Verwendung eines Identitätsanbieters von Drittanbietern mit Office 365
https://stackoverflow.com/questions/5802985
-
24-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Derzeit verwenden wir eine Inhouse-SSO-Lösung mit 2-Faktor-Authentifizierung, die SAML generiert, um SSO zu Google Apps und Salesforce zu ermöglichen. Wir möchten Unterstützung für Office 365 ermöglichen.
Ich betrachte die Dokumentation für Office 365 und nach dem, was ich sehe, verwendet SAML, aber nur, wenn sie von einem ADFS zur Verfügung gestellt werden.
Wäre es möglich, Office 365 mit einer reinen SAML -Lösung zu verwenden? Oder ist es möglich, ADFs mit einem anderen Identitätsanbieter zu verwenden (also kein Active Directory).
Ich habe ein Beispiel mit Tivoli IP gesehen, aber ich verstehe die Rollen nicht ganz, wenn ich alles richtig verstehe, vertieft es tatsächlich die tatsächliche Authentifizierung von ADFs bis Tivoli, aber ist das richtig? Wenn das wahr wäre, wäre das schön :)
Abgesehen davon kann ich von meiner Google-Expedition die folgenden Optionen sehen, um unsere eigene SSO-Lösung mit Office 365 zu verwenden:
- Passen Sie die Anmeldeseite von ADFS (ASPX) an und fügen Sie dort unsere 2FA -Lösung hinzu. (Quelle)
- Verwenden Sie die Vorfront -UAG, aber nicht sicher, was genau das bedeutet (Quelle)
- Verwenden Sie einen Dienst, der vorgibt, sich als ADFs zu verhalten (Quelle -In die Kommentare)
- Verwenden Sie SAML, um die Authentifizierung zu kündigen (falls ich richtig verstehe) (Quelle)
Ab 3. würde ich zu dem Schluss kommen, dass 4. nicht möglich ist, aber nur alte Informationen und jetzt nicht mehr gültig?
Vielen Dank für hilfreiche Erkenntnisse :)
Lösung
Technisch gesehen gibt es nichts an Office 365, das ADFs erfordert. SSO kann mit jedem Föderationsserver erfolgen, der die richtige Art von Nachrichten und Token senden kann. (Ich weiß, weil ich es getan habe.) Wenn Ihre SSO -Lösung die richtige Art von Daten abgibt, können Sie sie verwenden. Möglicherweise gibt es Microsoft SLA und unterstützt Probleme mit einem anderen Föderationsserver als ADFs. Überprüfen Sie das zuerst. Wenn Sie Ihre bestehende Föderationsinfrastruktur wiederverwenden möchten und Hilfe benötigen, schieß mir eine Notiz.
Andere Tipps
Stellen Sie einfach sicher, dass die SAML -Lösung sowohl passives als auch aktives Profil (ECP) unterstützt. Für webbasierte Anmeldung ist ein passives Profil erforderlich. Das Active/ECP ist erforderlich, um dicke Kunden wie Outlook, Thunderbird usw. zu unterstützen. Wir haben beide Profile zum Arbeiten gebracht.
