Toon posts:

Inloggen als on-prem Active Directory niet beschikbaar is

Pagina: 1
Acties:

vrijdag 11 maart 2022 22:59

Acties:
  • 0 Henk 'm!
  • RedCellNL
  • Registratie: September 2003
  • Laatst online: 11-04-2024

RedCellNL

Topicstarter
Wij hebben een on-premises Active Directory omgeving welke is gekoppeld aan Azure AD via Federation.
Password Sync is ingeschakeld.

Als men inlogt op een SaaS dienst, bijvoorbeeld Office 365, vind er een redirect plaatst naar de on-premises identity portal. Als men succesvol is inlogt is er toegang tot de SaaS dienst.

Nu is mijn vraag, als er een situatie voordoet waarbij de on-premises Active Directory niet meer beschikbaar is inclusief de on-premises identity portal, kan men dan via Azure AD nog wel inloggen?
En als dit mogelijk is, moet er dan nog iets worden omgezet binnen Azure AD?

zaterdag 12 maart 2022 13:16

Acties:
  • 0 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 15:35

HKLM_

Je zal je SaaS dienst moeten configureren zodat deze overweg kan met Azure AD SSO

Ik zou hem gelijk omklussen dat de Azure AD gebruikt gaat worden en niet meer on-prem.

[ Voor 35% gewijzigd door HKLM_ op 12-03-2022 13:17 ]

Cloud ☁️

zaterdag 12 maart 2022 18:41

Acties:
  • 0 Henk 'm!
  • qwasd
  • Registratie: September 2012
  • Laatst online: 16-05 20:01

qwasd

Lijkt erop dat je gebruik maakt van ADFS en dan heb je een failover nodig en je on prem AD moet uiteraard beschikbaar zijn. Ligt je ADFS server dus plat kun je ook niet inloggen op Office 365.

Is er geen failover kun je bijvoorbeeld overstappen op PHS (password hash sync) en ben je afhankelijk van Microsoft. Uiteraard worden je wachtwoorden nog wel gesynced met AD connect van je on prem AD naar Azure AD.

[ Voor 9% gewijzigd door qwasd op 12-03-2022 18:43 ]

maandag 14 maart 2022 09:19

Acties:
  • +1 Henk 'm!
  • RedCellNL
  • Registratie: September 2003
  • Laatst online: 11-04-2024

RedCellNL

Topicstarter
HKLM_ schreef op zaterdag 12 maart 2022 @ 13:16:
Je zal je SaaS dienst moeten configureren zodat deze overweg kan met Azure AD SSO

Ik zou hem gelijk omklussen dat de Azure AD gebruikt gaat worden en niet meer on-prem.
Als men inlogt op een zakelijke SaaS dienst dan wordt je geredirect naar Microsoft voor authenticatie. Als je dan <inlognaam>@bedrijfsnaam.nl/com invult wordt je doorgestuurd naar de on-premises authenticatie pagina.

Dit laatste zal dus niet meer werken als on-premises er niet meer is, het eerste stuk is Microsoft en dat zal blijven werken. Het enige wat er dan moet gebeuren als on-premises er uit ligt is aangeven binnen Azure AD dat als iemand invult <inlognaam>@bedrijfsnaam.nl/com er geen redirect moet plaats vinden maar dat Azure AD de authenticatie moet uitvoeren. Als dit mogelijk is.
qwasd schreef op zaterdag 12 maart 2022 @ 18:41:
Is er geen failover kun je bijvoorbeeld overstappen op PHS (password hash sync) en ben je afhankelijk van Microsoft. Uiteraard worden je wachtwoorden nog wel gesynced met AD connect van je on prem AD naar Azure AD.
Password Hash Sync hebben we ingeschakeld. Dus mijns inziens heeft Azure AD alle informatie (usernames+passwords) om de authenticatie te verzorgen als on-premises er uit ligt.

maandag 14 maart 2022 18:08

Acties:
  • 0 Henk 'm!
  • qwasd
  • Registratie: September 2012
  • Laatst online: 16-05 20:01

qwasd

RedCellNL schreef op maandag 14 maart 2022 @ 09:19:
[...]


