Sdílet prostřednictvím

Správa a přizpůsobení služby AD FS pomocí služby Microsoft Entra Connect

  • Článek

Tento článek popisuje, jak spravovat a přizpůsobovat Active Directory Federation Services (AD FS) (AD FS) pomocí služby Microsoft Entra Connect.

Dozvíte se také o dalších běžných úlohách služby AD FS, které možná budete muset provést, abyste úplně nakonfigurovali farmu služby AD FS. Tyto úlohy jsou uvedeny v následující tabulce:

Úloha Popis
Správa služby AD FS
Obnova důvěry Zjistěte, jak opravit federativní důvěryhodnost v Microsoft 365.
Federování s Microsoft Entra ID pomocí alternativního přihlašovacího ID Zjistěte, jak nakonfigurovat federaci pomocí alternativního přihlašovacího ID.
Přidat server AD FS Zjistěte, jak rozšířit farmu služby AD FS o další server SLUŽBY AD FS.
Přidání serveru webových proxy aplikací služby AD FS (WAP) Zjistěte, jak rozšířit farmu služby AD FS o další server WAP.
Přidání federované domény Zjistěte, jak přidat federovanou doménu.
Aktualizace certifikátu TLS/SSL Zjistěte, jak aktualizovat certifikát TLS/SSL pro farmu služby AD FS.
Přizpůsobení služby AD FS
Přidání vlastního firemního loga nebo ilustrace Zjistěte, jak přizpůsobit přihlašovací stránku služby AD FS s logem společnosti a ilustrací.
Přidejte popis přihlášení Přečtěte si, jak přidat popis přihlašovací stránky.
Upravit pravidla deklarací AD FS Zjistěte, jak upravit deklarace identity služby AD FS pro různé scénáře federace.

Správa služby AD FS

Pomocí průvodce Microsoft Entra Connect můžete provádět různé úlohy související se službou AD FS s minimálním zásahem uživatele. Po dokončení instalace nástroje Microsoft Entra Connect spuštěním průvodce ho můžete spustit znovu a provést další úlohy.

Důležitý

Upozorňujeme, že pokud konfigurujete federaci se službou AD FS nebo PingFederate, budete potřebovat účet s rolí globálního správce nebo účet, který má role správce hybridní identity a správce názvu domény. Konfigurace související s federací vyžadují oprávnění, která správce hybridní identity aktuálně nemá, ale role správce domén je má.

Opravit důvěru

Pomocí nástroje Microsoft Entra Connect můžete zkontrolovat aktuální stav vztahu důvěryhodnosti AD FS a Id Microsoft Entra a pak provést příslušné akce k opravě vztahu důvěryhodnosti. Pokud chcete opravit ID Microsoft Entra a důvěryhodnost AD FS, postupujte takto:

  1. V seznamu úkolů vyberte Opravit Microsoft Entra ID a vztah důvěryhodnosti ADFS.

    Toto je snímek obrazovky stránky

  2. Na stránce Connect to Microsoft Entra ID (Připojit k Microsoft Entra ID) zadejte své přihlašovací údaje správce hybridní identity pro ID Microsoft Entra a pak vyberte Další.

    Snímek obrazovky se stránkou Připojit k ID Microsoft Entra se zadanými ukázkovými přihlašovacími údaji

  3. Na stránce s přihlašovacími údaji vzdáleného přístupu zadejte přihlašovací údaje správce domény.

    Snímek obrazovky znázorňující stránku Přihlašovací údaje vzdáleného přístupu s ukázkovými přihlašovacími údaji správce domény

  4. Vyberte Další.

    Microsoft Entra Connect kontroluje stav certifikátu a zobrazuje případné problémy.

    Snímek obrazovky se stránkou Certifikáty zobrazující stav aktuálních certifikátů

    Na stránce Připraveno ke konfiguraci se zobrazí seznam akcí, které budou provedeny k obnovení důvěry.

    Snímek obrazovky znázorňující stránku Připraveno ke konfiguraci se seznamem akcí, které se mají provést

  5. Pro opravu důvěry vyberte Nainstalovat.

Poznámka:

Microsoft Entra Connect může opravit nebo reagovat pouze na certifikáty podepsané svým držitelem. Microsoft Entra Connect nemůže opravit certifikáty třetích stran.

Federace s Microsoft Entra ID pomocí alternativního ID

Doporučujeme ponechat místní hlavní název uživatele (UPN) a hlavní název uživatele cloudu stejný. Pokud místní hlavní název uživatele (UPN) používá nesměrovatelnou doménu (například Contoso.local) nebo se nedá změnit kvůli závislostem místní aplikace, doporučujeme nastavit alternativní přihlašovací ID. Pomocí alternativního přihlašovacího ID můžete nakonfigurovat přihlašovací prostředí, ve kterém se uživatelé můžou přihlásit pomocí jiného atributu než hlavního názvu uživatele (UPN), například e-mailové adresy.

Volba hlavního názvu uživatele (UPN) ve službě Microsoft Entra Connect se ve výchozím nastavení nastaví na atribut userPrincipalName ve službě Active Directory. Pokud zvolíte jiný atribut hlavního názvu uživatele (UPN) a federujete pomocí služby AD FS, Microsoft Entra Connect nakonfiguruje službu AD FS pro alternativní přihlašovací ID.

Příklad výběru jiného atributu pro UPN je zobrazen na následujícím obrázku:

Snímek obrazovky znázorňující stránku Konfigurace přihlášení k Microsoft Entra pro výběr jiného atributu uživatelského hlavního jména (UPN)

Konfigurace alternativního ID přihlašování pro službu AD FS se skládá ze dvou hlavních kroků:

  1. Nakonfigurujte správnou sadu výroků vystavování: Pravidla výroků vystavování ve vztahu důvěryhodné strany Microsoft Entra ID jsou upravena tak, aby používala vybraný atribut UserPrincipalName jako alternativní ID uživatele.

  2. Povolte alternativní přihlašovací ID v konfiguraci služby AD FS: Konfigurace služby AD FS se aktualizuje, aby služba AD FS mohla vyhledat uživatele v příslušných doménových strukturách pomocí alternativního ID. Tato konfigurace je podporovaná pro službu AD FS ve Windows Serveru 2012 R2 (s KB2919355) nebo novějším. Pokud jsou servery služby AD FS 2012 R2, Microsoft Entra Connect zkontroluje přítomnost požadované znalostní báze. Pokud znalostní báze není zjištěna, po dokončení konfigurace se zobrazí upozornění, jak je znázorněno na následujícím obrázku:

    Snímek obrazovky stránky

    Pokud chybí KB, můžete konfiguraci napravit instalací požadovaného KB2919355. Potom můžete postupovat podle pokynů v opravě důvěry.

Poznámka:

Další informace o alternativním ID a postupu ruční konfigurace najdete v tématu Konfigurace alternativního PŘIHLAŠOVACÍHO ID.

Přidejte server AD FS

Poznámka:

K přidání serveru AD FS vyžaduje Microsoft Entra Connect certifikát PFX. Tuto operaci tedy můžete provést pouze v případě, že jste nakonfigurovali farmu služby AD FS pomocí nástroje Microsoft Entra Connect.

  1. Vyberte Nasadit další federační server a pak vyberte Další.

    Snímek obrazovky s podoknem Další úlohy pro nasazení dalšího federačního serveru

  2. Na stránce Připojit k Microsoft Entra ID zadejte přihlašovací údaje správce hybridní identity pro ID Microsoft Entra a pak vyberte Další.

    Snímek obrazovky znázorňující stránku Připojit k ID Microsoft Entra se zadanými ukázkovými přihlašovacími údaji

  3. Zadejte přihlašovací údaje správce domény.

    Snímek obrazovky, který zobrazuje stránku

  4. Microsoft Entra Connect požádá o heslo souboru PFX, který jste zadali při konfiguraci nové farmy služby AD FS pomocí služby Microsoft Entra Connect. Vyberte Zadat heslo a zadejte heslo pro soubor PFX.

    Snímek obrazovky se stránkou

    Snímek obrazovky se stránkou Zadat certifikát SSL po zadání hesla pro soubor PFX

  5. Na stránce Servery služby AD FS zadejte název serveru nebo IP adresu, které se mají přidat do farmy služby AD FS.

    Snímek obrazovky, který ukazuje stránku Servery služby AD FS.

  6. Vyberte Další a pokračujte dokončením konečné stránky Konfigurovat .

    Jakmile Microsoft Entra Connect dokončí přidávání serverů do farmy služby AD FS, budete mít možnost ověřit připojení.

