Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Thomas' Tech Talk 7 - AD FS oder PTA

123 views

Published on

Die Authentifizierung von hybriden Identitäten kann auf ganz unterschiedliche Weise erfolgen. Wenn keine Kennwort-Hashes zu Azure AD übertragen werden sollen, stehen AD FS und PTA. In diesem Tech Talk erläutere ich die Unterschiede und welche Variante Sie bevorzugt einsetzen sollten.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Thomas' Tech Talk 7 - AD FS oder PTA

  1. 1. AD FS oder PTA Tech Talk - 7
  2. 2. Warum gibt es AD FS und PTA? Authentifizierung in Azure AD
  3. 3. Microsoft 365 Identitäten Cloud-Identität Hybrid-Identität PTA  Mit lokalem Active Directory separate Benutzerkonten und Kennworte  AAD Connect synchronisiert Benutzer- konten und Kennwort-Hashes  Authentifizierung durch Azure AD  AAD Connect synchronisiert Benutzer- konten ohne Kennwort-Hashes  Authentifizierung durch AD FS oder PTA  Abhängigkeit zur lokalen Infrastruktur
  4. 4. Was sind AD FS und PTA?
  5. 5. AD FS  AD FS  Active Directory Federation Services  AD FS ermöglicht die Authentifizierung eines Anwenders im Unternehmensnetzwerk zur Nutzung einer Applikation im gleichen oder einem anderen Netzwerk  Bereitstellung eines Secure Token Service (STS)  Ausstellung von Authentifizierungs-Token erfolgt durch einen AD FS-Server im Unternehmensnetzwerk  Nutzung eines Authentifizierungs-Tokens zur Anmeldung an die Ziel-Applikation  Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors  Interne Applikationen, z.B. SharePoint Server, Exchange Server, Jira  Anbindung der Applikationen als Relying Party Trust  Jede Applikation wird als separate Relying Party konfiguriert  Microsoft 365 über Azure AD als eine Einheit konfiguriert  Windows Server Funktionsrolle, verfügbar seit Windows Server 2003R2
  6. 6. AD FS  Beispiel AD FS Relying Party Trusts
  7. 7. PTA  PTA  Pass-Through Authentifizierung  PTA authentifiziert einen Anwender im Auftrag von Azure AD gegen lokale Domain Controller  Ausstellung des Authentifizierungs-Tokens durch Azure AD  Nutzung eines Authentifizierungs-Tokens für die gewünschte Ziel-Applikation  Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors  Interne Applikationen  Konfiguration vertrauter Unternehmensapplikationen erfolgt im Azure AD  Seamless Single-Sign-On
  8. 8. PTA  Unterstütze Einsatzszenarien für Benutzeranmeldungen  Webbrowser-basierte Anwendungen  Outlook-Clients mit älteren Protokollen, z.B. ActiveSync, SMTP, POP und IMAP  Ältere Office-Clientanwendungen  Office-Anwendungen mit moderner Authentifizierung  Versionen Office 2013 und neuer  Ältere Protokollanwendungen, z.B. PowerShell Version 1.0  Azure AD-Joins für Windows 10-Geräte  App-Kennwörter für Multi-Faktor Authentifizierung  Limitierungen  Erkennung von Anwendern mit kompromittierten Anmeldeinformationen (Azure AD Funktion)  Azure AD Domain Services erfordern die Kennwort-Hash Synchronisation  Keine Integration in Azure AD Connect Health
  9. 9. AD FS und PTA Technische Unterschiede
  10. 10. ADFS-Farm Internes Netzwerk AD FS vs. PTA Erforderliche Komponenten AD FS PTA Internes Netzwerk Perimeter Netzwerk Perimeter Netzwerk PTAPTAPTA Öffentliche IP-Adresse Hostname, z.B. adfs.contoso.com TLS-Zertifikat
  11. 11. AD FS vs. PTA Erforderliche Komponenten  Azure AD Connect  Optionaler Kennwort-Hash Sync (PHS)  AD FS-Farm  2 AD FS Server  2 AD FS Proxy-Server  Öffentliche IP-Adresse  Hostname für STS-Endpunkt  Split-DNS Konfiguration mit identischem Namen in interner und externer DNS-Zone  Öffentliches TLS-Zertifikat für STS- Endpunkt  Azure AD Connect  Aktivierte Pass-Through Authentifizierung  Optionaler Kennwort-Hash Sync  PTA-Agent 1 auf AAD Connect Server  Weitere PTA-Agenten für bessere Verfügbarkeit  Nutzung von mindestens drei PTA- Agenten AD FS PTA
  12. 12. AD FS oder PTA Empfehlung  Erste Wahl ist immer Pass-Through Authentifizierung  Nutzen Sie AD FS, wenn Sie besondere Anforderungen für Federation-basierte Authentifizierung haben  Nutzen Sie den Entscheidungsbaum zur Auswahl der passenden Authentifizierungsmethode  Wenn Sie bereits AD FS einsetzen, prüfen Sie die Möglichkeit, auf PTA zu wechseln
  13. 13. Thomas Stensitzki Enterprise Consultant | Geschäftsführer Granikos GmbH & Co. KG MVP | Office Apps & Services Twitter: @Stensitzki LinkedIn: https://linkedin.com/in/thomasstensitzki Blog DE: http://Blog.Granikos.eu Blog EN: http://JustCantGetEnough.Granikos.eu MVP Blog: https://blogs.msmvps.com/thomastechtalk Tech Talk Übersicht: http://TechTalk.Granikos.eu Tech Talk Themenwünsche: https://go.granikos.eu/TTTUmfrage Bücheranklicken–mehrerfahren Thomas‘ Tech Talk wird aufgezeichnet mit Camtasia
  14. 14. User sign-in with Azure Active Directory Pass-through Authentication Azure Active Directory Pass-through Authentication: Current limitations Migrate from AD FS to Pass-through Authentication (.docx Download) Microsoft 365 identity models and Azure Active Directory Choose the right authentication method for your Azure Active Directory hybrid identity solution Ressourcen Links

×