Moped 11 Geschrieben 19. Juli 2021 Melden Geschrieben 19. Juli 2021 Hallo Zusammen, wir haben bei uns intern eine Anwendung die wir gerne per Single Sign On "berechtigen" möchten. Der Hersteller hat uns eine Anleitung zur Verfügung gestellt. Dazu müssen die Ferderation Dienste installiert werden. Lese mich gerade zu dem Thema mal ein, habe aber jetzt noch ein paar Fragen Da es alles nur für Interne Zwecke dient ist die Überlegung AD FS auf den DC's zu installieren > Spricht da was gegen bzw wird das Supportet (wir haben Server 2016 im Einsatz) Sollte/kann man AD FS dann zwecks "Ausfallsicherheit" auf allen 4 DC's einrichten? Danke schon mal vorab LG
NorbertFe 2.283 Geschrieben 19. Juli 2021 Melden Geschrieben 19. Juli 2021 vor 9 Minuten schrieb Moped: Spricht da was gegen bzw wird das Supportet (wir haben Server 2016 im Einsatz) Keine gute Idee. DC=DC=DC und nicht ADFS. Das machts nur unnötig kompliziert, wenn ihr mal einen DC ersetzen wollt. vor 10 Minuten schrieb Moped: Sollte/kann man AD FS dann zwecks "Ausfallsicherheit" auf allen 4 DC's einrichten? Da du auf DCs keinen ADFS installierst, wird man den nicht auf 4 DCs installieren. Abgesehen davon ist ADFS eine "Webapplikation" und damit sollten dann entsprechende Maßnahmen die nicht Round Robin heißen greifen. Sprich du brauchst dann einen Loadbalancer (NLB würde ich erst recht nicht nutzen und schon 3x nicht auf DCs installieren). Bei 4 DCs gehe ich mal davon aus, dass wir hier nicht über eine 10 Mannbude reden, sondern über eine Unternehmung/Institution, die sich wohl noch 2 VMs leisten kann. :) Bye Norbert
zahni 587 Geschrieben 19. Juli 2021 Melden Geschrieben 19. Juli 2021 Und ich würde mal prüfen, ob tatsächlich ADFS notwendig ist. Normalerweise macht man das in einer Kombination aus Kerberos und LDAP gegen das "normale" AD.
NorbertFe 2.283 Geschrieben 19. Juli 2021 Melden Geschrieben 19. Juli 2021 Naja nicht unbedingt, so ungewöhnlich ist SAML nun auch wieder nicht.
NilsK 3.046 Geschrieben 19. Juli 2021 Melden Geschrieben 19. Juli 2021 (bearbeitet) Moin, vor 5 Minuten schrieb zahni: Normalerweise macht man das in einer Kombination aus Kerberos und LDAP gegen das "normale" AD. das hängt vor allem davon ab, was die Anwendung unterstützt. Es ist durchaus üblich, auch interne Web-Applikationen per SAML/ADFS anzusprechen. Ist auch keine große Sache - wenn ADFS nicht so gruselig einzurichten wäre. Auch dies muss die Applikation allerdings unterstützen. Was Norbert sagt, ist völlig korrekt. Wenn es eine interne Applikation ist, ist der übliche Aufbau ein einzelner ADFS ohne Anbindung nach außen. Wenn man es selber noch nicht gemacht hat, empfehle ich, in einen bis zwei Tage Dienstleistung zu investieren. Gruß, Nils bearbeitet 19. Juli 2021 von NilsK
zahni 587 Geschrieben 19. Juli 2021 Melden Geschrieben 19. Juli 2021 Das habe ich wohl bisher immer "andere" Anwendungen zum Betrieb bekommen...
NorbertFe 2.283 Geschrieben 19. Juli 2021 Melden Geschrieben 19. Juli 2021 Vermutlich. :) Vielleicht waren die noch nicht so "modern" ;) Soll ja durchaus Anwendungen geben, die man auch hosten kann und da ist ADFS durchaus sinnvoller als ne LDAP Verbindung.
Moped 11 Geschrieben 19. Juli 2021 Autor Melden Geschrieben 19. Juli 2021 vor 3 Stunden schrieb NorbertFe: Keine gute Idee. DC=DC=DC und nicht ADFS. Das machts nur unnötig kompliziert, wenn ihr mal einen DC ersetzen wollt. Da du auf DCs keinen ADFS installierst, wird man den nicht auf 4 DCs installieren. Abgesehen davon ist ADFS eine "Webapplikation" und damit sollten dann entsprechende Maßnahmen die nicht Round Robin heißen greifen. Sprich du brauchst dann einen Loadbalancer (NLB würde ich erst recht nicht nutzen und schon 3x nicht auf DCs installieren). Bei 4 DCs gehe ich mal davon aus, dass wir hier nicht über eine 10 Mannbude reden, sondern über eine Unternehmung/Institution, die sich wohl noch 2 VMs leisten kann. :) Bye Norbert Danke für die Meinung, werde dann eine separate VM einrichten dafür.
NorbertFe 2.283 Geschrieben 19. Juli 2021 Melden Geschrieben 19. Juli 2021 Noch ein Tipp... selbst wenn man nur mit einer ADFS VM startet, gewöhne dir gleich an, eine Farm aufzusetzen und mit einem generischen Namen zu arbeiten. Also sowas wie sso.deinedomain.tld oder sts.deinedomain.tld und nutze NICHT den Servernamen für die Zugriffe. 1 1
NilsK 3.046 Geschrieben 19. Juli 2021 Melden Geschrieben 19. Juli 2021 Moin, ich ergänze: lege als erstes den Namen fest, und zwar gleich mit einem URL, der auch von außen erreichbar wäre - selbst dann, wenn ihr das jetzt (noch) nicht nutzen wollt. Beispiel: fed.meine-firma.de Auf diesen Namen lässt du das SSL-Zertifikat ausstellen, das du dann zur Definition der Farm nutzt. Für weitere Details, die man besser oder schlechter machen kann, verweise ich auf meinen Hinweis weiter oben. Gruß, Nils 1
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden