Jump to content

AD FS für Internen SSO


Recommended Posts

Hallo Zusammen,

 

wir haben bei uns intern eine Anwendung die wir gerne per Single Sign On "berechtigen" möchten. Der Hersteller hat uns eine Anleitung zur Verfügung gestellt. Dazu müssen die Ferderation Dienste installiert werden.

Lese mich gerade zu dem Thema mal ein, habe aber jetzt noch ein paar Fragen

 

Da es alles nur für Interne Zwecke dient ist die Überlegung AD FS auf den DC's zu installieren > Spricht da was gegen bzw wird das Supportet (wir haben Server 2016 im Einsatz)

Sollte/kann man AD FS dann zwecks "Ausfallsicherheit" auf allen 4 DC's einrichten?

 

Danke schon mal vorab :-)

 

LG

Link to post
vor 9 Minuten schrieb Moped:

Spricht da was gegen bzw wird das Supportet (wir haben Server 2016 im Einsatz)

Keine gute Idee. DC=DC=DC und nicht ADFS. Das machts nur unnötig kompliziert, wenn ihr mal einen DC ersetzen wollt.

 

vor 10 Minuten schrieb Moped:

Sollte/kann man AD FS dann zwecks "Ausfallsicherheit" auf allen 4 DC's einrichten?

 

Da du auf DCs keinen ADFS installierst, wird man den nicht auf 4 DCs installieren. Abgesehen davon ist ADFS eine "Webapplikation" und damit sollten dann entsprechende Maßnahmen die nicht Round Robin heißen greifen. Sprich du brauchst dann einen Loadbalancer (NLB würde ich erst recht nicht nutzen und schon 3x nicht auf DCs installieren).

 

Bei 4 DCs gehe ich mal davon aus, dass wir hier nicht über eine 10 Mannbude reden, sondern über eine Unternehmung/Institution, die sich wohl noch 2 VMs leisten kann. :)

 

Bye

Norbert

Link to post

Moin,

 

vor 5 Minuten schrieb zahni:

Normalerweise macht man das in einer Kombination aus Kerberos und LDAP gegen das "normale" AD.

das hängt vor allem davon ab, was die Anwendung unterstützt. Es ist durchaus üblich, auch interne Web-Applikationen per SAML/ADFS anzusprechen. Ist auch keine große Sache - wenn ADFS nicht so gruselig einzurichten wäre. Auch dies muss die Applikation allerdings unterstützen.

 

Was Norbert sagt, ist völlig korrekt. Wenn es eine interne Applikation ist, ist der übliche Aufbau ein einzelner ADFS ohne Anbindung nach außen. Wenn man es selber noch nicht gemacht hat, empfehle ich, in einen bis zwei Tage Dienstleistung zu investieren. 

 

Gruß, Nils

 

Edited by NilsK
Link to post
vor 3 Stunden schrieb NorbertFe:

Keine gute Idee. DC=DC=DC und nicht ADFS. Das machts nur unnötig kompliziert, wenn ihr mal einen DC ersetzen wollt.

 

Da du auf DCs keinen ADFS installierst, wird man den nicht auf 4 DCs installieren. Abgesehen davon ist ADFS eine "Webapplikation" und damit sollten dann entsprechende Maßnahmen die nicht Round Robin heißen greifen. Sprich du brauchst dann einen Loadbalancer (NLB würde ich erst recht nicht nutzen und schon 3x nicht auf DCs installieren).

 

Bei 4 DCs gehe ich mal davon aus, dass wir hier nicht über eine 10 Mannbude reden, sondern über eine Unternehmung/Institution, die sich wohl noch 2 VMs leisten kann. :)

 

Bye

Norbert

 

 

Danke für die Meinung, werde dann eine separate VM einrichten dafür.

Link to post

Noch ein Tipp... selbst wenn man nur mit einer ADFS VM startet, gewöhne dir gleich an, eine Farm aufzusetzen und mit einem generischen Namen zu arbeiten. Also sowas wie sso.deinedomain.tld oder sts.deinedomain.tld und nutze NICHT den Servernamen für die Zugriffe.

  • Like 1
  • Thanks 1
Link to post

Moin,

 

ich ergänze: lege als erstes den Namen fest, und zwar gleich mit einem URL, der auch von außen erreichbar wäre - selbst dann, wenn ihr das jetzt (noch) nicht nutzen wollt. Beispiel: fed.meine-firma.de

Auf diesen Namen lässt du das SSL-Zertifikat ausstellen, das du dann zur Definition der Farm nutzt.

 

Für weitere Details, die man besser oder schlechter machen kann, verweise ich auf meinen Hinweis weiter oben.

 

Gruß, Nils

 

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...