Configurare l'ambiente lab per AD FS in Windows Server 2012 R2
In questo argomento sono illustrati i passaggi per configurare un ambiente di testing che può essere usato per completare le procedure dettagliate nelle guide agli scenari seguenti:
Procedura dettagliata: aggiunta alla rete aziendale con un dispositivo iOS
Procedura dettagliata: aggiunta alla rete aziendale con un dispositivo Windows
Guida dettagliata: gestire i rischi con il controllo di accesso condizionale
Nota
Non è consigliabile installare il server Web e il server federativo nello stesso computer.
Per configurare un ambiente di testing, completare i passaggi seguenti:
Passaggio 1: Configurare il controller di dominio (DC1)
Ai fini di questo ambiente di testing, è possibile chiamare il dominio Active Directory radice contoso.com e specificare pass@word1 come password amministratore.
- Installare il servizio ruolo di AD DS e installare Servizi di dominio Active Directory (ADDS) per configurare il computer come controller di dominio in Windows Server 2012 R2. Questa operazione aggiorna lo schema di AD DS come parte della creazione del controller di dominio. Per altre informazioni e istruzioni dettagliate, vederehttps://technet.microsoft.com/library/hh472162.aspx.
Creare account Active Directory di testing
Una volta che il controller di dominio sarà operativo, è possibile creare account utente di test e del gruppo di test in questo dominio e aggiungere l'account utente all'account di gruppo. Usare questi account per completare le procedure dettagliate nelle guide agli scenari elencate in precedenza in questo articolo.
Creare i seguenti account:
Utente: Robert Hatley con le seguenti credenziali, nome utente: RobertH e password: P@ssword
Gruppo: Finance
Per informazioni su come creare account utente e di gruppo in Active Directory (AD), vedere https://technet.microsoft.com/library/cc783323%28v.aspx.
Aggiungere l'account Robert Hatley al gruppo Finance . Per informazioni su come aggiungere un utente a un gruppo in Active Directory, vedere https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.
Creare un account del servizio gestito del gruppo
L'account del servizio gestito del gruppo è richiesto durante l'installazione e la configurazione di Active Directory Federation Services (AD FS).
Per creare un account del servizio gestito del gruppo
Aprire una finestra di comando di Windows PowerShell e digitare:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
Passaggio 2: Configurare il server federativo (ADFS1) con Device Registration Service
Per configurare un'altra macchina virtuale, installare Windows Server 2012 R2 e connetterlo al dominio contoso.com. Configurare il computer dopo l'aggiunta al dominio e quindi procedere all'installazione e alla configurazione del ruolo AD FS.
Per un video, vedere la serie di video illustrativi su Active Directory Federation Services: Installazione di una server farm AD FS.
Installare un certificato SSL del server
È necessario installare un certificato SSL (Secure Socket Layer) del server nell'archivio del computer locale sul server ADFS1. Il certificato DEVE avere i seguenti attributi:
Nome soggetto (CN): adfs1.contoso.com
Nome alternativo del soggetto (DNS): adfs1.contoso.com
Nome alternativo del soggetto (DNS): enterpriseregistration.contoso.com
Per altre informazioni sulla configurazione dei certificati SSL, vedere Configurare SSL/TLS in un sito Web nel dominio con una CA globale (enterprise).
Serie di video illustrativi su Active Directory Federation Services: Aggiornamento dei certificati.
Installare il ruolo del server ADFS
Per installare il servizio ruolo del servizio federativo
Accedere al server usando l'account amministratore di dominio administrator@contoso.com.
Avviare Server Manager. Per avviare Server Manager, fare clic su Server Manager nella schermata Start di Windows oppure fare clic su Server Manager sulla barra delle applicazioni di Windows del desktop Windows. Nella scheda Avvio rapido del riquadro iniziale nella pagina Dashboard fare clic su Aggiungi ruoli e funzionalità. In alternativa, è possibile scegliere Aggiungi ruoli e funzionalità dal menu Gestione .
Nella pagina Prima di iniziare fare clic su Avanti.
Nella pagina Selezione tipo di installazione selezionare Installazione basata su ruoli o basata su funzionalitàe quindi fare clic su Avanti.
Nella pagina Selezione server di destinazione fare clic su Selezionare un server dal pool di server, verificare che il computer di destinazione sia selezionato e quindi fare clic su Avanti.
Nella pagina Selezione ruoli server fare clic su Active Directory Federation Servicese quindi scegliere Avanti.
Nella pagina Selezione funzionalitàfare clic su Avanti.
Nella pagina Active Directory Federation Services (ADFS) fare clic su Avanti.
Dopo avere verificato le informazioni nella pagina Conferma selezioni per l'installazione , selezionare la casella di controllo Riavvia automaticamente il server di destinazione se necessario e quindi fare clic su Installa.
