AD FS-Anforderungen
Für die Bereitstellung von Active Directory-Verbunddienste (AD FS) ist Folgendes erforderlich:
Zertifikatanforderungen
TLS/SSL-Zertifikate
Jeder AD FS- und Webanwendungsproxy-Server verfügt über ein TLS/SSL-Zertifikat, um HTTPS-Anforderungen an den Verbunddienst zu erfüllen. Der Webanwendungsproxy kann über zusätzliche SSL-Zertifikate für Dienstanforderungen verfügen, die an veröffentlichte Anwendungen gerichtet sind.
Empfehlungen für TLS/SSL-Zertifikate
Verwenden Sie das gleiche TLS/SSL-Zertifikat für alle AD FS-Verbundserver und Webanwendungsproxys.
Anforderungen für TLS/SSL-Zertifikate
TLS/SSL-Zertifikate auf Verbundservern müssen die folgenden Anforderungen erfüllen:
- Das Zertifikat muss ein öffentlich vertrauenswürdiges Zertifikat sein (für Bereitstellungen in der Produktionsumgebung).
- Das Zertifikat muss den EKU-Wert (Enhanced Key Usage, erweiterte Schlüsselverwendung) für die Serverauthentifizierung enthalten.
- Das Zertifikat muss im Betreff oder im alternativen Antragstellernamen (Subject Alternative Name, SAN) den Namen des Verbunddiensts enthalten (beispielsweise
fs.contoso.com
). - Für die Benutzerzertifikatauthentifizierung am Port 443 muss das Zertifikat
certauth.\<federation service name\>
enthalten (beispielsweisecertauth.fs.contoso.com
im alternativen Antragstellernamen). - Für die Geräteregistrierung oder für die moderne Authentifizierung bei lokalen Ressourcen unter Verwendung von Clients vor Windows 10 muss der alternative Antragstellername
enterpriseregistration.\<upn suffix\>
für jedes in der Organisation verwendete UPN-Suffix (User Principal Name, Benutzerprinzipalname) enthalten.
TLS/SSL-Zertifikate auf dem Webanwendungsproxy müssen folgende Anforderungen erfüllen:
- Wenn der Proxy für AD FS-Anforderungen verwendet wird, die die integrierte Windows-Authentifizierung verwenden, muss das TLS/SSL-Proxyzertifikat mit dem TLS/SSL-Zertifikat des Verbundservers identisch sein (also den gleichen Schlüssel verwenden).
- Wenn die AD FS-Eigenschaft ExtendedProtectionTokenCheck aktiviert ist (die Standardeinstellung in AD FS), muss das TLS/SSL-Proxyzertifikat mit dem TLS/SSL-Zertifikat des Verbundservers identisch sein (also den gleichen Schlüssel verwenden).
- Ansonsten entsprechen die Anforderungen für das TLS/SSL-Proxyzertifikat den Anforderungen für das TLS/SSL-Zertifikat des Verbundservers.
Dienstkommunikationszertifikat
Dieses Zertifikat ist für die meisten AD FS-Szenarien nicht erforderlich. Das gilt auch für Microsoft Entra ID- und Office 365-Szenarien. Standardmäßig konfiguriert AD FS das bei der Erstkonfiguration bereitgestellte TLS/SSL-Zertifikat als Dienstkommunikationszertifikat.
Empfehlung für das Dienstkommunikationszertifikat
- Verwenden Sie das gleiche Zertifikat wie für TLS/SSL.
Tokensignaturzertifikat
Dieses Zertifikat wird verwendet, um ausgestellte Token an vertrauende Seiten zu signieren. Daher müssen Anwendungen der vertrauenden Seite das Zertifikat und den zugehörigen Schlüssel als bekannt und vertrauenswürdig erkennen. Wenn sich das Tokensignaturzertifikat ändert (wenn es z. B. abläuft und du ein neues Zertifikat konfigurierst), müssen alle beteiligten Seiten aktualisiert werden.
Empfehlung für Tokensignaturzertifikat
Verwende die standardmäßigen, intern generierten, selbstsignierten AD FS-Tokensignaturzertifikate.