    Snímek obrazovky se stránkou Připraveno ke konfiguraci se seznamem akcí, které se mají dokončit po výběru možnosti Instalovat

    Snímek obrazovky se stránkou Instalace byla dokončena.

Přidání serveru WAP služby AD FS

Poznámka:

Pro přidání serveru webové aplikační proxy vyžaduje Microsoft Entra Connect certifikát PFX. Tuto operaci tedy můžete provést až po nakonfigurování farmy služby AD FS pomocí nástroje Microsoft Entra Connect.

  1. V seznamu dostupných úloh vyberte Nasadit webovou aplikační proxy.

    Nasazení proxy webové aplikace

  2. Zadejte přihlašovací údaje správce hybridní identity Azure.

    Snímek obrazovky ukazující stránku „Připojit k ID Microsoft Entra“ se zadaným ukázkovým uživatelským jménem a heslem.

  3. Na stránce Zadat certifikát SSL zadejte heslo pro soubor PFX, který jste zadali při konfiguraci farmy služby AD FS pomocí služby Microsoft Entra Connect. Heslo certifikátu

    Zadání certifikátu TLS/SSL

  4. Přidejte server, který se má přidat jako server WAP. Protože server WAP nemusí být připojený k doméně, průvodce požádá o přihlašovací údaje správce k serveru, který se přidává.

    Přihlašovací údaje serveru pro správu

  5. Na stránce důvěryhodnosti proxy serveru zadejte přihlašovací údaje správce pro konfiguraci důvěryhodnosti proxy serveru a přístup k primárnímu serveru ve farmě AD FS.

    Přihlašovací údaje důvěryhodnosti proxy serveru

  6. Na stránce Připraveno ke konfiguraci zobrazí průvodce seznam akcí, které se budou provádět.

    Snímek obrazovky znázorňující stránku Připraveno ke konfiguraci se seznamem akcí, které se mají provést

  7. Konfiguraci dokončíte výběrem možnosti Nainstalovat . Po dokončení konfigurace vám průvodce poskytne možnost ověřit připojení k serverům. Vyberte Ověřit a zkontrolujte připojení.

    Instalace byla dokončena.

Přidání federované domény

Pomocí microsoft Entra Connect můžete snadno přidat doménu, která se má federovat s MICROSOFT Entra ID. Microsoft Entra Connect přidá doménu pro federaci a upraví pravidla deklarací identity tak, aby správně odrážela vystavitele, pokud máte více domén federovaných s Microsoft Entra ID.

  1. Pokud chcete přidat federovanou doménu, vyberte Přidat další doménu Microsoft Entra.

    Snímek obrazovky s podoknem Další úkoly pro výběr možnosti Přidat další doménu Microsoft Entra

  2. Na další stránce průvodce zadejte přihlašovací údaje hybridního správce pro MICROSOFT Entra ID.

    Snímek obrazovky znázorňující podokno Další úkoly pro výběr možnosti Přidat další doménu Microsoft Entra

  3. Na stránce s přihlašovacími údaji vzdáleného přístupu zadejte přihlašovací údaje správce domény.

    Snímek obrazovky s podoknem Další úkoly pro výběr možnosti Přidat další doménu Microsoft Entra

  4. Na další stránce průvodce poskytuje seznam domén Microsoft Entra, se kterými můžete federovat místní adresář. Zvolte doménu ze seznamu.

    Snímek obrazovky podokna

    Po výběru domény vás průvodce informuje o dalších akcích, které provede, a dopadu konfigurace. Pokud v některých případech vyberete doménu, která ještě není ověřená v Microsoft Entra ID, průvodce vám pomůže ověřit doménu. Další informace naleznete v tématu Přidání vlastního názvu domény do Microsoft Entra ID.

  5. Vyberte Další.

    Stránka Připraveno ke konfiguraci obsahuje seznam akcí, které bude microsoft Entra Connect provádět.

    Snímek obrazovky s podoknem Další úkoly, které ukazuje, jak přidat další doménu Microsoft Entra

  6. Konfiguraci dokončíte výběrem možnosti Nainstalovat .

Poznámka:

Uživatelé v přidané federované doméně musí být synchronizovaní, aby se mohli přihlásit k MICROSOFT Entra ID.

Přizpůsobení služby AD FS

Následující části obsahují podrobnosti o některých běžných úlohách, které možná budete muset provést, abyste přizpůsobili přihlašovací stránku služby AD FS.