Nella pagina Stato installazione verificare che tutti gli elementi siano installati correttamente e quindi fare clic su Chiudi.
Configurare il server federativo
Nel prossimo passaggio viene configurato il server federativo.
Per configurare il server federativo
Nella pagina Dashboard di Server Manager fare clic sul flag Notifiche e quindi su Configurare il servizio federativo nel server.
Viene aperta la Configurazione guidata Servizi di dominio Active Directory .
Nella pagina iniziale selezionare Crea il primo server di federazione di una server farm di federazionee quindi fare clic su Avanti.
Nella pagina Connessione a Servizi di dominio Active Directory specificare un account con diritti di amministratore di dominio per il dominio di Active Directory contoso.com al quale viene aggiunto questo computer e quindi fare clic su Avanti.
Nella pagina Impostazione proprietà del servizio eseguire le operazioni seguenti e quindi fare clic su Avanti:
Importare il certificato SSL ottenuto in precedenza. Questo è certificato di autenticazione del servizio obbligatorio. Passare al percorso del certificato SSL.
Per specificare un nome per il servizio federativo, digitare adfs1.contoso.com. Questo valore è lo stesso fornito al momento della registrazione di un certificato SSL in Servizi certificati Active Directory.
Per specificare un nome visualizzato per il servizio federativo, digitare Contoso Corporation.
Nella pagina Impostazione account del servizio selezionare Usa un account del servizio gestito di account utente o gruppo di dominio esistentee quindi specificare l'account del servizio gestito del gruppo fsgmsa creato al momento della creazione del controller di dominio.
Nella pagina Impostazione database di configurazione selezionare Creare un database nel server mediante il database interno di Windowse quindi fare clic su Avanti.
Nella pagina Verifica opzioni verificare le opzioni di configurazione selezionate e quindi fare clic su Avanti.
Nella pagina Controlli dei prerequisiti verificare che tutti i controlli dei prerequisiti siano stati completati correttamente e quindi fare clic su Configura.
Nella pagina Risultati verificare i risultati, controllare se la configurazione è stata completata correttamente e quindi fare clic su Passaggi successivi necessari per completare la distribuzione del servizio di federazione.
Configurare il servizio DRS (Device Registration Service)
Nel passaggio successivo viene configurato il servizio DRS sul server ADFS1. Per un video, vedere la serie di video illustrativi su Active Directory Federation Services: Abilitazione del servizio DRS (Device Registration Service).
Per configurare il servizio DRS (Device Registration Service) per Windows Server 2012 RTM
-
Importante
Il passaggio successivo si applica a Windows Server 2012 R2 build RTM.
Aprire una finestra di comando di Windows PowerShell e digitare:
Initialize-ADDeviceRegistration
Quando viene chiesto di specificare un account del servizio, digitare contoso\fsgmsa$.
Eseguire ora il cmdlet di Windows PowerShell.
Enable-AdfsDeviceRegistration
Nella console di gestione ADFS del server ADFS1 passare a Criteri di autenticazione. Selezionare Modifica autenticazione primaria globale. Selezionare la casella di controllo accanto a Abilita autenticazione dispositivoe quindi fare clic su OK.
Aggiungere i record di risorse host (A) e alias (CNAME) al DNS
È necessario assicurarsi che su DC1 vengano creati i record DNS (Domain Name System) seguenti per il servizio DRS (Device Registration Service).
Movimento | Tipo | Indirizzo |
---|---|---|
adfs1 | Host (A) | Indirizzo IP del server AD FS |
enterpriseregistration | Alias (CNAME) | adfs1.contoso.com |
Per aggiungere un record di risorse host (A) ai server dei nomi DNS dell'azienda per i server federativi e il servizio DRS, è possibile usare la procedura seguente.
L'appartenenza al gruppo Administrators o a un gruppo equivalente è il requisito minimo per eseguire questa procedura. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze in HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" Gruppi predefiniti locali e di dominio (https://go.microsoft.com/fwlink/p/?LinkId=83477).
Per aggiungere record di risorse host (A) e alias (CNAME) al DNS per il server federativo
Su DC1, nel menu Strumenti di Server Manager fare clic su DNS per aprire lo snap-in DNS.
Nell'albero della console espandere DC1, espandere Zone di ricerca diretta, fare clic con il pulsante destro del mouse su contoso.come quindi scegliere Nuovo host (A o AAAA).
In Nome digitare il nome che si vuole usare per la farm ADFS. Per questa procedura dettagliata digitare adfs1.
In Indirizzo IPdigitare l'indirizzo IP del server ADFS1. Fare clic su Aggiungi host.
Fare clic con il pulsante destro del mouse su contoso.come quindi scegliere Nuovo alias (CNAME).
Nella finestra di dialogo Nuovo record di risorse digitare enterpriseregistration nella casella Nome alias .
Nella casella Nome di dominio completo (FQDN) per host destinazione digitare adfs1.contoso.come quindi fare clic su OK.
Importante
In una distribuzione reale, se l'azienda usa più suffissi del nome dell'entità utente (UPN), è necessario creare più record CNAME, uno per ognuno dei suffissi UPN nel DNS.
Passaggio 3: Configurare il server Web (WebServ1) e un'applicazione di esempio basata su attestazioni
Configurare una macchina virtuale (WebServ1) installando il sistema operativo Windows Server 2012 R2 e connettendola al dominio contoso.com. Dopo l'aggiunta al dominio, è possibile procedere all'installazione e alla configurazione del ruolo Server Web.
Per completare le procedure dettagliate citate in precedenza in questo argomento, è necessario avere un'applicazione di esempio protetta dal server federativo (ADFS1).
Per configurare un server Web con questa applicazione di esempio basata su attestazioni, è necessario completare la procedura seguente.
Nota
Questi passaggi sono stati testati su un server Web che esegue il sistema operativo Windows Server 2012 R2.
Installare il ruolo Server Web e Windows Identity Foundation
-
Nota
È necessario avere accesso al supporto di installazione di Windows Server 2012 R2.
Accedere a WebServ1 usando administrator@contoso.com e la password pass@word1.
In Server Manager, nella scheda Avvio rapido del riquadro iniziale nella pagina Dashboard fare clic su Aggiungi ruoli e funzionalità. In alternativa, è possibile scegliere Aggiungi ruoli e funzionalità dal menu Gestione .
Nella pagina Prima di iniziare fare clic su Avanti.
Nella pagina Selezione tipo di installazione selezionare Installazione basata su ruoli o basata su funzionalitàe quindi fare clic su Avanti.
Nella pagina Selezione server di destinazione fare clic su Selezionare un server dal pool di server, verificare che il computer di destinazione sia selezionato e quindi fare clic su Avanti.
Nella pagina Selezione ruoli server selezionare la casella di controllo accanto a Server Web (IIS), fare clic su Aggiungi funzionalitàe quindi su Avanti.
Nella pagina Selezione funzionalità selezionare Windows Identity Foundation 3.5e quindi fare clic su Avanti.
Nella pagina Ruolo Server Web (IIS) fare clic su Avanti.
Nella pagina Selezione servizi ruolo selezionare ed espandere Sviluppo di applicazioni. Selezionare ASP.NET 3.5, fare clic su Aggiungi funzionalitàe quindi su Avanti.
Nella pagina Conferma selezioni per l'installazione fare clic su Specificare un percorso di origine alternativo. Immettere il percorso della directory Sxs che si trova sul supporto di installazione di Windows Server 2012 R2. Ad esempio D:\Sources\Sxs. Fare clic su OKe quindi su Installa.
Installare Windows Identity Foundation SDK
- Eseguire WindowsIdentityFoundation-SDK-3.5.msi per installare Windows Identity Foundation SDK 3.5. Scegliere tutte le opzioni predefinite.
Configurare la semplice app basata su attestazioni in IIS
Installare un certificato SSL valido nell'archivio certificati del computer. Il certificato dovrà contenere il nome del server Web, webserv1.contoso.com.
Copiare il contenuto di C:\Programmi (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp in C:\Inetpub\Claimapp.
Modificare il file Default.aspx.cs in modo che non venga applicato alcun filtro di attestazioni. Questo passaggio viene eseguito per verificare che l'applicazione di esempio visualizzi tutte le attestazioni rilasciate dal server federativo. Effettua le operazioni seguenti:
Aprire Default.aspx.cs in un editor di testo.
Cercare nel file la seconda istanza di
ExpectedClaims
.Impostare come commento l'intera istruzione
IF
e le relative parentesi graffe. Per impostare commenti, digitare "//" (senza le virgolette) all'inizio di una riga.L'istruzione
FOREACH
dovrebbe ora essere simile a questo esempio di codice.Foreach (claim claim in claimsIdentity.Claims) { //Before showing the claims validate that this is an expected claim //If it is not in the expected claims list then don't show it //if (ExpectedClaims.Contains( claim.ClaimType ) ) // { writeClaim( claim, table ); //} }
Salvare e chiudere Default.aspx.cs.
Aprire web.config in un editor di testo.
Rimuovere l'intera sezione
<microsoft.identityModel>
. Rimuovere tutto a partire daincluding <microsoft.identityModel>
fino a</microsoft.identityModel>
incluso.Salvare e chiudere web.config.
Configurare Gestione IIS
Aprire Gestione Internet Information Services (IIS).
Passare a Pool di applicazioni, fare clic con il pulsante destro del mouse su DefaultAppPool e selezionare Impostazioni avanzate. Impostare Carica profilo utente su Truee quindi fare clic su OK.
Fare clic con il pulsante destro del mouse su DefaultAppPool e selezionare Impostazioni di base. Modificare Versione CLR .NET in CLR .NET versione v2.0.50727.
Fare clic con il pulsante destro del mouse su Sito Web predefinito e selezionare Modifica binding.
Aggiungere un binding HTTPS alla porta 443 con il certificato SSL installato.
Fare clic con il pulsante destro del mouse su Sito Web predefinito e selezionare Aggiungi applicazione.
Impostare l'alias su claimapp e il percorso fisico su c:\inetpub\claimapp.
Per configurare il funzionamento di claimapp con il server federativo eseguire le operazioni seguenti:
Eseguire FedUtil.exe disponibile in C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5.
Impostare il percorso di configurazione dell'applicazione su C:\inetput\claimapp\web.config e impostare l'URI dell'applicazione sull'URL del sito, https://webserv1.contoso.com /claimapp/. Fare clic su Avanti.
Selezionare Utilizzare un STS esistente e passare all'URL dei metadati del server AD FShttps://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Fare clic su Avanti.
Selezionare Disable certificate chain validatione quindi fare clic su Next.
Selezionare No encryptione quindi fare clic su Next. Nella pagina Offered claims fare clic su Next.
Selezionare la casella di controllo accanto a Schedule a task to perform daily WS-Federation metadata updates. Fare clic su Fine.
L'applicazione di esempio è ora configurata. Se si prova l'URL dell'applicazione https://webserv1.contoso.com/claimapp, si dovrebbe essere reindirizzati al server federativo. Nel server federativo verrà visualizzata una pagina di errore, perché non è ancora stata configurato il trust della relying party. In altre parole, l'applicazione di test non è protetta da AD FS.
È ora è necessario proteggere l'applicazione di esempio in esecuzione sul server Web con AD FS. A questo scopo è possibile aggiungere un trust della relying party nel server federativo (ADFS1). Per un video, vedere la serie di video illustrativi su Active Directory Federation Services: Aggiungere un trust della relying party.
Creare un trust della relying party nel server federativo
Nel server federativo (ADFS1), nella console di gestione di ADFSpassare ad Attendibilità componentee quindi fare clic su Aggiungi attendibilità componente.
Nella pagina Seleziona origine dati selezionare Importa dati sul componente pubblicati online o in una rete locale, immettere l'URL dei metadati per claimappe quindi fare clic su Avanti. Con l'esecuzione di FedUtil.exe e stato creato un file di metadati con estensione xml. Il file si trova in https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.
Nella pagina Specifica nome visualizzato indicare il nome visualizzato per il trust della relying party claimappe quindi fare clic su Avanti.
Nella pagina Configurare l'autenticazione a più fattori? selezionare Non desidero configurare le impostazioni di autenticazione a più fattori per l'attendibilità componente al momentoe quindi fare clic su Avanti.
Nella pagina Scegli regole di autorizzazione rilascio selezionare Consenti a tutti gli utenti l'accesso a questo componentee quindi fare clic su Avanti.
Nella pagina Aggiunta attendibilità fare clic su Avanti.
Nella finestra di dialogo Modifica regole attestazione fare clic su Aggiungi regola.
Nella pagina Scegli tipo di regola selezionare Inviare attestazioni mediante una regola personalizzatae quindi fare clic su Avanti.
Nella pagina Configura regola attestazione digitare All Claims nella casella Nome regola attestazione. Nella casella Regola personalizzata digitare la seguente regola attestazioni.
c:[ ] => issue(claim = c);
Fare clic su Finee quindi su OK.
Passaggio 4: Configurare il computer client (Client1)
Configurare un'altra macchina virtuale e installare Windows 8.1. Questa macchina virtuale dovrà appartenere alla stessa rete virtuale delle altre. Questa macchina virtuale NON dovrà essere aggiunta al dominio Contoso.
Il client DEVE considerare attendibile il certificato SSL usato per il server federativo (ADFS1) configurato nel Step 2: Configure the federation server (ADFS1) with Device Registration Service. Deve anche riuscire a convalidare le informazioni di revoca per il certificato.
È anche necessario configurare e usare un account Microsoft per accedere a Client1.
Vedi anche
- serie di video illustrativi su Active Directory Federation Services: Installazione di una server farm AD FS
- Serie di video illustrativi su Active Directory Federation Services: Aggiornamento dei certificati
- serie di video illustrativi su Active Directory Federation Services: Aggiungere un trust della relying party
- Serie di video illustrativi su Active Directory Federation Services: Abilitazione del servizio DRS (Device Registration Service)
- Serie di video illustrativi su Active Directory Federation Services: Installazione del servizio Proxy applicazione Web