none
ADFS für einen Forest mit mehreren Subdomains

    Frage

  • Hallo zusammen,

    ist es möglich, eine ADFS-Farm aufzubauen in einem Forest mit mehreren Subdomains?

    - contoso.com

    --> 1.contoso.com

    --> 2.contoso.com

    Ich würde die Farm in der Root-Domain platzieren und die UPNs der User auf einen Nenner (*@contoso.com) bringen.

    Ich bin mir mit dem Vorhaben allerdings nicht sicher, ein Domain Trust sollte in einem gemeinsamen Forest ja aber keine Rolle spielen, oder steh ich auf dem Schlauch? Braucht es in jeder Subdomain einen ADFS? Das wiederrum kann ich mir nicht vorstellen.

    Freue mich über Feedback.


    Freundliche Grüße

    Sandro Reiter
    Consultant Cloud Infrastructure

    Microsoft Azure
    Office 365





    Dienstag, 26. Juni 2018 09:13

Alle Antworten

  • > ist es möglich, eine ADFS-Farm aufzubauen in einem Forest mit mehreren Subdomains?

    Ja. Wir haben hier einen ADFS für ca. 800 Forests :-)

    Dienstag, 26. Juni 2018 10:42
  • Ja. Wir haben hier einen ADFS für ca. 800 Forests :-)

    Hi Martin, danke für deinen Input. Wie habt Ihr das abgebildet? Die Farm steht in einer Domäne und die anderen Domains habt ihr als zusätzliche IDPs hinzugefügt?

    Ist meine Herangehensweise den ADFS in der Root-Domain zu platzieren so aus deiner Sicht sinnvoll?


    Freundliche Grüße

    Sandro Reiter
    Consultant Cloud Infrastructure

    Microsoft Azure
    Office 365




    Mittwoch, 27. Juni 2018 17:45
  • > Hi Martin, danke für deinen Input. Wie habt Ihr das abgebildet? Die Farm steht in einer Domäne und die anderen Domains habt ihr als zusätzliche IDPs hinzugefügt?

    Ne, noch verrückter. Alle Forests sind geeignet vertrustet. Alle Accounts werden in einen dedizierten Forest synchronisiert (ausgewählte Attribute). Von dort wandern sie nach Azure (mit msDsConsistencyGUID = objectGUID des Accounts in seiner ursprünglichen Domain, dazu noch geeignete Claims, um den UPN der Ursprungsdomain mitzuliefern).

    Der STS steht wieder woanders, wobei das egal wäre. Über den UPN findet der dann den eigentlichen Account in der Ursprungsdomain wieder.

    Donnerstag, 28. Juni 2018 11:00