Delen via

AD FS beheren en aanpassen met Microsoft Entra Connect

  • Artikel

In dit artikel wordt beschreven hoe u Active Directory Federation Services (AD FS) beheert en aanpast met behulp van Microsoft Entra Connect.

U leert ook over andere algemene AD FS-taken die u mogelijk moet uitvoeren om een AD FS-farm volledig te configureren. Deze taken worden vermeld in de volgende tabel:

Opdracht Beschrijving
AD FS beheren
De vertrouwensrelatie herstellen Meer informatie over het herstellen van de federatieve vertrouwensrelatie met Microsoft 365.
Federeren met Microsoft Entra-id met behulp van een alternatieve aanmeldings-id Meer informatie over het configureren van federatie met behulp van een alternatieve aanmeldings-id.
Een AD FS-server toevoegen Meer informatie over het uitbreiden van een AD FS-farm met een extra AD FS-server.
Een WAP-server (AD FS Web toepassingsproxy) toevoegen Meer informatie over het uitbreiden van een AD FS-farm met een extra WAP-server.
Een gefedereerd domein toevoegen Meer informatie over het toevoegen van een federatief domein.
Het TLS/SSL-certificaat bijwerken Meer informatie over het bijwerken van het TLS/SSL-certificaat voor een AD FS-farm.
AD FS aanpassen
Een aangepast bedrijfslogo of illustratie toevoegen Meer informatie over het aanpassen van een AD FS-aanmeldingspagina met een bedrijfslogo en illustratie.
Beschrijving van de aanmeldingspagina toevoegen Informatie over het toevoegen van een beschrijving van de aanmeldingspagina.
AD FS-claimregels wijzigen Meer informatie over het wijzigen van AD FS-claims voor verschillende federatiescenario's.

AD FS beheren

U kunt verschillende AD FS-gerelateerde taken uitvoeren in Microsoft Entra Connect met minimale tussenkomst van de gebruiker met behulp van de Microsoft Entra Connect-wizard. Nadat u Microsoft Entra Connect hebt geïnstalleerd door de wizard uit te voeren, kunt u deze opnieuw uitvoeren om andere taken uit te voeren.

De vertrouwensrelatie herstellen

U kunt Microsoft Entra Connect gebruiken om de huidige status van de AD FS- en Microsoft Entra ID-vertrouwensrelatie te controleren en vervolgens de juiste acties te ondernemen om de vertrouwensrelatie te herstellen. Ga als volgt te werk om uw Microsoft Entra-id en AD FS-vertrouwensrelatie te herstellen:

  1. Selecteer Microsoft Entra-id en ADFS Trust herstellen in de lijst met taken.

    Schermopname van de pagina Aanvullende taken voor het herstellen van de Microsoft Entra-id en de AD FS-vertrouwensrelatie.

  2. Geef op de pagina Verbinding maken met Microsoft Entra ID de referenties van uw hybride identiteitsbeheerder voor Microsoft Entra-id op en selecteer vervolgens Volgende.

    Schermopname van de pagina Verbinding maken met Microsoft Entra ID met voorbeeldreferenties die zijn ingevoerd.

  3. Geef op de pagina Aanmeldingsgegevens voor externe toegang de aanmeldingsgegevens voor de domeinbeheerder op.

    Schermopname van de pagina Referenties voor externe toegang met voorbeeldreferenties van domeinbeheerder ingevoerd.

  4. Selecteer Volgende.

    Microsoft Entra Connect controleert op de certificaatstatus en toont eventuele problemen.

    Schermopname van de pagina Certificaten met de status van de huidige certificaten.

    Op de pagina Gereed om te configureren ziet u de lijst met acties die worden uitgevoerd om de vertrouwensrelatie te herstellen.

    Schermopname die de pagina 'Gereed om te configureren' met een lijst met uit te voeren acties toont.

  5. Selecteer Installeren om de vertrouwensrelatie te herstellen.

Notitie

Microsoft Entra Connect kan alleen certificaten herstellen of erop reageren die zelfondertekend zijn. Microsoft Entra Connect kan certificaten van derden niet herstellen.

Federatie met Microsoft Entra-id met behulp van alternateID

U wordt aangeraden de on-premises UPN (User Principal Name) en de user principal name van de cloud hetzelfde te houden. Als de on-premises UPN gebruikmaakt van een niet-routeerbaar domein (bijvoorbeeld Contoso.local) of niet kan worden gewijzigd vanwege afhankelijkheden van lokale toepassingen, raden we u aan een alternatieve aanmeldings-id in te stellen. Met behulp van een alternatieve aanmeldings-id kunt u een aanmeldingservaring configureren waarbij gebruikers zich kunnen aanmelden met een ander kenmerk dan hun UPN, zoals een e-mailadres.

De keuze van UPN in Microsoft Entra Connect is standaard ingesteld op het kenmerk userPrincipalName in Active Directory. Als u een ander kenmerk voor de UPN kiest en federatief is met AD FS, configureert Microsoft Entra Connect AD FS voor een alternatieve aanmeldings-id.

Een voorbeeld van het kiezen van een ander kenmerk voor de UPN wordt weergegeven in de volgende afbeelding:

Schermopname van de pagina 'Microsoft Entra-aanmeldingsconfiguratie' voor het kiezen van een ander kenmerk voor de UPN.

Het configureren van een alternatieve aanmeldings-id voor AD FS bestaat uit twee hoofdstappen:

  1. Configureer de juiste set uitgifteclaims: de regels voor uitgifteclaims in de vertrouwensrelatie van de Relying Party van Microsoft Entra-id worden gewijzigd om het geselecteerde kenmerk UserPrincipalName te gebruiken als alternatieve id van de gebruiker.

  2. Schakel een alternatieve aanmeldings-id in de AD FS-configuratie in: de AD FS-configuratie wordt bijgewerkt, zodat AD FS gebruikers in de juiste forests kan opzoeken met behulp van de alternatieve id. Deze configuratie wordt ondersteund voor AD FS op Windows Server 2012 R2 (met KB2919355) of hoger. Als de AD FS-servers 2012 R2 zijn, controleert Microsoft Entra Connect op de aanwezigheid van de vereiste KB. Als de KB niet wordt gedetecteerd, wordt er een waarschuwing weergegeven nadat de configuratie is voltooid, zoals wordt weergegeven in de volgende afbeelding:

    Schermopname van de pagina Configuratie voltooid met een waarschuwing voor een ontbrekende KB in Windows Server 2012 R2.

    Als er een ontbrekende KB is, kunt u de configuratie oplossen door de vereiste KB2919355 te installeren. Vervolgens kunt u de instructies volgen bij het herstellen van de vertrouwensrelatie.

Notitie

Zie Een alternatieve aanmeldings-id configureren voor meer informatie over alternateID en stappen om deze handmatig te configureren.

Een AD FS-server toevoegen

Notitie

Voor het toevoegen van een AD FS-server vereist Microsoft Entra Connect een PFX-certificaat. Daarom kunt u deze bewerking alleen uitvoeren als u de AD FS-farm hebt geconfigureerd met behulp van Microsoft Entra Connect.

  1. Selecteer Een extra federatieserver implementeren en selecteer vervolgens Volgende.

    Schermopname van het deelvenster Aanvullende taken voor het implementeren van een extra federatieserver.

  2. Voer op de pagina Verbinding maken met Microsoft Entra ID de referenties van uw hybride identiteitsbeheerder voor Microsoft Entra-id in en selecteer vervolgens Volgende.

    Schermopname van de pagina Verbinding maken met Microsoft Entra ID met voorbeeldreferenties die zijn ingevoerd.

  3. Geef de aanmeldingsgegevens van de domeinbeheerder op.

    Schermopname van de pagina Verbinding maken met Microsoft Entra ID, met voorbeeldreferenties ingevoerd.

  4. Microsoft Entra Connect vraagt om het wachtwoord van het PFX-bestand dat u hebt opgegeven bij het configureren van uw nieuwe AD FS-farm met Microsoft Entra Connect. Selecteer Wachtwoord invoeren om het wachtwoord voor het PFX-bestand op te geven.

    Schermopname van de pagina Referenties van domeinbeheerder, met voorbeeldreferenties ingevoerd.

    Schermopname die de pagina 'SSL-certificaat specificeren' toont nadat een wachtwoord voor het PFX-bestand is ingevoerd.

  5. Voer op de pagina AD FS-servers de servernaam of het IP-adres in dat moet worden toegevoegd aan de AD FS-farm.

    Schermopname van de pagina AD FS-servers.

  6. Selecteer Volgende en ga door met het voltooien van de laatste pagina Configureren .

    Nadat Microsoft Entra Connect klaar is met het toevoegen van de servers aan de AD FS-farm, krijgt u de optie om de connectiviteit te controleren.

    Schermopname van de pagina 'Gereed om te configureren' met een lijst met acties die moeten worden voltooid nadat u Installeren hebt geselecteerd.

    Schermopname van de pagina 'Installatie voltooid'.

Een AD FS WAP-server toevoegen

Notitie

Als u een web-toepassingsproxy-server wilt toevoegen, vereist Microsoft Entra Connect het PFX-certificaat. Daarom kunt u deze bewerking alleen uitvoeren nadat u de AD FS-farm hebt geconfigureerd met behulp van Microsoft Entra Connect.

  1. Selecteer Web Application Proxy implementeren in de lijst met beschikbare taken.

    Web Application Proxy implementeren

  2. Geef de referenties van de Azure Hybrid Identity Administrator op.

    Schermopname van de pagina Verbinding maken met Microsoft Entra ID met een voorbeeld van een gebruikersnaam en wachtwoord die is ingevoerd.

  3. Geef op de pagina SSL-certificaat opgeven het wachtwoord op voor het PFX-bestand dat u hebt opgegeven toen u de AD FS-farm met Microsoft Entra Connect hebt geconfigureerd. Certificaatwachtwoord

    TLS/SSL-certificaat opgeven

  4. Voeg de server toe die moet worden toegevoegd als een WAP-server. Omdat de WAP-server mogelijk niet aan het domein is toegevoegd, vraagt de wizard om beheerdersaanmeldingsgegevens voor de server die wordt toegevoegd.

    Aanmeldingsgegevens beheerserver

  5. Geef op de pagina Aanmeldingsgegevens voor proxyvertrouwensrelatie beheerdersaanmeldingsgegevens op om de proxyvertrouwensrelatie te configureren en toegang te krijgen tot de primaire server in de AD FS-farm.

    Aanmeldingsgegevens proxyvertrouwensrelatie

  6. Op de pagina Gereed om te configureren toont de wizard de lijst met acties die worden uitgevoerd.

    Schermopname van de pagina Gereed om te configureren, met een lijst met acties die moeten worden uitgevoerd.

  7. Selecteer Installeren om de configuratie te voltooien. Nadat de configuratie is voltooid, kunt u met de wizard de connectiviteit met de servers controleren. Selecteer Controleren om de connectiviteit te controleren.

    Installatie voltooid

Een gefedereerd domein toevoegen

Het is eenvoudig om een domein toe te voegen dat moet worden gefedereerd met Microsoft Entra ID met behulp van Microsoft Entra Connect. Microsoft Entra Connect voegt het domein voor federatie toe en wijzigt de claimregels om de verlener correct weer te geven wanneer u meerdere domeinen hebt gefedereerd met Microsoft Entra-id.

  1. Als u een federatief domein wilt toevoegen, selecteert u Een extra Microsoft Entra-domein toevoegen.

    Schermopname van het deelvenster Aanvullende taken voor het selecteren van Een extra Microsoft Entra-domein toevoegen.

  2. Geef op de volgende pagina van de wizard de referenties van de hybride beheerder op voor Microsoft Entra-id.

    Schermopname van het deelvenster Aanvullende taken voor het selecteren van Een extra Microsoft Entra-domein toevoegen.

  3. Geef op de pagina Aanmeldingsgegevens voor externe toegang de aanmeldingsgegevens van de domeinbeheerder op.

    Schermopname van het deelvenster Aanvullende taken voor het selecteren van 'Een extra Microsoft Entra-domein toevoegen'.

  4. Op de volgende pagina bevat de wizard een lijst met Microsoft Entra-domeinen waarmee u uw on-premises adreslijst kunt federeren. Kies het domein in de lijst.

    Schermopname van het deelvenster Aanvullende taken, waarin wordt getoond hoe u een extra Microsoft Entra-domein toevoegt.

    Nadat u het domein hebt gekozen, informeert de wizard u over verdere acties die worden uitgevoerd en de impact van de configuratie. Als u in sommige gevallen een domein selecteert dat nog niet is geverifieerd in Microsoft Entra ID, helpt de wizard u bij het verifiëren van het domein. Zie Uw aangepaste domeinnaam toevoegen aan Microsoft Entra-id voor meer informatie.

  5. Selecteer Volgende.

    Op de pagina Gereed om te configureren worden de acties vermeld die Door Microsoft Entra Connect worden uitgevoerd.

    Schermopname van het deelvenster Aanvullende taken waarin wordt getoond hoe u een extra Microsoft Entra-domein toevoegt.

  6. Selecteer Installeren om de configuratie te voltooien.

Notitie

Gebruikers in het toegevoegde federatieve domein moeten worden gesynchroniseerd voordat ze zich kunnen aanmelden bij Microsoft Entra-id.

AD FS aanpassen

De volgende secties bevatten details over enkele van de algemene taken die u mogelijk moet uitvoeren om uw AD FS-aanmeldingspagina aan te passen.

Als u het logo wilt wijzigen van het bedrijf dat wordt weergegeven op de aanmeldingspagina, gebruikt u de volgende PowerShell-cmdlet en syntaxis.