Anforderungen für Tokensignaturzertifikat
- Wenn die Organisation erfordert, dass Zertifikate aus der PKI (Public Key Infrastructure) des Unternehmens für die Tokensignatur verwendet werden, kann dies mit dem Parameter SigningCertificateThumbprint des Cmdlets Install-AdfsFarm erreicht werden.
- Unabhängig davon, ob du die intern generierten Standardzertifikate oder extern registrierte Zertifikate verwendest, musst du bei einer Änderung des Tokensignaturzertifikats sicherstellen, dass alle Seiten, die sich auf das Zertifikat verlassen, mit den neuen Zertifikatsinformationen aktualisiert werden. Andernfalls können sich diese vertrauenden Seiten nicht anmelden.
Zertifikat zur Verschlüsselung/Entschlüsselung von Token
Dieses Zertifikat wird von Anspruchsanbietern verwendet, die an AD FS ausgegebene Token verschlüsseln.
Empfehlung für das Zertifikat zur Verschlüsselung/Entschlüsselung von Token
Verwende die standardmäßigen, intern generierten, selbstsignierten AD FS-Tokenentschlüsselungszertifikate.
Anforderungen für das Zertifikat zur Verschlüsselung/Entschlüsselung von Token
- Wenn die Organisation die Verwendung von Zertifikaten aus der Unternehmens-PKI für die Tokensignatur erfordert, kann dies mit dem Parameter DecryptingCertificateThumbprint des Cmdlets Install-AdfsFarm erreicht werden.
- Unabhängig davon, ob du die intern generierten Standardzertifikate oder extern registrierte Zertifikate verwendest, musst du bei einer Änderung des Tokenentschlüsselungszertifikats sicherstellen, dass alle Anspruchanbieter mit den neuen Zertifikatsinformationen aktualisiert werden. Andernfalls treten bei Anmeldungen mit nicht aktualisierten Anspruchsanbietern entsprechende Fehler auf.
Achtung
Zertifikate, die für die Tokensignatur und die Tokenentschlüsselung-/verschlüsselung verwendet werden, sind wichtig für die Stabilität des Verbunddiensts. Kunden, die ihre eigenen Zertifikate für Tokensignatur und Tokenentschlüsselung bzw. -verschlüsselung verwalten, sollten sicherstellen, dass diese Zertifikate gesichert werden und während eines Wiederherstellungsereignisses unabhängig voneinander verfügbar sind.
Benutzerzertifikate
- Bei Verwendung der X.509-Benutzerzertifikatauthentifizierung mit AD FS müssen alle Benutzerzertifikate zu einer Stammzertifizierungsstelle führen, der AD FS- und Webanwendungsproxy-Server vertrauen.
Hardwareanforderungen
Die Hardwareanforderungen für AD FS und den Webanwendungsproxy (physisch oder virtuell) werden auf die CPU abgegrenzt, daher solltest du die Größe deiner Farm auf die Verarbeitungskapazität ausrichten.
- Verwenden Sie die Kapazitätsplanungstabelle für AD FS 2016, um die Anzahl benötigter AD FS- und Webanwendungsproxy-Server zu bestimmen.
Die Arbeitsspeicher- und Datenträgeranforderungen für AD FS sind relativ statisch. Die Anforderungen sind in der folgenden Tabelle enthalten:
Hardwareanforderung | Mindestanforderung | Empfohlene Anforderung |
---|---|---|
RAM | 2 GB | 4 GB |
Speicherplatz | 32 GB | 100 GB |
Hardwareanforderungen von SQL Server
Wenn Sie Azure SQL für Ihre AD FS-Konfigurationsdatenbank verwenden, dimensionieren Sie SQL Server gemäß den grundlegendsten SQL Server-Empfehlungen. Die AD FS-Datenbank ist klein, und AD FS belastet die Datenbankinstanz bei der Verarbeitung nicht wesentlich. AD FS verbindet sich jedoch während einer Authentifizierung mehrfach mit der Datenbank, sodass die Netzwerkverbindung zuverlässig sein sollte. Leider wird SQL Azure für die AD FS-Konfigurationsdatenbank nicht unterstützt.
Proxyanforderungen
Für den Extranetzugriff muss der Webanwendungsproxy-Rollendienst als Teil der Remotezugriffs-Serverrolle bereitgestellt werden.
