Fragen zu ADFS

[zahni 550]

HI,

 

da  ich hier DAU bin, verzeiht mir mal meine DAU-Fragen.

Also: Im Unternehmensverbund mit mehr als  einem AD, denkt man darüber nach ADFS für bestimmte Dienste einzusetzen. Vertrauensstellungen wollen wir aus div. Gründen nicht.

Den guten Einstiegsartikel von Nils  habe ich schon gelesen: https://www.faq-o-matic.net/2014/04/02/adfs-grundlagen-und-architektur/

Eine Frage stellt sich hier für mich: Kann man im ADFS konfigurieren, dass ein User, der in der eigenen Domäne authentifiziert wurde, automatisch die Identität eines Kontos in Partner-Domäne annimmt? 

Sprich: User meldet sich an, Outlook benutzt "modern Auth" und meldet sich im Exchange der Partner-Domäne automatisch an? 

Oder müssen die Konten der eigenen Domäne im Exchange dediziert berechtigt werden?

 

Bitte helft dem DAU ;)

 

-Zahni

[NilsK 2.918]

Moin,

 

ADFS unterstützt keinen Identitätswechsel. Kurz gesagt, werdet ihr das, was du andeutest, ohne Trusts nicht hinbekommen.

 

Allerdings bin ich mir nicht sicher, ob das ganze Szenario so passt. Beschreib doch bitte mal näher, was ihr eigentlich erreichen wollt.

 

Gruß, Nils

 

[zahni 550]

Hi, 

 

gegeben sind: Mutter-Konzern > AD 

Wir > anderes AD, 

User haben unterschiedliche Konten im Mutter-Konzern und bei "Wir".

PCs werden von uns verwaltet, User melden sich bei "Wir"  am PC an.

Bei Mutterkonzern sollen nun, mit der anderen Kennung, folgende Dienste genutzt  werden:

- Outlook/Exchange 2016

- Sharepoint

- SAP NetWeaver Portal im Browser (müsste Infos bei  SAP SAML 2.0 können)

- Später noch div. Office 365-Dienste

 

Das Problem: überall müssen sich die User, meist über Windows-Sicherheitsdialoge, erneut mit dem externen Konto anmelden.

Wir wollen keinen Trust, zumal unsere Mutter dann ihre Prozesse umstellen müsste. Denn auch da müsste ja die Konten der anderen Domäne berechtigt werden.

K.A. ob das mit Exchange so überhaupt geht. Daher meine Frage zum Identitätswechsel...

Das einige der Anwendung dort oben "etwas umkonfiguriert" werden müssten, ist mir auch klar. Es geht zunächst um die Auslotung des Machbaren.

 

Danke Dir im Voraus.

 

bearbeitet 7. November 2018 von zahni

[NilsK 2.918]

Moin,

 

also, meiner Interpretation nach seid ihr auf dem falschen Dampfer. ADFS dürfte für euer Problem nicht die Lösung sein, höchstens für Teile davon.

 

Exchange kann die Authentisierung nicht an einen anderen Identity Provider abgeben. Das höchste der Gefühle ist (meines Wissens zumindest) eine "Linked Mailbox", bei der die Nutzungsberechtigungen einem User aus einem anderen Forest gegeben, wofür aber ein Trust nötig ist. Selbst wenn man es hinbekäme, die Anmeldung über ADFS zu steuern, müsste sie also auf einen Account aus demselben oder einem vertrauten Forest lauten, nicht aber auf einen unbekannten Forest.

 

SharePoint und die anderen Web-Applikationen können grundsätzlich mit ADFS arbeiten, aber die Konfigurationen wären ziemlich sicher auch anders, als ihr es euch gerade vorstellt. In jedem Fall müssten die Berechtigungen und Konfigurationen bei "der Mutter" in größerem Stil angepasst werden. Je nach Applikation, die da bereitgestellt wird, könnte es auch sein, dass es gar nicht geht.

 

Wenn ihr aber organisatorisch ohnehin eine Vertrauensstellung habt, würde ich noch mal ernsthaft darüber nachdenken, diese auch technisch umzusetzen. Vieles wird dann einfacher und wahrscheinlich auch sicherer.

 

Gruß, Nils

 

[zahni 550]

Die Details zu unserer ablehnenden Haltung zum Trust kann ich hier nicht darlegen. Ich denke aber, Du würdest es dann nachvollziehen können (ich spreche ganz schlecht Slowakisch...).

Exchange 2016 kann lt. Google mit ADFS umgehen. Ist wohl ähnlich der Office365-Implementation.

[NilsK 2.918]

Moin,

 

ja, umgehen kann es damit. Für den Webzugriff von Usern aus dem eigenen oder einem vertrauten Forest ...

 

Gruß, Nils

 

[zahni 550]

Danke trotzdem. Zu dem Thema soll es Telko geben. Mal sehen, was da rauskommt...