Notitie

De aanbevolen afmetingen voor het logo zijn 260 x 35 @ 96 dpi met een bestandsgrootte die niet groter is dan 10 kB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Notitie

De parameter TargetName is vereist. Het standaardthema dat met AD FS wordt uitgegeven, heet Standaard.

Beschrijving van de aanmeldingspagina toevoegen

Als u een beschrijving van de aanmeldingspagina wilt toevoegen aan de aanmeldingspagina, gebruikt u de volgende PowerShell-cmdlet en syntaxis.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

AD FS-claimregels wijzigen

AD FS ondersteunt een uitgebreide claimtaal die u kunt gebruiken om aangepaste claimregels te maken. Zie De rol van claimregeltaal voor meer informatie.

In de volgende secties wordt beschreven hoe u aangepaste regels kunt schrijven voor sommige scenario's die betrekking hebben op Microsoft Entra ID en AD FS-federatie.

Onveranderbare id voorwaardelijk voor een waarde die aanwezig is in het kenmerk

Met Microsoft Entra Connect kunt u een kenmerk opgeven dat moet worden gebruikt als bronanker wanneer objecten worden gesynchroniseerd met Microsoft Entra ID. Als de waarde in het aangepaste kenmerk niet leeg is, kunt u een onveranderbare id-claim uitgeven.

U kunt bijvoorbeeld selecteren ms-ds-consistencyguid als het kenmerk voor het bronanker en immutableID uitgeven, bijvoorbeeld als ms-ds-consistencyguid het kenmerk een waarde heeft. Als er geen waarde is voor het kenmerk, geeft u het probleem objectGuid op als de onveranderbare id. U kunt de set aangepaste claimregels samenstellen, zoals beschreven in de volgende sectie.

Regel 1: Querykenmerken

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

In deze regel voert u een query uit op de waarden van ms-ds-consistencyguid en objectGuid voor de gebruiker uit Active Directory. Wijzig de opslagnaam in een geschikte opslagnaam in uw AD FS-implementatie. Wijzig ook het claimtype in een correct claimtype voor uw federatie, zoals gedefinieerd voor objectGuid en ms-ds-consistencyguid.

add issueU voorkomt ook dat u een uitgaand probleem voor de entiteit toevoegt en de waarden als tussenliggende waarden kunt gebruiken. U geeft de claim in een latere regel uit nadat u hebt vastgesteld welke waarde moet worden gebruikt als onveranderbare id.

Regel 2: Controleren of ms-ds-consistencyguid bestaat voor de gebruiker

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Deze regel definieert een tijdelijke vlag idflag die is ingesteld op useguid als de gebruiker niet ms-ds-consistencyguid is ingevuld. De logica achter dit is dat AD FS geen lege claims toestaat. Wanneer u claims http://contoso.com/ws/2016/02/identity/claims/objectguid toevoegt en http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid in regel 1, krijgt u alleen een msdsconsistencyguid-claim als de waarde voor de gebruiker is ingevuld. Als deze niet is ingevuld, ziet AD FS dat deze een lege waarde heeft en onmiddellijk wordt verwijderd. Alle objecten hebben objectGuid, zodat de claim altijd aanwezig is nadat regel 1 is uitgevoerd.

Regel 3: ms-ds-consistencyguid uitgeven als onveranderbare id als deze aanwezig is

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Dit is een impliciete Exist controle. Als de waarde voor de claim bestaat, geeft u deze op als onveranderbare id. In het vorige voorbeeld wordt de nameidentifier claim gebruikt. U moet dit wijzigen in het juiste claimtype voor de onveranderbare id in uw omgeving.

Regel 4: ObjectGuid uitgeven als onveranderbare id als ms-ds-consistencyGuid niet aanwezig is

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Met deze regel controleert u gewoon de tijdelijke vlag idflag. U besluit of u de claim wilt uitgeven op basis van de waarde ervan.

Notitie

De volgorde van deze regels is belangrijk.

Eenmalige aanmelding met een subdomein-UPN

U kunt meer dan één domein toevoegen dat moet worden gefedereerd met behulp van Microsoft Entra Connect, zoals wordt beschreven in Een nieuw federatief domein toevoegen. Microsoft Entra Connect-versies 1.1.553.0 en hoger maken automatisch de juiste claimregel issuerID . Als u Microsoft Entra Connect versie 1.1.553.0 of hoger niet kunt gebruiken, raden we u aan het hulpprogramma Microsoft Entra RPT-claimregels te gebruiken om juiste claimregels te genereren en in te stellen voor de Vertrouwensrelatie van de Relying Party van Microsoft Entra-id.

Volgende stappen

Meer informatie over aanmeldingsopties voor gebruikers.