Proxys von Drittanbietern müssen das MS-ADFSPIP-Protokoll unterstützen, um als AD FS-Proxy unterstützt zu werden. Eine Liste der Drittanbieter finden Sie unter Häufig gestellte Fragen (FAQ) zu AD FS.
AD FS 2016 erfordert Webanwendungsproxy-Server unter Windows Server 2016. Für eine AD FS 2016-Farm, die auf der Farmverhaltensebene 2016 ausgeführt wird, kann kein Proxy einer früheren Version konfiguriert werden.
Ein Verbundserver und der Webanwendungsproxy-Rollendienst können nicht auf demselben Computer installiert werden.
AD DS-Anforderungen
Anforderungen an den Domänencontroller
AD FS erfordert Domänencontroller mit Windows Server 2008 oder höher.
Für Windows Hello for Business ist mindestens ein Windows Server 2016-Domänencontroller erforderlich.
Hinweis
Sämtliche Unterstützung für Umgebungen mit Windows Server 2003-Domänencontrollern wurde eingestellt. Weitere Informationen finden Sie unter Lebenszyklusinformationen über Produkte und Dienste suchen.
Anforderungen an die Domänenfunktionsebene
Alle Benutzerkontodomänen und die Domäne, mit der die AD FS-Server verknüpft sind, müssen mindestens auf der Domänenfunktionsebene von Windows Server 2003 betrieben werden.
Für die Clientzertifikatauthentifizierung ist mindestens die Domänenfunktionsebene von Windows Server 2008 erforderlich, wenn das Zertifikat explizit einem Benutzerkonto in AD DS zugeordnet ist.
Schemaanforderungen
Neue Installationen von AD FS 2016 erfordern das Active Directory 2016-Schema (mindestens Version 85).
Das Heraufsetzen der AD FS-Farmverhaltensebene auf die Ebene von 2016 erfordert das Active Directory 2016-Schema (mindestens Version 85).
Dienstkontenanforderungen
Jedes Standarddomänenkonto kann als Dienstkonto für AD FS verwendet werden. Gruppenverwaltete Dienstkonten werden ebenfalls unterstützt. Die zur Laufzeit erforderlichen Berechtigungen werden automatisch wieder hinzugefügt, wenn Sie AD FS konfigurieren.
Die für das AD-Dienstkonto erforderliche Zuweisung von Benutzerrechten lautet Als Dienst anmelden.
Die für
NT Service\adfssrv
undNT Service\drs
erforderlichen Zuweisungen von Benutzerrechten lauten Sicherheitsaudits generieren und Als Dienst anmelden.Für gruppenverwaltete Dienstkonten ist mindestens ein Domänencontroller mit Windows Server 2012 oder einer höheren Version erforderlich. Das gruppenverwaltete Dienstkonto (Group Managed Service Account, gMSA) muss sich unter dem Standardcontainer
CN=Managed Service Accounts
befinden.Für die Kerberos-Authentifizierung muss der Dienstprinzipalname „
HOST/<adfs\_service\_name>
“ für das AD FS-Dienstkonto registriert werden. Standardmäßig wird diese Anforderung von AD FS beim Erstellen einer neuen AD FS-Farm konfiguriert. Ist dieser Prozess nicht erfolgreich (beispielsweise bei Konflikten oder unzureichenden Berechtigungen), wird eine Warnung angezeigt, und das Hinzufügen muss manuell durchgeführt werden.
Domänenanforderungen
Alle AD FS-Server müssen einer AD DS-Domäne beigetreten sein.
Alle AD FS-Server innerhalb einer Farm müssen in derselben Domäne bereitgestellt werden.
AD FS-Installation des ersten Farmknotens hängt davon ab, ob das PDC verfügbar ist.
Anforderungen für mehrere Gesamtstrukturen
Die Domäne, der die AD FS-Server beigetreten sind, muss jeder Domäne oder Gesamtstruktur vertrauen, die Benutzer enthält, die sich gegenüber dem AD FS-Dienst authentifizieren.
Die Gesamtstruktur, der das AD FS-Dienstkonto angehört, muss allen Gesamtstrukturen für die Benutzeranmeldung vertrauen.
