Configurare un computer per il ruolo di proxy server federativo
Dopo aver configurato il computer con i certificati necessari e aver installato il servizio ruolo Proxy servizio federativo, è possibile configurare il computer per trasformarlo in un proxy server federativo. Affinché il computer possa essere utilizzato nel ruolo proxy server federativo, utilizzare la procedura seguente.
Importante
Prima di seguire questa procedura per configurare il computer proxy server federativo, assicurarsi di aver eseguito tutti i passaggi descritti in eElenco di controllo: Configurazione di un proxy server federativo nell'ordine in cui sono elencati. Assicurarsi che sia distribuito almeno un server federativo e che siano implementate tutte le credenziali necessarie per l'autorizzazione di una configurazione proxy server federativo. È inoltre necessario configurare i binding SSL (Secure Sockets Layer) nel sito Web predefinito, altrimenti la procedura guidata non verrà avviata. Prima di poter utilizzare il proxy server federativo, tutte queste operazioni devono essere completate.
Una volta terminata la configurazione del computer, verificare che il proxy server federativo funzioni come previsto. Per altre informazioni, vedere Verificare che un proxy server federativo sia operativo.
L'appartenenza al gruppo Administrators, o a un gruppo equivalente, nel computer locale è il requisito minimo per eseguire questa procedura. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.
Per configurare un computer per il ruolo di proxy server federativo
Esistono due modi per avviare la Configurazione guidata server federativo di AD FS. Per avviare la procedura guidata, eseguire una delle operazioni seguenti:
Nella schermata Start digitareConfigurazione guidata proxy server federativo di AD FS e quindi premere INVIO.
Al termine dell'installazione guidata, aprire Esplora risorse, passare alla cartella C:\Windows\ADFS e quindi fare doppio clic su FspConfigWizard.exe.
Usando uno dei due metodi, avviare la procedura guidata e nella pagina Benvenuti fare clic su Avanti.
Nella pagina Specificare il nome del servizio federativo digitare in Nome servizio federativoil nome che rappresenta il servizio federativo per il quale il computer fungerà dal ruolo proxy.
In base a specifici requisiti di rete, determinare se sarà necessario usare un server proxy HTTP per inoltrare le richieste al servizio federativo. In tal caso, selezionare la casella di controllo Usa un server proxy HTTP quando si inviano richieste a questo servizio federativo, in Indirizzo del server proxy HTTP digitare l'indirizzo del server proxy, fare clic su Test connessione per verificare la connettività e quindi fare clic su Avanti.
Quando viene richiesto, specificare le credenziali necessarie per stabilire un trust tra il proxy server federativo e il Servizio federativo.
Per impostazione predefinita, solo l'account del servizio usato dal servizio federativo o un membro del gruppo BUILTIN\Administrators locale può autorizzare un proxy server federativo.
Nella pagina Applicazione delle impostazioni rivedere i dettagli. Se le impostazioni sembrano corrette, fare clic su Avanti per iniziare la configurazione del computer con queste impostazioni proxy.
Nella pagina Risultati della configurazione rivedere i risultati. Al termine di tutti i passaggi di configurazione, fare clic su Chiudi per uscire dalla procedura guidata.
Non è disponibile alcun snap-in di Microsoft Management Console (MMC) da usare per l'amministrazione dei proxy del server federativo. Per configurare le impostazioni per ogni proxy server federativo nell'organizzazione, usare i cmdlet di Windows PowerShell.
Configurazione di una porta TCP/IP alternativa per le operazioni proxy
Per impostazione predefinita, il servizio proxy server federativo è configurato per l'uso della porta TCP 443 per il traffico HTTPS e della porta 80 per il traffico HTTP per la comunicazione con il server federativo. Per configurare porte diverse, ad esempio la porta TCP 444 per HTTPS e la porta 81 per HTTP, è necessario completare le attività seguenti.
Nota
Se si intende distribuire inizialmente AD FS per operare in porte TCP/IP alternative, è necessario prima di tutto modificare le porte nelle associazioni di protocollo IIS per HTTP e HTTPS nei computer proxy server federativi e server federativi. Questa operazione deve essere completata prima di eseguire le procedure guidate per la configurazione iniziale di AD FS. Se si configura prima IIS (Internet Information Services), le impostazioni delle porte TCP/IP alternative vengono rilevate quando viene eseguita la configurazione basata su procedura guidata in AD FS e la procedura seguente non è necessaria. Se si vogliono modificare le impostazioni delle porte in seguito, aggiornare prima i binding del protocollo IIS e quindi usare la procedura seguente per aggiornare correttamente le impostazioni delle porte. Per altre informazioni sulla modifica delle associazioni IIS, vedere l'articolo 149605 nella Microsoft Knowledge Base.
Per configurare porte TCP/IP alternative da usare con il proxy server federativo
Configurare il server federativo per l'uso di porte non predefinite.
A questo scopo, specificare il numero di porta non predefinito includendolo con le opzioni HttpsPort e HttpPort come parte del cmdlet Set-ADFSProperties. Ad esempio, per configurare queste porte, usare i comandi seguenti nella sessione di Windows PowerShell nel computer server federativo:
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81Configurare il proxy server federativo per l'uso della porta non predefinita.
A questo scopo, specificare il numero di porta non predefinita includendolo con le opzioni HttpsPort e HttpPort come parte del cmdlet Set-ADFSProxyProperties. Ad esempio, per configurare queste porte, usare i comandi seguenti nella sessione di Windows PowerShell nel computer server federativo:
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81Nota
Gli URL degli endpoint non sono abilitati per impostazione predefinita per il servizio proxy server federativo. Se si sta configurando una nuova installazione del server federativo, è necessario abilitare prima di tutto gli endpoint del servizio proxy server federativo. Si presuppone, ad esempio, che per tutti gli endpoint a cui fa riferimento l'esempio in questa procedura sia stata eseguita l'abilitazione per il proxy tramite selezione nello snap-in Gestione AD FS e quindi selezione di Abilita nel proxy.
Aggiornare l'installazione di IIS nel proxy server federativo in modo che gli endpoint SAML (Security Assertion Markup Language) e WS-Trust siano configurati per riflettere il numero di porta aggiornato. A questo scopo, è possibile usare il Blocco note per modificare quanto segue nel file Web.config che si trova nel percorso systemdrive%\inetpub\adfs\ls\ nel computer del proxy server federativo. Si supponga, ad esempio, di avere un server federativo denominato sts1.contoso.com e che il nuovo numero di porta sia 444. Passare al file Web.config e aprirlo nel Blocco note nel computer del proxy server federativo, individuare la sezione seguente, modificare il numero di porta come evidenziato di seguito e quindi salvare e uscire dal Blocco note.
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />Aggiungere l'account utente del servizio proxy server federativo all'elenco di controllo di accesso per gli URL degli endpoint correlati. Se ad esempio il numero di porta è 1234 e l'account utente usato per eseguire il servizio proxy server federativo di AD FS è l'account del servizio di rete predefinito, immettere il comando seguente al prompt dei comandi:
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"I comandi precedenti devono essere eseguiti sia nel server federativo che nei computer proxy del server federativo.
Altri riferimenti
Elenco di controllo: Configurazione di un proxy server federativo