Thomas' Tech Talk 7 - AD FS oder PTA
Als PPTX, PDF herunterladen0 gefällt mir292 aufrufe
Das Dokument diskutiert die Authentifizierungsmethoden AD FS (Active Directory Federation Services) und PTA (Pass-Through Authentication) in Microsoft 365 und Azure AD. AD FS ermöglicht die Authentifizierung von Benutzern über Tokens, während PTA die Authentifizierung direkt über lokale Domain-Controller in Auftrag von Azure AD durchführt. Es werden technische Unterschiede, Anwendungsbeispiele und Empfehlungen zur Auswahl zwischen diesen Methoden präsentiert.
Thomas' Tech Talk 7 - AD FS oder PTA
- 1. AD FS oder PTA Tech Talk - 7
- 2. Warum gibt es AD FS und PTA? Authentifizierung in Azure AD
- 3. Microsoft 365 Identitäten Cloud-Identität Hybrid-Identität PTA Mit lokalem Active Directory separate Benutzerkonten und Kennworte AAD Connect synchronisiert Benutzer- konten und Kennwort-Hashes Authentifizierung durch Azure AD AAD Connect synchronisiert Benutzer- konten ohne Kennwort-Hashes Authentifizierung durch AD FS oder PTA Abhängigkeit zur lokalen Infrastruktur
- 4. Was sind AD FS und PTA?
- 5. AD FS AD FS Active Directory Federation Services AD FS ermöglicht die Authentifizierung eines Anwenders im Unternehmensnetzwerk zur Nutzung einer Applikation im gleichen oder einem anderen Netzwerk Bereitstellung eines Secure Token Service (STS) Ausstellung von Authentifizierungs-Token erfolgt durch einen AD FS-Server im Unternehmensnetzwerk Nutzung eines Authentifizierungs-Tokens zur Anmeldung an die Ziel-Applikation Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors Interne Applikationen, z.B. SharePoint Server, Exchange Server, Jira Anbindung der Applikationen als Relying Party Trust Jede Applikation wird als separate Relying Party konfiguriert Microsoft 365 über Azure AD als eine Einheit konfiguriert Windows Server Funktionsrolle, verfügbar seit Windows Server 2003R2
- 6. AD FS Beispiel AD FS Relying Party Trusts
- 7. PTA PTA Pass-Through Authentifizierung PTA authentifiziert einen Anwender im Auftrag von Azure AD gegen lokale Domain Controller Ausstellung des Authentifizierungs-Tokens durch Azure AD Nutzung eines Authentifizierungs-Tokens für die gewünschte Ziel-Applikation Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors Interne Applikationen Konfiguration vertrauter Unternehmensapplikationen erfolgt im Azure AD Seamless Single-Sign-On
- 8. PTA Unterstütze Einsatzszenarien für Benutzeranmeldungen Webbrowser-basierte Anwendungen Outlook-Clients mit älteren Protokollen, z.B. ActiveSync, SMTP, POP und IMAP Ältere Office-Clientanwendungen Office-Anwendungen mit moderner Authentifizierung Versionen Office 2013 und neuer Ältere Protokollanwendungen, z.B. PowerShell Version 1.0 Azure AD-Joins für Windows 10-Geräte App-Kennwörter für Multi-Faktor Authentifizierung Limitierungen Erkennung von Anwendern mit kompromittierten Anmeldeinformationen (Azure AD Funktion) Azure AD Domain Services erfordern die Kennwort-Hash Synchronisation Keine Integration in Azure AD Connect Health
- 9. AD FS und PTA Technische Unterschiede
- 10. ADFS-Farm Internes Netzwerk AD FS vs. PTA Erforderliche Komponenten AD FS PTA Internes Netzwerk Perimeter Netzwerk Perimeter Netzwerk PTAPTAPTA Öffentliche IP-Adresse Hostname, z.B. adfs.contoso.com TLS-Zertifikat
- 11. AD FS vs. PTA Erforderliche Komponenten Azure AD Connect Optionaler Kennwort-Hash Sync (PHS) AD FS-Farm 2 AD FS Server 2 AD FS Proxy-Server Öffentliche IP-Adresse Hostname für STS-Endpunkt Split-DNS Konfiguration mit identischem Namen in interner und externer DNS-Zone Öffentliches TLS-Zertifikat für STS- Endpunkt Azure AD Connect Aktivierte Pass-Through Authentifizierung Optionaler Kennwort-Hash Sync PTA-Agent 1 auf AAD Connect Server Weitere PTA-Agenten für bessere Verfügbarkeit Nutzung von mindestens drei PTA- Agenten AD FS PTA
- 12. AD FS oder PTA Empfehlung Erste Wahl ist immer Pass-Through Authentifizierung Nutzen Sie AD FS, wenn Sie besondere Anforderungen für Federation-basierte Authentifizierung haben Nutzen Sie den Entscheidungsbaum zur Auswahl der passenden Authentifizierungsmethode Wenn Sie bereits AD FS einsetzen, prüfen Sie die Möglichkeit, auf PTA zu wechseln
- 13. Thomas Stensitzki Enterprise Consultant | Geschäftsführer Granikos GmbH & Co. KG MVP | Office Apps & Services Twitter: @Stensitzki LinkedIn: https://linkedin.com/in/thomasstensitzki Blog DE: http://Blog.Granikos.eu Blog EN: http://JustCantGetEnough.Granikos.eu MVP Blog: https://blogs.msmvps.com/thomastechtalk Tech Talk Übersicht: http://TechTalk.Granikos.eu Tech Talk Themenwünsche: https://go.granikos.eu/TTTUmfrage Bücheranklicken–mehrerfahren Thomas‘ Tech Talk wird aufgezeichnet mit Camtasia
- 14. User sign-in with Azure Active Directory Pass-through Authentication Azure Active Directory Pass-through Authentication: Current limitations Migrate from AD FS to Pass-through Authentication (.docx Download) Microsoft 365 identity models and Azure Active Directory Choose the right authentication method for your Azure Active Directory hybrid identity solution Ressourcen Links