausrollen, Firewalls anpassen, veröffentlichen im Internet, etc..)
- Funktionalität mit Claims X-Ray testen.
- Relaying Party Trust für Exchange Online einrichten.
- Anwendung ohne MFA (Smartcard) testen.
- Für Relaying Party Trust die Authentification Policy (MFA) entsprechend für intern und/oder extern Smartcard aktivieren.
- Abschließend nochmals testen.
Ist eine Sache (Planen, Installation, Konfiguration, Testen, Dokumentieren) von 4-5 Werktagen.
Gruß,
Dani
Wir nutzen für die Smartcard Authentifizierung keine Drittanbietersoftware. Alles mit MS-Bordmitteln gelöst.
Okay, meine Erfahrungen damit sind schon 3-4 Jahre her. Damals mit externen Zugriff immer wieder Ärger gehabt (Betriebssystem, verschiedene Smartcard Reader, etc...). Daher sind wir auf OTP-Tokens umgestiegen. Diese funktionieren einfach unabhängig vom Gerät.Theoretisch
- AD FS und WAP einrichten und konfigurieren (Zertifikate ausrollen, Firewalls anpassen, veröffentlichen im Internet, etc..)
- Funktionalität mit Claims X-Ray testen.
- Relaying Party Trust für Exchange Online einrichten.
- Anwendung ohne MFA (Smartcard) testen.
- Für Relaying Party Trust die Authentification Policy (MFA) entsprechend für intern und/oder extern Smartcard aktivieren.
- Abschließend nochmals testen.
Ist eine Sache (Planen, Installation, Konfiguration, Testen, Dokumentieren) von 4-5 Werktagen.
Gruß,
Dani
1
Besten Dank für deine Ausführung!
