none
Veröffentlichung ADFS Dienste RRS feed

  • Frage

  • Hallo,

    wir werden ein Portal mit Dynamics erstellen, das vom Internet aus erreichbar sein soll. Für die Auth. wollen wir ADFS verwenden. Dazu müssen wir es natürlich von außen zugänglich machen.
    Nun hätte ich die Möglichkeit die Veröffentlichung über einen Sophos UTM Reverse Proxy zu machen. Nun sagt mir aber jemand, das es für den ADFS einen eigenen Proxy gibt (WAP), der besser wäre weil mehr Features und weil man nur 443 öffnen muss. http://blog.encorebusiness.com/dynamics-crm-on-premise-web-app-proxy/

    Hat jemand Erfahrung mit dem ADFS Proxy und ist der wirklich so toll?

    Danke!

    Dienstag, 13. September 2016 14:40

Antworten

  • Hi,

    typische Antwort: kommt drauf an, was Du damit machen willst. ;-)

    Grundsätzlich musst Du schon mal wissen: für den Web Application Proxy (so heißt das Ding ausgeschrieben) benötigst Du auf jeden Fall auch einen separaten ADFS-Server. Da gilt es dann wieder zu überlegen: soll das Ding ausfallsicher sein? Dann braucht es eine SQL-Datenbank, weil ADFS zwar mit WID arbeiten kann, aber nur als einzelner Server.

    ADFS hat (zumindest bei meiner Installation) die "Macke", dass er auf Englisch installiert werden MUSS, weil es sonst irgendwann mal passieren kann, dass er einfach nicht mehr funktioniert (Dienst kann nicht gestartet werden). Wenn Ihr also zwingend Deutsch habt, könnte das evtl. ein Problem sein. Vielleicht gibt es aber auch inzwischen einen Hotfix dafür...? Der WAP darf auch auf Deutsch installiert sein.

    Der WAP hat aus meiner Sicht einen entscheidenden Nachteil: er kann ausschließlich HTTPS, nichts anderes. Wenn also später mal HTTP benötigt wird, musst Du spätestens dann wieder eine separate Lösung dazubauen.

    Wenn Du aber nur HTTPS brauchst und auch in Zukunft abzusehen ist, dass kein Schnickschnack dazukommt, ist der WAP echt genial, weil total einfach in der Einrichtung: Link eingeben, über den das System von extern erreichbar sein soll, internen Link definieren (sollte dem externen Link entsprechen, sonst gibt es eine Warnung), fertig.

    Von "mehr Features" kann hier aber keine Rede sein: er leitet schlicht eine HTTPS-Anfrage an ein internes System weiter, mehr nicht. Das zugrunde liegende System ADFS kann aber schon mehr (z.B. eigene Anmeldeseite vorschalten; im Prinzip ist der WAP mit ADFS eine kastrierte Variante des TMG).


    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).

    Dienstag, 13. September 2016 15:13

Alle Antworten

  • Hi,

    typische Antwort: kommt drauf an, was Du damit machen willst. ;-)

    Grundsätzlich musst Du schon mal wissen: für den Web Application Proxy (so heißt das Ding ausgeschrieben) benötigst Du auf jeden Fall auch einen separaten ADFS-Server. Da gilt es dann wieder zu überlegen: soll das Ding ausfallsicher sein? Dann braucht es eine SQL-Datenbank, weil ADFS zwar mit WID arbeiten kann, aber nur als einzelner Server.

    ADFS hat (zumindest bei meiner Installation) die "Macke", dass er auf Englisch installiert werden MUSS, weil es sonst irgendwann mal passieren kann, dass er einfach nicht mehr funktioniert (Dienst kann nicht gestartet werden). Wenn Ihr also zwingend Deutsch habt, könnte das evtl. ein Problem sein. Vielleicht gibt es aber auch inzwischen einen Hotfix dafür...? Der WAP darf auch auf Deutsch installiert sein.

    Der WAP hat aus meiner Sicht einen entscheidenden Nachteil: er kann ausschließlich HTTPS, nichts anderes. Wenn also später mal HTTP benötigt wird, musst Du spätestens dann wieder eine separate Lösung dazubauen.

    Wenn Du aber nur HTTPS brauchst und auch in Zukunft abzusehen ist, dass kein Schnickschnack dazukommt, ist der WAP echt genial, weil total einfach in der Einrichtung: Link eingeben, über den das System von extern erreichbar sein soll, internen Link definieren (sollte dem externen Link entsprechen, sonst gibt es eine Warnung), fertig.

    Von "mehr Features" kann hier aber keine Rede sein: er leitet schlicht eine HTTPS-Anfrage an ein internes System weiter, mehr nicht. Das zugrunde liegende System ADFS kann aber schon mehr (z.B. eigene Anmeldeseite vorschalten; im Prinzip ist der WAP mit ADFS eine kastrierte Variante des TMG).


    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).

    Dienstag, 13. September 2016 15:13
  • Hallo Ben,

    danke für die ausführliche Info!

    Ich denke, wir werden auf jeden Fall eine redundante Lösung brauchen! Englisch ist bei uns Standard und ADFS brauchen wir sowieso.
    Nach der Aussage die ich bekam, dachte ich das man mit dem WAP sehr flexibel sein wird. Scheint ja nicht so zu sein.
    Wir stehen noch ganz am Anfang und wir werden uns um die genannten Punkte Gedanken machen.

    Danke!

    Mittwoch, 14. September 2016 07:06
  • Hier der Link falls sich jemand auch genauer informieren will:

    https://technet.microsoft.com/de-de/library/dn584113(v=ws.11).aspx

    Mittwoch, 14. September 2016 07:19