Jump to content

Fragen zu ADFS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

HI,

 

da  ich hier DAU bin, verzeiht mir mal meine DAU-Fragen.

Also: Im Unternehmensverbund mit mehr als  einem AD, denkt man darüber nach ADFS für bestimmte Dienste einzusetzen. Vertrauensstellungen wollen wir aus div. Gründen nicht.

Den guten Einstiegsartikel von Nils  habe ich schon gelesen: https://www.faq-o-matic.net/2014/04/02/adfs-grundlagen-und-architektur/

Eine Frage stellt sich hier für mich: Kann man im ADFS konfigurieren, dass ein User, der in der eigenen Domäne authentifiziert wurde, automatisch die Identität eines Kontos in Partner-Domäne annimmt? 

Sprich: User meldet sich an, Outlook benutzt "modern Auth" und meldet sich im Exchange der Partner-Domäne automatisch an? 

Oder müssen die Konten der eigenen Domäne im Exchange dediziert berechtigt werden?

 

Bitte helft dem DAU ;)

 

-Zahni

Link zu diesem Kommentar

Hi, 

 

gegeben sind: Mutter-Konzern > AD 

Wir > anderes AD, 

User haben unterschiedliche Konten im Mutter-Konzern und bei "Wir".

PCs werden von uns verwaltet, User melden sich bei "Wir"  am PC an.

Bei Mutterkonzern sollen nun, mit der anderen Kennung, folgende Dienste genutzt  werden:

- Outlook/Exchange 2016

- Sharepoint

- SAP NetWeaver Portal im Browser (müsste Infos bei  SAP SAML 2.0 können)

- Später noch div. Office 365-Dienste

 

Das Problem: überall müssen sich die User, meist über Windows-Sicherheitsdialoge, erneut mit dem externen Konto anmelden.

Wir wollen keinen Trust, zumal unsere Mutter dann ihre Prozesse umstellen müsste. Denn auch da müsste ja die Konten der anderen Domäne berechtigt werden.

K.A. ob das mit Exchange so überhaupt geht. Daher meine Frage zum Identitätswechsel...

Das einige der Anwendung dort oben "etwas umkonfiguriert" werden müssten, ist mir auch klar. Es geht zunächst um die Auslotung des Machbaren.

 

Danke Dir im Voraus.

 

bearbeitet von zahni
Link zu diesem Kommentar

Moin,

 

also, meiner Interpretation nach seid ihr auf dem falschen Dampfer. ADFS dürfte für euer Problem nicht die Lösung sein, höchstens für Teile davon.

 

Exchange kann die Authentisierung nicht an einen anderen Identity Provider abgeben. Das höchste der Gefühle ist (meines Wissens zumindest) eine "Linked Mailbox", bei der die Nutzungsberechtigungen einem User aus einem anderen Forest gegeben, wofür aber ein Trust nötig ist. Selbst wenn man es hinbekäme, die Anmeldung über ADFS zu steuern, müsste sie also auf einen Account aus demselben oder einem vertrauten Forest lauten, nicht aber auf einen unbekannten Forest.

 

SharePoint und die anderen Web-Applikationen können grundsätzlich mit ADFS arbeiten, aber die Konfigurationen wären ziemlich sicher auch anders, als ihr es euch gerade vorstellt. In jedem Fall müssten die Berechtigungen und Konfigurationen bei "der Mutter" in größerem Stil angepasst werden. Je nach Applikation, die da bereitgestellt wird, könnte es auch sein, dass es gar nicht geht.

 

Wenn ihr aber organisatorisch ohnehin eine Vertrauensstellung habt, würde ich noch mal ernsthaft darüber nachdenken, diese auch technisch umzusetzen. Vieles wird dann einfacher und wahrscheinlich auch sicherer.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...