Pokud chcete změnit logo společnosti zobrazené na přihlašovací stránce, použijte následující rutinu a syntaxi PowerShellu.

Poznámka:

Doporučené rozměry loga jsou 260 x 35 @ 96 dpi s velikostí souboru maximálně 10 kB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Poznámka:

Parametr TargetName je povinný. Výchozí motiv vydaný se službou AD FS má název Default.

Přidejte popis přihlášení

Pokud chcete na přihlašovací stránku přidat popis přihlašovací stránky, použijte následující rutinu a syntaxi PowerShellu.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Úprava pravidel nároků AD FS

Služba AD FS podporuje bohatý jazyk deklarací identity, který můžete použít k vytváření vlastních pravidel deklarací identity. Další informace najdete v tématu Role jazyka pravidel deklarací identity.

Následující části popisují, jak můžete napsat vlastní pravidla pro některé scénáře, které souvisejí s federací Microsoft Entra ID a AD FS.

Neměnné ID podmíněné na hodnotě, která se nachází v atributu

Microsoft Entra Connect umožňuje zadat atribut, který se má použít jako zdrojové ukotvení, když se objekty synchronizují s ID Microsoft Entra. Pokud hodnota ve vlastním atributu není prázdná, možná budete chtít vydat neměnnou deklaraci ID.

Můžete například vybrat ms-ds-consistencyguid jako atribut pro kotvu zdroje a použít ImmutableID jako ms-ds-consistencyguid v případě, že má atribut hodnotu. Pokud atribut neobsahuje žádnou hodnotu, zadejte objectGuid jako neměnné ID. Vlastní pravidla pro deklarace můžete vytvořit podle popisu v následující části.

Pravidlo 1: Atributy dotazu

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

V tomto pravidle se dotazujete na hodnoty ms-ds-consistencyguid a objectGuid pro uživatele ze služby Active Directory. Změňte název úložiště na odpovídající název úložiště v nasazení služby AD FS. Změňte také typ pohledávek na správný typ pro vaši federaci, jak je to definováno pro objectGuid a ms-ds-consistencyguid.

Také použitím add a ne issue, vyhněte se přidání odchozího problému pro entitu a můžete použít hodnoty jako zprostředkující hodnoty. Nárok vydáte v následném pravidle, jakmile určíte, kterou hodnotu použijete jako neměnné ID.

Pravidlo 2: Zkontrolujte, jestli pro uživatele existuje ms-ds-consistencyguid.

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Toto pravidlo definuje dočasný příznak idflag, který je nastaven useguid, pokud pro uživatele není vyplněn ms-ds-consistencyguid. Logika za tím spočívá v tom, že služba AD FS nepovoluje prázdné deklarace identity. Když přidáte deklarace identity http://contoso.com/ws/2016/02/identity/claims/objectguid a http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid v pravidle 1, skončíte s deklarací identity msdsconsistencyguid pouze v případě, že je pro uživatele naplněna hodnota. Pokud se nenaplní, služba AD FS uvidí, že bude mít prázdnou hodnotu a okamžitě ji zahodí. Všechny objekty budou mít objectGuid, takže tvrzení bude vždy přítomno po spuštění pravidla 1.

Pravidlo 3: Přiřadit ms-ds-consistencyguid jako neměnné ID, pokud je přítomno

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Toto je implicitní Exist kontrola. Pokud hodnota pro nárok existuje, použijte ji jako neměnné ID. Předchozí příklad používá nameidentifier deklaraci identity. Budete muset toto změnit na odpovídající typ požadavku pro neměnné ID ve vašem prostředí.

Pravidlo 4: Vydejte "objectGuid" jako neměnné ID, pokud ms-ds-consistencyGuid není k dispozici

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Pomocí tohoto pravidla jednoduše kontrolujete dočasný příznak idflag. Rozhodnete se, zda vydáte pohledávku na základě její hodnoty.

Poznámka:

Pořadí těchto pravidel je důležité.

Jednotné přihlašování s poddoménou hlavního názvu uživatele (UPN)

Pomocí nástroje Microsoft Entra Connect můžete přidat více než jednu doménu, kterou chcete federovat, jak je popsáno v tématu Přidání nové federované domény. Microsoft Entra Connect verze 1.1.553.0 a novější vytvoří správné pravidlo deklarace identity pro issuerID automaticky.

Další kroky

Přečtěte si další informace o možnostech přihlašování uživatelů.