Das AD FS-Dienstkonto muss über Berechtigungen zum Lesen von Benutzerattributen in jeder Domäne verfügen, die Benutzer enthält, die sich gegenüber dem AD FS-Dienst authentifizieren.
Anforderungen an die Konfigurationsdatenbank
In diesem Abschnitt werden die Anforderungen und Einschränkungen für AD FS-Farmen beschrieben, die als Datenbank die interne Windows-Datenbank (WID) oder SQL Server verwenden:
WID
Das Artefaktauflösungsprofil von SAML 2.0 wird in einer WID-Farm nicht unterstützt.
Die Tokenwiederholungserkennung wird in einer WID-Farm nicht unterstützt. Diese Funktion wird in Szenarien verwendet, in denen AD FS als Verbundanbieter fungiert und Sicherheitstoken von externen Anspruchsanbietern nutzt.
Die folgende Tabelle bietet eine Übersicht, wie viele AD FS-Server in einer WID-Farm im Vergleich zu einer SQL Server-Farm unterstützt werden.
1–100 Vertrauensstellungen der vertrauenden Seite (RP) | Mehr als 100 Vertrauensstellungen der vertrauenden Seite (RP) |
---|---|
1–30 AD FS-Knoten: Von WID unterstützt | 1–30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich |
Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich | Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich |
SQL Server
Für AD FS in Windows Server 2016 werden SQL Server 2008 und höhere Versionen unterstützt.
In einer SQL Server-Farm werden sowohl die SAML-Artefaktauflösung als auch die Tokenwiederholungserkennung unterstützt.
Browseranforderungen
Wenn die AD FS-Authentifizierung über einen Browser oder ein Browsersteuerelement durchgeführt wird, muss der Browser die folgenden Anforderungen erfüllen:
JavaScript muss aktiviert sein.
Für einmaliges Anmelden muss der Clientbrowser so konfiguriert werden, dass er Cookies zulässt.
Die Servernamensanzeige (Server Name Indicator, SNI) muss unterstützt werden.
Für die Benutzerzertifikat- und Gerätezertifikatauthentifizierung muss der Browser die TLS/SSL-Clientzertifikatauthentifizierung unterstützen.
Für eine nahtlose Anmeldung unter Verwendung der integrierten Windows-Authentifizierung muss der Name des Verbunddiensts (z. B.
https:\/\/fs.contoso.com
) in der lokalen Intranetzone oder in der Zone vertrauenswürdiger Websites konfiguriert werden.
Netzwerkanforderungen
Firewallanforderungen
Sowohl in der Firewall zwischen dem Webanwendungsproxy und der Verbundserverfarm als auch in der Firewall zwischen den Clients und dem Webanwendungsproxy muss der TCP-Port 443 für eingehenden Datenverkehr aktiviert sein.
Außerdem gilt: Wenn eine Clientauthentifizierung mit Benutzerzertifikat (clientTLS-Authentifizierung mit X.509-Benutzerzertifikaten) erforderlich und der Port 443 am Endpunkt für die Zertifikatauthentifizierung nicht aktiviert ist, erfordert AD FS 2016 die Aktivierung des TCP-Ports 49443 für eingehenden Datenverkehr in der Firewall zwischen den Clients und dem Webanwendungsproxy. Diese Anforderung gilt nicht für die Firewall zwischen dem Webanwendungsproxy und den Verbundservern.
Weitere Informationen zu den Anforderungen für Hybridports finden Sie unter Erforderliche Ports und Protokolle für die Hybrid-Identität.
Weitere Informationen finden Sie unter Best Practices zum Sichern von Active Directory-Verbunddiensten (AD FS).
DNS-Anforderungen
Für den Intranetzugriff müssen alle Clients, die innerhalb des internen Unternehmensnetzwerks (Intranet) auf den AD FS-Dienst zugreifen, dazu in der Lage sein, den Namen des AD FS-Diensts in den Lastenausgleich für die AD FS-Server oder in den AD FS-Server aufzulösen.
Für den Extranetzugriff müssen alle Clients, die von außerhalb des Unternehmensnetzwerks (Extranet/Internet) auf den AD FS-Dienst zugreifen, dazu in der Lage sein, den Namen des AD FS-Diensts in den Lastenausgleich für die Webanwendungsproxy-Server oder in den Webanwendungsproxy-Server aufzulösen.
Jeder Webanwendungsproxy-Server in der demilitarisierten Zone (DMZ) muss in der Lage sein, den AD FS-Dienstnamen in das Lastenausgleichsmodul für die bzw. für den AD FS-Server aufzulösen. Sie können diese Konfiguration erstellen, indem Sie einen alternativen DNS-Server (Domain Name System) im DMZ-Netzwerk verwenden oder die lokale Serverauflösung mithilfe der HOSTS-Datei ändern.
Für die integrierte Windows-Authentifizierung müssen Sie einen DNS-A-Eintrag (nicht CNAME) für den Verbunddienstnamen verwenden.
Für die Benutzerzertifikatauthentifizierung am Port 443 muss „certauth.<Verbunddienstname>“ im DNS konfiguriert werden, um die Auflösung in den Verbundserver oder Webanwendungsproxy zu ermöglichen.
Für die Geräteregistrierung oder für die moderne Authentifizierung bei lokalen Ressourcen unter Verwendung von Clients vor Windows 10 muss
enterpriseregistration.\<upn suffix\>
für jedes in der Organisation verwendete UPN-Suffix so konfiguriert werden, dass es in den Verbundserver oder Webanwendungsproxy aufgelöst wird.
Anforderungen an den Lastenausgleich
- Der Lastenausgleich darf TLS/SSL nicht beenden. AD FS unterstützt mehrere Anwendungsfälle mit Zertifikatauthentifizierung, die bei Beendigung von TLS/SSL nicht mehr funktioniert. Die Beendigung von TLS/SSL beim Lastenausgleich wird für keinen Anwendungsfall unterstützt.
- Verwenden Sie einen Lastenausgleich, der SNI unterstützt. Andernfalls sollte die Verwendung der Fallbackbindung 0.0.0.0.0 auf Ihrem AD FS- oder Webanwendungsproxy-Server als Problemumgehung funktionieren.
- Verwenden Sie die HTTP-Integritätstestendpunkte (nicht HTTPS), um Lastenausgleichs-Integritätsprüfungen zum Weiterleiten des Datenverkehrs durchzuführen. Durch diese Anforderung werden Probleme im Zusammenhang mit SNI vermieden. Die Antwort auf diese Testendpunkte ist ein „HTTP 200 OK“ und sie wird lokal ohne Abhängigkeit von Back-End-Diensten bedient. Auf den HTTP-Test kann über HTTP unter dem Pfad „/adfs/probe“ zugegriffen werden.
http://<Web Application Proxy name>/adfs/probe
http://<AD FS server name>/adfs/probe
http://<Web Application Proxy IP address>/adfs/probe
http://<AD FS IP address>/adfs/probe
- Es wird nicht empfohlen, DNS-Roundrobin als Lastenausgleichsmethode zu verwenden. Die Verwendung dieser Art des Lastenausgleichs bietet keine automatische Möglichkeit, einen Knoten mithilfe von Integritätstests aus dem Lastenausgleich zu entfernen.
- Es wird nicht empfohlen, innerhalb des Lastenausgleichs die IP-basierte Sitzungsaffinität oder persistente Sitzungen für den Authentifizierungsdatenverkehr an AD FS zu verwenden. Dies kann zu einer Überlastung bestimmter Knoten führen, wenn das Legacyauthentifizierungsprotokoll für E-Mail-Clients verwendet wird, um eine Verbindung mit den E-Mail-Diensten von Office 365 (Exchange Online) herzustellen.
Berechtigungsanforderungen
Der Administrator, der die Installation und die Erstkonfiguration von AD FS durchführt, muss über lokale Administratorrechte auf dem AD FS-Server verfügen. Wenn der lokale Administrator bzw. die lokale Administratorin nicht über die Berechtigung zum Erstellen von Objekten in Active Directory verfügt, muss er bzw. sie zunächst von einem Domänenadministrator oder von einer Domänenadministratorin die erforderlichen AD-Objekte erstellen lassen und dann die AD FS-Farm mit dem Parameter AdminConfiguration konfigurieren.