Gestire e personalizzare AD FS tramite Microsoft Entra Connect
Questo articolo descrive come gestire e personalizzare Active Directory Federation Services (AD FS) tramite Microsoft Entra Connect.
Verranno inoltre fornite informazioni su altre attività comuni di AD FS che potrebbe essere necessario eseguire per configurare completamente una farm AD FS. Queste attività sono elencate nella tabella seguente:
| Attività | Descrizione |
|---|---|
| Gestire AD FS | |
| Ripristinare il trust | Informazioni su come ripristinare la relazione di trust federativa con Microsoft 365. |
| Eseguire la federazione con Microsoft Entra ID usando un ID di accesso alternativo | Informazioni su come configurare la federazione usando un ID di accesso alternativo. |
| Aggiungere un server AD FS | Informazioni su come espandere una farm AD FS con un server AD FS aggiuntivo. |
| Aggiungere un server PROXY applicazione Web AD FS (WAP) | Informazioni su come espandere una farm AD FS con un server WAP aggiuntivo. |
| Aggiunta di un dominio federato | Informazioni su come aggiungere un dominio federato. |
| Aggiornare il certificato TLS/SSL | Informazioni su come aggiornare il certificato TLS/SSL per una farm AD FS. |
| Personalizzare AD FS | |
| Aggiungere un'illustrazione o il logo personalizzato della società | Informazioni su come personalizzare una pagina di accesso di AD FS con un logo e un'illustrazione aziendali. |
| Aggiungere una descrizione di accesso | Informazioni su come aggiungere una descrizione della pagina di accesso. |
| Modificare le regole attestazioni per AD FS | Informazioni su come modificare le attestazioni AD FS per diversi scenari di federazione. |
Gestire AD FS
È possibile eseguire varie attività correlate ad AD FS in Microsoft Entra Connect con un intervento minimo dell'utente tramite la procedura guidata Microsoft Entra Connect. Dopo aver completato l'installazione di Microsoft Entra Connect eseguendo la procedura guidata, è possibile eseguirla di nuovo per eseguire altre attività.
Riparare il trust
È possibile usare Microsoft Entra Connect per controllare l'integrità corrente dell'attendibilità di AD FS e Microsoft Entra ID e quindi intraprendere azioni appropriate per ripristinare l'attendibilità. Per ripristinare l'ID Microsoft Entra e l'attendibilità di AD FS, eseguire le operazioni seguenti:
Selezionare Ripristina ID Microsoft Entra e Attendibilità ADFS dall'elenco delle attività.
Nella pagina Connetti a Microsoft Entra ID specificare le credenziali di amministratore delle identità ibride per Microsoft Entra ID e quindi selezionare Avanti.
Nella pagina Credenziali di accesso remoto specificare le credenziali dell'amministratore di dominio.
Selezionare Avanti.
Microsoft Entra Connect controlla l'integrità del certificato e mostra eventuali problemi.
La pagina Pronto per la configurazione mostra l'elenco delle azioni che verranno eseguite per ripristinare il trust.
Selezionare Installa per ripristinare l'attendibilità.
Nota
Microsoft Entra Connect può riparare o agire solo su certificati autofirmati. Microsoft Entra Connect non è in grado di ripristinare i certificati di terze parti.
Eseguire la federazione con Microsoft Entra ID usando alternateID
È consigliabile mantenere il nome dell'entità utente locale (UPN) e il nome dell'entità utente cloud uguali. Se l'UPN locale usa un dominio non instradabile (ad esempio, Contoso.local) o non può essere modificato a causa delle dipendenze dell'applicazione locale, è consigliabile configurare un ID di accesso alternativo. Usando un ID di accesso alternativo, è possibile configurare un'esperienza di accesso in cui gli utenti possono accedere con un attributo diverso dal proprio UPN, ad esempio un indirizzo di posta elettronica.
La scelta dell'UPN in Microsoft Entra Connect viene impostata per impostazione predefinita sull'attributo userPrincipalName in Active Directory. Se si sceglie un altro attributo per l'UPN e si esegue la federazione tramite AD FS, Microsoft Entra Connect configura AD FS per un ID di accesso alternativo.
Un esempio di scelta di un attributo diverso per l'UPN è illustrato nell'immagine seguente:
La configurazione di un ID di accesso alternativo per AD FS è costituita da due passaggi principali:
Configurare il set corretto di attestazioni di rilascio: le regole attestazioni di rilascio nell'attendibilità della relying party dell'ID Microsoft Entra vengono modificate per usare l'attributo UserPrincipalName selezionato come ID alternativo dell'utente.