Als men inlogt op een zakelijke SaaS dienst dan wordt je geredirect naar Microsoft voor authenticatie. Als je dan <inlognaam>@bedrijfsnaam.nl/com invult wordt je doorgestuurd naar de on-premises authenticatie pagina.

Dit laatste zal dus niet meer werken als on-premises er niet meer is, het eerste stuk is Microsoft en dat zal blijven werken. Het enige wat er dan moet gebeuren als on-premises er uit ligt is aangeven binnen Azure AD dat als iemand invult <inlognaam>@bedrijfsnaam.nl/com er geen redirect moet plaats vinden maar dat Azure AD de authenticatie moet uitvoeren. Als dit mogelijk is.


[...]


Password Hash Sync hebben we ingeschakeld. Dus mijns inziens heeft Azure AD alle informatie (usernames+passwords) om de authenticatie te verzorgen als on-premises er uit ligt.
https://docs.microsoft.co...d-authn#comparing-methods

Je kunt federated authentication (ADFS) dan omzetten naar Password hash synchronization + Seamless SSO

dinsdag 15 maart 2022 09:57

Acties:
  • +1 Henk 'm!
  • RedCellNL
  • Registratie: September 2003
  • Laatst online: 11-04-2024

RedCellNL

Topicstarter
Ik zie het, dus dan zal ik het volgende moeten omzetten:

Dit (Federation Enabled):
Afbeeldingslocatie: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/media/deploy-cloud-user-authentication/current-user-settings-on-azure-ad-portal.png

Naar dit (Federation Disabled + Seamless single sign-on enabled)
Afbeeldingslocatie: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/media/deploy-cloud-user-authentication/reverify-settings.png

vrijdag 18 maart 2022 00:04

Acties:
  • 0 Henk 'm!
  • qwasd
  • Registratie: September 2012
  • Laatst online: 16-05 20:01

qwasd

RedCellNL schreef op dinsdag 15 maart 2022 @ 09:57:
Ik zie het, dus dan zal ik het volgende moeten omzetten:

Dit (Federation Enabled):
[Afbeelding]

Naar dit (Federation Disabled + Seamless single sign-on enabled)
[Afbeelding]
Correct. Dit kun je omzetten via Azure AD Connect of Powershell.

vrijdag 18 maart 2022 13:35

Acties:
  • +2 Henk 'm!
  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 15-05 21:48

BytePhantomX

Als je ADFS alleen gebruikt voor AzureAD, zou ik hem zsm uitfaseren. Mijn ervaring is dat ADFS veel minder prettig werkt en je veel features mist. Daarnaast is ADFS heel lastig om goed te beveiligen en beschikbaarheid te garanderen in verhouding tot de dienst afnemen bij Microsoft.

Als je goed zoekt kun je in de Docs ook vinden dat je het per gebruiker om kan zetten volgens mij. Hoef je het niet in 1x voor iedereen om te zetten.

[ Voor 6% gewijzigd door BytePhantomX op 19-03-2022 12:47 ]

zaterdag 19 maart 2022 00:10

Acties:
  • +1 Henk 'm!
  • qwasd
  • Registratie: September 2012
  • Laatst online: 16-05 20:01

qwasd

BytePhantomX schreef op vrijdag 18 maart 2022 @ 13:35:
Als je ADFS alleen gebruikt voor AzureAD, zou ik hem zsm uitfaseren. Mijn ervaring is dat ADFS veel minder prettig werkt en je veel features mist. Daarnaast is ADFS heel lastig om goed te beveiligen en beschikbaarheid te garanderen in verhouding tot de dienst afnemen bij Microsoft.

Als je goed zoekt kun je in de Docs ook vinden dat je het per gebruiker om kan zetten volgens mij. Hoe je het niet in 1x voor iedereen om te zetten.
Dit kan inderdaad met de staged rollout.

https://docs.microsoft.co...to-connect-staged-rollout

Zo hebben wij het ook gedaan en werkte prima.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq