Jump to content

AD FS für Internen SSO


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

wir haben bei uns intern eine Anwendung die wir gerne per Single Sign On "berechtigen" möchten. Der Hersteller hat uns eine Anleitung zur Verfügung gestellt. Dazu müssen die Ferderation Dienste installiert werden.

Lese mich gerade zu dem Thema mal ein, habe aber jetzt noch ein paar Fragen

 

Da es alles nur für Interne Zwecke dient ist die Überlegung AD FS auf den DC's zu installieren > Spricht da was gegen bzw wird das Supportet (wir haben Server 2016 im Einsatz)

Sollte/kann man AD FS dann zwecks "Ausfallsicherheit" auf allen 4 DC's einrichten?

 

Danke schon mal vorab :-)

 

LG

Link zu diesem Kommentar
vor 9 Minuten schrieb Moped:

Spricht da was gegen bzw wird das Supportet (wir haben Server 2016 im Einsatz)

Keine gute Idee. DC=DC=DC und nicht ADFS. Das machts nur unnötig kompliziert, wenn ihr mal einen DC ersetzen wollt.

 

vor 10 Minuten schrieb Moped:

Sollte/kann man AD FS dann zwecks "Ausfallsicherheit" auf allen 4 DC's einrichten?

 

Da du auf DCs keinen ADFS installierst, wird man den nicht auf 4 DCs installieren. Abgesehen davon ist ADFS eine "Webapplikation" und damit sollten dann entsprechende Maßnahmen die nicht Round Robin heißen greifen. Sprich du brauchst dann einen Loadbalancer (NLB würde ich erst recht nicht nutzen und schon 3x nicht auf DCs installieren).

 

Bei 4 DCs gehe ich mal davon aus, dass wir hier nicht über eine 10 Mannbude reden, sondern über eine Unternehmung/Institution, die sich wohl noch 2 VMs leisten kann. :)

 

Bye

Norbert

Link zu diesem Kommentar

Moin,

 

vor 5 Minuten schrieb zahni:

Normalerweise macht man das in einer Kombination aus Kerberos und LDAP gegen das "normale" AD.

das hängt vor allem davon ab, was die Anwendung unterstützt. Es ist durchaus üblich, auch interne Web-Applikationen per SAML/ADFS anzusprechen. Ist auch keine große Sache - wenn ADFS nicht so gruselig einzurichten wäre. Auch dies muss die Applikation allerdings unterstützen.

 

Was Norbert sagt, ist völlig korrekt. Wenn es eine interne Applikation ist, ist der übliche Aufbau ein einzelner ADFS ohne Anbindung nach außen. Wenn man es selber noch nicht gemacht hat, empfehle ich, in einen bis zwei Tage Dienstleistung zu investieren. 

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
vor 3 Stunden schrieb NorbertFe:

Keine gute Idee. DC=DC=DC und nicht ADFS. Das machts nur unnötig kompliziert, wenn ihr mal einen DC ersetzen wollt.

 

Da du auf DCs keinen ADFS installierst, wird man den nicht auf 4 DCs installieren. Abgesehen davon ist ADFS eine "Webapplikation" und damit sollten dann entsprechende Maßnahmen die nicht Round Robin heißen greifen. Sprich du brauchst dann einen Loadbalancer (NLB würde ich erst recht nicht nutzen und schon 3x nicht auf DCs installieren).

 

Bei 4 DCs gehe ich mal davon aus, dass wir hier nicht über eine 10 Mannbude reden, sondern über eine Unternehmung/Institution, die sich wohl noch 2 VMs leisten kann. :)

 

Bye

Norbert

 

 

Danke für die Meinung, werde dann eine separate VM einrichten dafür.

Link zu diesem Kommentar

Moin,

 

ich ergänze: lege als erstes den Namen fest, und zwar gleich mit einem URL, der auch von außen erreichbar wäre - selbst dann, wenn ihr das jetzt (noch) nicht nutzen wollt. Beispiel: fed.meine-firma.de

Auf diesen Namen lässt du das SSL-Zertifikat ausstellen, das du dann zur Definition der Farm nutzt.

 

Für weitere Details, die man besser oder schlechter machen kann, verweise ich auf meinen Hinweis weiter oben.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...