Abilitare un ID di accesso alternativo nella configurazione di AD FS: la configurazione di AD FS viene aggiornata in modo che AD FS possa cercare gli utenti nelle foreste appropriate usando l'ID alternativo. Questa configurazione è supportata per AD FS in Windows Server 2012 R2 (con KB2919355) o versioni successive. Se i server AD FS sono 2012 R2, Microsoft Entra Connect verifica la presenza della Knowledge Base necessaria. Se la knowledge base non viene rilevata, viene visualizzato un avviso al termine della configurazione, come illustrato nell'immagine seguente:
Se è presente una knowledge base mancante, è possibile risolvere la configurazione installando il KB2919355 richiesto. È quindi possibile seguire le istruzioni riportate in Ripristinare l'attendibilità.
Nota
Per altre informazioni su alternateID e passaggi per configurarlo manualmente, vedere Configurare un ID di accesso alternativo.
Aggiungere un server AD FS
Nota
Per aggiungere un server AD FS, Microsoft Entra Connect richiede un certificato PFX. Pertanto, è possibile eseguire questa operazione solo se è stata configurata la farm AD FS utilizzando Microsoft Entra Connect.
Selezionare Distribuisci un server federativo aggiuntivo e quindi selezionare Avanti.
Nella pagina Connetti a Microsoft Entra ID immettere le credenziali di amministratore dell'identità ibrida per Microsoft Entra ID e quindi selezionare Avanti.
Specificare le credenziali di amministratore di dominio.
Microsoft Entra Connect richiede la password del file PFX fornito quando è stata configurata la nuova farm AD FS con Microsoft Entra Connect. Selezionare Immetti password per specificare la password per il file PFX.
Nella pagina Server ADFS immettere il nome del server o l'indirizzo IP da aggiungere alla farm ADFS.
Selezionare Avanti e quindi continuare a completare la pagina finale Configura .
Al termine dell'aggiunta dei server alla farm AD FS, si avrà la possibilità di verificare la connettività.
Aggiungere un server WAP AD FS
Nota
Per aggiungere un server Proxy applicazione Web, Microsoft Entra Connect richiede il certificato PFX. Pertanto, è possibile eseguire questa operazione solo dopo aver configurato la farm AD FS usando Microsoft Entra Connect.
Selezionare Distribuisci il proxy applicazione Web (nessuno attualmente configurato) nell'elenco delle attività disponibili.
Specificare le credenziali di amministratore delle identità ibride di Azure.
Nella pagina Specifica certificato SSL specificare la password per il file PFX specificato durante la configurazione della farm AD FS con Microsoft Entra Connect.
Aggiungere il server da usare come server WAP. Dato che il server WAP potrebbe anche non essere aggiunto al dominio, la procedura guidata richiede le credenziali amministrative da aggiungere per il server.
Nella pagina Credenziali attendibilità proxy specificare le credenziali amministrative per configurare l'attendibilità del proxy e accedere al server primario nella farm AD FS.
La pagina Pronto per la configurazione della procedura guidata mostra l'elenco delle azioni che verranno eseguite.
Selezionare Installa per completare la configurazione. Al termine della configurazione, la procedura guidata offre la possibilità di verificare la connettività ai server. Selezionare Verifica per verificare la connettività.
Aggiunta di un dominio federato
È facile aggiungere un dominio da federato con Microsoft Entra ID usando Microsoft Entra Connect. Microsoft Entra Connect aggiunge il dominio per la federazione e modifica le regole di attestazione per riflettere correttamente l'emittente quando si dispone di più domini federati con Microsoft Entra ID.
Per aggiungere un dominio federato, selezionare Aggiungi un altro dominio Microsoft Entra.
Nella pagina successiva della procedura guidata specificare le credenziali di amministratore ibrido per Microsoft Entra ID.
Nella pagina Credenziali di accesso remoto specificare le credenziali di amministratore di dominio.
Nella pagina successiva la procedura guidata fornisce un elenco di domini Microsoft Entra con cui è possibile eseguire la federazione della directory locale. Scegliere il dominio dall'elenco.
Dopo aver scelto il dominio, la procedura guidata informa le azioni aggiuntive che verranno eseguite e l'impatto della configurazione. In alcuni casi, se si seleziona un dominio non ancora verificato in Microsoft Entra ID, la procedura guidata consente di verificare il dominio. Per altre informazioni, vedere Aggiungere il nome di dominio personalizzato a Microsoft Entra ID.
Selezionare Avanti.
Nella pagina Pronto per la configurazione sono elencate le azioni che verranno eseguite da Microsoft Entra Connect.
Selezionare Installa per completare la configurazione.
Nota
Gli utenti nel dominio federato aggiunto devono essere sincronizzati prima di poter accedere all'ID Microsoft Entra.
