Jump to content
Sign in to follow this  
zahni

Fragen zu ADFS

Recommended Posts

HI,

 

da  ich hier DAU bin, verzeiht mir mal meine DAU-Fragen.

Also: Im Unternehmensverbund mit mehr als  einem AD, denkt man darüber nach ADFS für bestimmte Dienste einzusetzen. Vertrauensstellungen wollen wir aus div. Gründen nicht.

Den guten Einstiegsartikel von Nils  habe ich schon gelesen: https://www.faq-o-matic.net/2014/04/02/adfs-grundlagen-und-architektur/

Eine Frage stellt sich hier für mich: Kann man im ADFS konfigurieren, dass ein User, der in der eigenen Domäne authentifiziert wurde, automatisch die Identität eines Kontos in Partner-Domäne annimmt? 

Sprich: User meldet sich an, Outlook benutzt "modern Auth" und meldet sich im Exchange der Partner-Domäne automatisch an? 

Oder müssen die Konten der eigenen Domäne im Exchange dediziert berechtigt werden?

 

Bitte helft dem DAU ;)

 

-Zahni

Share this post


Link to post
Share on other sites

Moin,

 

ADFS unterstützt keinen Identitätswechsel. Kurz gesagt, werdet ihr das, was du andeutest, ohne Trusts nicht hinbekommen.

 

Allerdings bin ich mir nicht sicher, ob das ganze Szenario so passt. Beschreib doch bitte mal näher, was ihr eigentlich erreichen wollt.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hi, 

 

gegeben sind: Mutter-Konzern > AD 

Wir > anderes AD, 

User haben unterschiedliche Konten im Mutter-Konzern und bei "Wir".

PCs werden von uns verwaltet, User melden sich bei "Wir"  am PC an.

Bei Mutterkonzern sollen nun, mit der anderen Kennung, folgende Dienste genutzt  werden:

- Outlook/Exchange 2016

- Sharepoint

- SAP NetWeaver Portal im Browser (müsste Infos bei  SAP SAML 2.0 können)

- Später noch div. Office 365-Dienste

 

Das Problem: überall müssen sich die User, meist über Windows-Sicherheitsdialoge, erneut mit dem externen Konto anmelden.

Wir wollen keinen Trust, zumal unsere Mutter dann ihre Prozesse umstellen müsste. Denn auch da müsste ja die Konten der anderen Domäne berechtigt werden.

K.A. ob das mit Exchange so überhaupt geht. Daher meine Frage zum Identitätswechsel...

Das einige der Anwendung dort oben "etwas umkonfiguriert" werden müssten, ist mir auch klar. Es geht zunächst um die Auslotung des Machbaren.

 

Danke Dir im Voraus.

 

Edited by zahni

Share this post


Link to post
Share on other sites

Moin,

 

also, meiner Interpretation nach seid ihr auf dem falschen Dampfer. ADFS dürfte für euer Problem nicht die Lösung sein, höchstens für Teile davon.

 

Exchange kann die Authentisierung nicht an einen anderen Identity Provider abgeben. Das höchste der Gefühle ist (meines Wissens zumindest) eine "Linked Mailbox", bei der die Nutzungsberechtigungen einem User aus einem anderen Forest gegeben, wofür aber ein Trust nötig ist. Selbst wenn man es hinbekäme, die Anmeldung über ADFS zu steuern, müsste sie also auf einen Account aus demselben oder einem vertrauten Forest lauten, nicht aber auf einen unbekannten Forest.

 

SharePoint und die anderen Web-Applikationen können grundsätzlich mit ADFS arbeiten, aber die Konfigurationen wären ziemlich sicher auch anders, als ihr es euch gerade vorstellt. In jedem Fall müssten die Berechtigungen und Konfigurationen bei "der Mutter" in größerem Stil angepasst werden. Je nach Applikation, die da bereitgestellt wird, könnte es auch sein, dass es gar nicht geht.

 

Wenn ihr aber organisatorisch ohnehin eine Vertrauensstellung habt, würde ich noch mal ernsthaft darüber nachdenken, diese auch technisch umzusetzen. Vieles wird dann einfacher und wahrscheinlich auch sicherer.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Die Details zu unserer ablehnenden Haltung zum Trust kann ich hier nicht darlegen. Ich denke aber, Du würdest es dann nachvollziehen können (ich spreche ganz schlecht Slowakisch...).

Exchange 2016 kann lt. Google mit ADFS umgehen. Ist wohl ähnlich der Office365-Implementation.

Share this post


Link to post
Share on other sites

Moin,

 

ja, umgehen kann es damit. Für den Webzugriff von Usern aus dem eigenen oder einem vertrauten Forest ...

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...