Personalizzare AD FS
Le sezioni seguenti forniscono informazioni dettagliate su alcune delle attività comuni che potrebbe essere necessario eseguire per personalizzare la pagina di accesso di AD FS.
Aggiungere un'illustrazione o il logo personalizzato della società
Per modificare il logo dell'azienda visualizzato nella pagina di accesso, usare il cmdlet e la sintassi di PowerShell seguenti.
Nota
Le dimensioni consigliate per il logo sono 260 x 35 a 96 DPI, con dimensioni del file non maggiori di 10 KB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Nota
Il parametro TargetName è obbligatorio. Il tema predefinito incluso in AD FS è denominato Predefinito.
Aggiungere una descrizione di accesso
Per aggiungere una descrizione della pagina di accesso alla pagina di accesso, usare il cmdlet e la sintassi di PowerShell seguenti.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Modificare le regole di attestazione per AD FS
AD FS supporta un linguaggio di attestazione avanzato che può essere usato per creare regole attestazioni personalizzate. Per altre informazioni, vedere Ruolo del linguaggio delle regole attestazioni.
Le sezioni seguenti descrivono come scrivere regole personalizzate per alcuni scenari correlati a Microsoft Entra ID e federazione AD FS.
ID non modificabile in base alla presenza di un valore nell'attributo
Microsoft Entra Connect consente di specificare un attributo da usare come ancoraggio di origine quando gli oggetti vengono sincronizzati con Microsoft Entra ID. Se il valore nell'attributo personalizzato non è vuoto, potrebbe essere necessario emettere un'attestazione ID non modificabile.
Ad esempio, è possibile selezionare ms-ds-consistencyguid come attributo per l'ancoraggio di origine e rilasciare ImmutableID come ms-ds-consistencyguid nel caso in cui l'attributo abbia un valore su di esso. Se non esiste alcun valore rispetto all'attributo, rilasciare objectGuid come ID non modificabile. È possibile costruire il set di regole attestazioni personalizzate come descritto nella sezione seguente.
Regola 1: Attributi della query
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
In questa regola si eseguono query sui valori di ms-ds-consistencyguid e objectGuid per l'utente da Active Directory. Modificare il nome dell'archivio con un nome di archivio appropriato nella distribuzione di AD FS. Modificare anche il tipo di attestazioni in un tipo di attestazione appropriato per la federazione, come definito per objectGuid e ms-ds-consistencyguid.
Inoltre, usando add e non issue, si evita di aggiungere un problema in uscita per l'entità e può usare i valori come valori intermedi. l'attestazione verrà eseguita in una regola successiva dopo aver stabilito quale valore usare come ID non modificabile.
Regola 2: Verificare se ms-ds-consistencyguid esiste per l'utente
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Questa regola definisce un flag temporaneo denominato idflag impostato su useguid se non è presente alcun ms-ds-consistencyguid popolamento per l'utente. La logica sottostante è che AD FS non consente attestazioni vuote. Quando si aggiungono attestazioni http://contoso.com/ws/2016/02/identity/claims/objectguid e http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid nella regola 1, si verifica un'attestazione msdsconsistencyguid solo se il valore viene popolato per l'utente. Se non è popolato, AD FS rileva che avrà un valore vuoto e lo rimuove immediatamente. Tutti gli oggetti avranno objectGuid, in modo che l'attestazione sia sempre presente dopo l'esecuzione della regola 1.
Regola 3: Rilasciare ms-ds-consistencyguid come ID non modificabile se presente
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Si tratta di un controllo implicito Exist . Se il valore per l'attestazione esiste, rilasciarlo come ID non modificabile. Nell'esempio precedente viene usata l'attestazione nameidentifier . Sarà necessario sostituirla con il tipo di attestazione appropriato per l'ID non modificabile nel proprio ambiente.
Regola 4: Rilasciare objectGuid come ID non modificabile se ms-ds-consistencyGuid non è presente
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Con questa regola, è sufficiente controllare il flag idflagtemporaneo . Decidere se rilasciare l'attestazione in base al relativo valore.
Nota
La sequenza delle regole è importante.
SSO con un UPN di sottodominio
È possibile aggiungere più domini da federati usando Microsoft Entra Connect, come descritto in Aggiungere un nuovo dominio federato. Microsoft Entra Connect versioni 1.1.553.0 e successive crea automaticamente la regola issuerID di attestazione corretta. Se non è possibile usare Microsoft Entra Connect versione 1.1.553.0 o successiva, è consigliabile usare lo strumento Regole attestazioni RPT di Microsoft Entra per generare e impostare le regole di attestazione corrette per l'attendibilità della relying party microsoft Entra ID.
Passaggi successivi
Altre informazioni sulle opzioni di accesso utente.