De testomgeving instellen voor AD FS in Windows Server 2012 R2

In dit onderwerp worden de stappen beschreven voor het configureren van een testomgeving die kan worden gebruikt om de stapsgewijze instructies in de volgende handleidingen te voltooien:

• Walkthrough: Werkplek koppelen met een iOS-apparaat

• Walkthrough: Werkplek koppelen met een Windows-apparaat

• handleiding voor Walkthrough-gids: Risico's beheren met voorwaardelijke toegangscontrole

• stapsgewijze handleiding: Risico's beheren met aanvullende Multi-Factor Authentication voor gevoelige toepassingen

Notitie

Het wordt afgeraden om de webserver en de federatieserver op dezelfde computer te installeren.

Voer de volgende stappen uit om deze testomgeving in te stellen:

1. stap 1: de domeincontroller (DC1) configureren

2. stap 2: de federatieserver (ADFS1) configureren met Device Registration Service

3. stap 3: de webserver (WebServ1) en een voorbeeldtoepassing op basis van claims configureren

4. stap 4: de clientcomputer (Client1) configureren

Stap 1: de domeincontroller (DC1) configureren

Voor deze testomgeving kunt u uw Active Directory-hoofddomein contoso.com aanroepen en pass@word1 opgeven als beheerderswachtwoord.

• Installeer de AD DS-functieservice en installeer Active Directory Domain Services (AD DS) om uw computer een domeincontroller te maken in Windows Server 2012 R2. Met deze actie wordt uw AD DS-schema bijgewerkt als onderdeel van het maken van de domeincontroller. Zie voor meer informatie en stapsgewijze instructieshttps://technet.microsoft.com/library/hh472162.aspx.

Test Active Directory-accounts maken

Nadat uw domeincontroller functioneel is, kunt u een testgroep maken en gebruikersaccounts testen in dit domein en het gebruikersaccount toevoegen aan het groepsaccount. U gebruikt deze accounts om de stapsgewijze instructies in de stapsgewijze handleidingen te voltooien waarnaar eerder in dit onderwerp wordt verwezen.

Maak de volgende accounts:

• Gebruiker: Robert Hatley met de volgende referenties: gebruikersnaam: RobertH- en wachtwoord: P@ssword

• Groep: Financiën

Zie https://technet.microsoft.com/library/cc783323%28v.aspxvoor meer informatie over het maken van gebruikers- en groepsaccounts in Active Directory (AD).

Voeg het Robert Hatley--account toe aan de groep Finance. Zie https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspxvoor meer informatie over het toevoegen van een gebruiker aan een groep in Active Directory.

Een GMSA-account maken

Het GMSA-account (Managed Service Account) van de groep is vereist tijdens de installatie en configuratie van Active Directory Federation Services (AD FS).

Een GMSA-account maken

1. Open een Windows PowerShell-opdrachtvenster en typ:

   Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
   New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
   
   

Stap 2: De federatieserver (ADFS1) configureren met behulp van Device Registration Service

Als u een andere virtuele machine wilt instellen, installeert u Windows Server 2012 R2 en verbindt u deze met het domein contoso.com. Stel de computer in nadat u deze aan het domein hebt toegevoegd en ga vervolgens verder met het installeren en configureren van de AD FS-rol.

Zie Active Directory Federation Services How-To Video Series: Een AD FS-serverfarm installeren voor een video.

Een SSL-servercertificaat installeren

U moet een Secure Socket Layer (SSL)-servercertificaat installeren op de ADFS1-server in de lokale certificatenopslag van de computer. Het certificaat MOET de volgende kenmerken hebben:

• Onderwerpnaam (CN): adfs1.contoso.com

• Alternatieve onderwerpnaam (DNS): adfs1.contoso.com

• Alternatieve onderwerpnaam (DNS): enterpriseregistration.contoso.com

Zie SSL/TLS configureren op een website in het domein met een ca voor ondernemingen voor meer informatie over het instellen van SSL-certificaten.

Active Directory Federation Services How-To videoserie: certificaten bijwerken.

De AD FS-serverfunctie installeren

De rolservice Federation Service installeren

1. Meld u aan bij de server met behulp van het domeinbeheerdersaccount administrator@contoso.com.

2. Start Server Manager. Als u Serverbeheer wilt starten, klikt u op Serverbeheer op het scherm Windows Start of klikt u op Serverbeheer op de Windows-taakbalk op het Windows-bureaublad. Klik op het tabblad Aan de slag van de tegel Welkomstbericht op de pagina Dashboard en klik op Rollen en functies toevoegen. U kunt ook klikken op Functies en onderdelen toevoegen in het menu Beheren.

3. Klik op de knop Volgendeop de pagina Voordat u begint.

4. Klik op de pagina Installatietype selecteren op Rolgebaseerde of functiegebaseerde installatieen klik vervolgens op Volgende.

5. Klik op de pagina Doelserver selecteren op Selecteer een server in de servergroep, controleer of de doelcomputer is geselecteerd en klik vervolgens op Volgende.

6. Klik op de pagina Serverfuncties selecteren op Active Directory Federation Services-en klik vervolgens op Volgende.

7. Op de pagina Functies selecteren, klik op Volgende.

8. Klik op de pagina Active Directory Federation Service (AD FS) op Volgende.

9. Nadat u de informatie op de pagina Installatieselecties bevestigen hebt gecontroleerd, schakelt u het selectievakje De doelserver automatisch opnieuw opstarten indien nodig in en klikt u vervolgens op Installeren.

10. Controleer op de installatievoortgang pagina of alles correct is geïnstalleerd en klik vervolgens op Sluiten.

De federatieserver configureren

De volgende stap is het configureren van de federatieserver.

De federatieserver configureren

1. Klik op de pagina Serverbeheer Dashboard op de vlag Meldingen en klik vervolgens op De federation-service configureren op de server.

   De Active Directory Federation Service Configuratie Wizard wordt geopend.

2. Op de welkomstpagina selecteer je De eerste federatieserver maken in een federatieserverfarmen klik je vervolgens op Volgende.

3. Geef op de pagina Verbinding maken met AD DS een account op met domeinbeheerdersrechten voor het contoso.com Active Directory-domein waaraan deze computer is gekoppeld en klik vervolgens op Volgende.

4. Ga op de pagina Service-eigenschappen opgeven als volgt te werk en klik vervolgens op Volgende:

   • Importeer het SSL-certificaat dat u eerder hebt verkregen. Dit certificaat is het vereiste certificaat voor serviceverificatie. Blader naar de locatie van uw SSL-certificaat.

   • Als u een naam wilt opgeven voor uw federation-service, typt u adfs1.contoso.com. Deze waarde is dezelfde waarde die u hebt opgegeven bij het inschrijven van een SSL-certificaat in Active Directory Certificate Services (AD CS).

   • Als u een weergavenaam voor uw federation-service wilt opgeven, typt u Contoso Corporation.

5. Selecteer op de pagina Serviceaccount opgevenEen bestaand domeingebruikersaccount of een groepsbeheerd serviceaccount gebruikenen geef vervolgens het GMSA-account fsgmsa op dat u hebt gemaakt toen u de domeincontroller maakte.

6. Selecteer op de pagina Configuratiedatabase opgevenEen database maken op deze server met Windows Interne database, en klik vervolgens op Volgende.

7. Controleer uw configuratieselecties op de pagina Reviewopties en klik vervolgens op Volgende.

8. Controleer op de pagina Vereiste controles of alle vereiste controles zijn voltooid en klik vervolgens op Configureren.

9. Controleer op de pagina Resultaten de resultaten, controleer of de configuratie is voltooid en klik vervolgens op Volgende stappen die nodig zijn voor het voltooien van uw federation-service-implementatie.

Configureren van de Device Registration Service

De volgende stap is het configureren van Device Registration Service op de ADFS1-server. Zie voor een video Active Directory Federation Services How-To Video Series: Device Registration Service inschakelen.

Device Registration Service configureren voor Windows Server 2012 RTM

1. Belangrijk

   De volgende stap is van toepassing op de Windows Server 2012 R2 RTM-build.

   Open een Windows PowerShell-opdrachtvenster en typ:

   Initialize-ADDeviceRegistration
   

   Wanneer u wordt gevraagd om een serviceaccount, typt u contoso\fsgmsa$.

   Voer nu de Windows PowerShell-cmdlet uit.

   Enable-AdfsDeviceRegistration
   

2. Ga op de ADFS1-server in de AD FS-beheerconsole naar Verificatiebeleid. Selecteer Globale primaire authenticatie aanpassen. Zet een vinkje in het vakje naast Apparaatverificatie inschakelenen klik vervolgens op OK.

Host (A) en Alias (CNAME) resource records toevoegen aan DNS

Op DC1 moet u ervoor zorgen dat de volgende DNS-records (Domain Name System) worden gemaakt voor Device Registration Service.

Ingang	Typ	Adres
adfs1	Gastheer (A)	IP-adres van de AD FS-server
bedrijfsregistratie	Alias (CNAME)	adfs1.contoso.com

U kunt de volgende procedure gebruiken om een hostbronrecord (A) toe te voegen aan bedrijfs-DNS-naamservers voor de federatieserver en Device Registration Service.

Lidmaatschap van de groep Administrators of een equivalent is de minimale vereiste om deze procedure te voltooien. Bekijk details over het gebruik van de juiste accounts en groepslidmaatschappen in de HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" Lokale en domein standaardgroepen (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Een hostbronrecord (A) en alias (CNAME) toevoegen aan DNS voor uw federatieserver

1. Klik op DC1, open Serverbeheer en kies in het menu Extra de optie DNS om de DNS-module te openen.

2. Vouw DC1 in de consolestructuur uit, vouw Forward Lookup Zonesuit, klik met de rechtermuisknop op contoso.comen klik vervolgens op Nieuwe host (A of AAAA).

3. Typ in naam de naam die u wilt gebruiken voor uw AD FS-farm. Typ adfs1voor deze handleiding.

4. Typ in IP-adreshet IP-adres van de ADFS1-server. Klik op Host toevoegen.

5. Klik met de rechtermuisknop op contoso.comen klik vervolgens op nieuwe alias (CNAME).

6. Typ in het dialoogvenster Nieuwe resourcerecordenterpriseregistration in het aliasnaamvak.

7. Typ in de FQDN (Fully Qualified Domain Name) van het doelhostvak adfs1.contoso.comen klik vervolgens op OK.

   Belangrijk

   Als uw bedrijf in een praktijkimplementatie meerdere UPN-achtervoegsels (User Principal Name) heeft, moet u meerdere CNAME-records maken, één voor elk van deze UPN-achtervoegsels in DNS.

Stap 3: de webserver (WebServ1) en een voorbeeldtoepassing op basis van claims configureren

Stel een virtuele machine (WebServ1) in door het Besturingssysteem Windows Server 2012 R2 te installeren en deze te verbinden met het domein contoso.com. Nadat het lid is van het domein, kunt u doorgaan met het installeren en configureren van de webserverfunctie.

Als u de stapsgewijze instructies wilt voltooien waarnaar eerder in dit onderwerp is verwezen, moet u een voorbeeldtoepassing hebben die is beveiligd door uw federatieserver (ADFS1).

U moet de volgende stappen uitvoeren om een webserver in te stellen met deze voorbeeldtoepassing op basis van claims.

Notitie

Deze stappen zijn getest op een webserver waarop het besturingssysteem Windows Server 2012 R2 wordt uitgevoerd.

1. Installeer de webserverrol en Windows Identity Foundation

2. Windows Identity Foundation SDK installeren

3. de eenvoudige claim-app configureren in IIS-

4. Een relying party-vertrouwensrelatie maken op uw federatieserver

Installeer de rol van de webserver en Windows Identity Foundation

1. Notitie

   U moet toegang hebben tot het Windows Server 2012 R2-installatiemedium.

   Meld u aan bij WebServ1 met behulp van administrator@contoso.com en het wachtwoord pass@word1.

2. Klik in Serverbeheer op het tabblad Aan de slag van de tegel Welkom op de pagina Dashboard op Rollen en functies toevoegen. U kunt ook klikken op Functies en onderdelen toevoegen in het menu Beheren.

3. Klik op de knop Volgendeop de pagina Voordat u begint.

4. Klik op de pagina Installatietype selecteren op Rolgebaseerde of functiegebaseerde installatieen klik vervolgens op Volgende.

5. Klik op de pagina Doelserver selecteren op Selecteer een server in de servergroep, controleer of de doelcomputer is geselecteerd en klik vervolgens op Volgende.

6. Schakel op de pagina Serverfuncties selecteren het selectievakje naast Webserver (IIS)in, klik op Onderdelen toevoegenen klik vervolgens op Volgende.

7. Selecteer op de pagina Functies selecteren de optie Windows Identity Foundation 3.5en klik vervolgens op Volgende.

8. Klik op de pagina Webserverfunctie (IIS) op Volgende.

9. Op de pagina Functieservices selecteren, selecteer en vouw Toepassingsontwikkeling uit. Selecteer ASP.NET 3,5, klik op Functies toevoegenen klik vervolgens op Volgende.

10. Klik op de pagina Installatieselecties bevestigen op Geef een alternatief bronpad op. Voer het pad in naar de Sxs-map die zich in het installatiemedium van Windows Server 2012 R2 bevindt. Bijvoorbeeld D:\Sources\Sxs. Klik op OKen klik vervolgens op Installeren.

Windows Identity Foundation SDK installeren

1. Voer WindowsIdentityFoundation-SDK-3.5.msi uit om Windows Identity Foundation SDK 3.5 te installeren. Kies alle standaardopties.

De eenvoudige claim-app configureren in IIS

1. Installeer een geldig SSL-certificaat in het certificaatarchief van de computer. Het certificaat moet de naam van uw webserver bevatten, webserv1.contoso.com.

2. Kopieer de inhoud van C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp naar C:\Inetpub\Claimapp.

3. Bewerk het Default.aspx.cs bestand zodat er geen claimfiltering plaatsvindt. Deze stap wordt uitgevoerd om ervoor te zorgen dat in de voorbeeldtoepassing alle claims worden weergegeven die zijn uitgegeven door de federatieserver. Ga als volgt te werk:

   1. Open Default.aspx.cs in een teksteditor.

   2. Zoek in het bestand naar het tweede exemplaar van ExpectedClaims.

   3. Commentarieer de hele IF instructie en de accolades. Geef opmerkingen aan door '//' (zonder aanhalingstekens) aan het begin van een regel te typen.

   4. Uw FOREACH-instructie moet er nu uitzien als dit codevoorbeeld.

      Foreach (claim claim in claimsIdentity.Claims)
      {
         //Before showing the claims validate that this is an expected claim
         //If it is not in the expected claims list then don't show it
         //if (ExpectedClaims.Contains( claim.ClaimType ) )
         // {
            writeClaim( claim, table );
         //}
      }
      
      

   5. Sla Default.aspx.csop en sluit deze.

   6. Open web.config in een teksteditor.

   7. Verwijder de hele <microsoft.identityModel> sectie. Verwijder alles vanaf including <microsoft.identityModel> en tot en met </microsoft.identityModel>.

   8. Sla web.configop en sluit af.

4. IIS-beheer configureren

   1. Open Internet Information Services (IIS) Manager.

   2. Ga naar toepassingsgroepenen klik met de rechtermuisknop op DefaultAppPool- om geavanceerde instellingente selecteren. Stel Gebruikersprofiel laden in op Trueen klik vervolgens op OK.

   3. Klik met de rechtermuisknop op DefaultAppPool- om Basisinstellingente selecteren. Wijzig de .NET CLR-versie in .NET CLR-versie v2.0.50727.

   4. Klik met de rechtermuisknop op standaardwebsite om Bindingen bewerkente selecteren.

   5. Voeg een HTTPS--binding toe aan poort 443 met het SSL-certificaat dat u hebt geïnstalleerd.

   6. Klik met rechtermuisknop op "Default Web Site" om de optie "Add Application"toe te voegen.

   7. Stel de alias in op claimapp en het fysieke pad naar c:\inetpub\claimapp.

5. Ga als volgt te werk om claimapp- te configureren voor gebruik met uw federatieserver:

   1. Voer FedUtil.exeuit, dat zich bevindt in C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5.

   2. Stel de locatie van de toepassingsconfiguratie in op C:\inetpub\claimapp\web.config en stel de toepassings-URI in op de URL voor uw site, https://webserv1.contoso.com /claimapp/. Klik op Volgende.

   3. Selecteer Gebruik een bestaande STS en navigeer naar de metagegevens-URL van uw AD FS-serverhttps://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Klik op Volgende.

   4. Selecteer Validatie van certificaatketen uitschakelenen klik vervolgens op Volgende.

   5. Selecteer Geen versleutelingen klik vervolgens op Volgende. Op de pagina Aangeboden claims klikt u op Volgende.

   6. Selecteer het selectievakje naast Een taak inplannen om dagelijks WS-Federation metagegevensupdates uit te voeren. Klik op Voltooien.

   7. Uw voorbeeldtoepassing is nu geconfigureerd. Als u de toepassings-URL https://webserv1.contoso.com/claimapptest, moet u worden omgeleid naar uw federatieserver. De federatieserver moet een foutpagina weergeven omdat u de relying party-vertrouwensrelatie nog niet hebt geconfigureerd. Met andere woorden, u hebt deze testtoepassing niet beveiligd door AD FS.

U moet nu uw voorbeeldtoepassing beveiligen die wordt uitgevoerd op uw webserver met AD FS. U kunt dit doen door een relying party-vertrouwensrelatie toe te voegen op uw federatieserver (ADFS1). Zie Active Directory Federation Services How-To Video Series: Een Relying Party-vertrouwensrelatie toevoegen voor een video.

Een relying party-vertrouwensrelatie maken op uw federatieserver

1. Ga op de federatieserver (ADFS1) in de AD FS-beheerconsolenaar Relying Party Trustsen klik vervolgens op Relying Party Trust toevoegen.

2. Selecteer op de pagina Gegevensbron selecteren de optie Gegevens importeren over de vertrouwende partij die online of op een lokaal netwerk is gepubliceerd, voer de metagegevens-URL voor claimappin en klik vervolgens op Volgende. Als FedUtil.exe wordt uitgevoerd, is er een metagegevens .xml bestand gemaakt. Het ligt aan https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

3. Geef op de pagina Weergavenaam opgeven de weergavenaam op voor uw relying party-trust, claimapp, en klik vervolgens op Volgende.

4. Op de Nu Meervoudige Verificatie configureren? pagina selecteert u Ik wil op dit moment geen instelling voor meervoudige verificatie opgeven voor deze betrouwbare partij-relatieen klik vervolgens op Volgende.

5. Selecteer op de pagina Uitgifteautorisatieregels kiezen de optie Alle gebruikers toegang geven tot deze relying partyen klik vervolgens op Volgende.

6. Op de pagina Ready to Add Trust, klik op Volgende.

7. Klik in het dialoogvenster Claimregels bewerken op Regel toevoegen.

8. Selecteer op de pagina Regeltype kiezenVerzenden van claims met een aangepaste regelen klik dan op Volgende.

9. Typ op de pagina Claimregel configureren, in het vak Claimregelnaam, Alle claims. Typ in het vak Aangepaste regel de volgende claimregel.

   c:[ ]
   => issue(claim = c);
   
   

10. Klik op voltooien en klik vervolgens op OK-.

Stap 4: De clientcomputer configureren (Client1)

Stel een andere virtuele machine in en installeer Windows 8.1. Deze virtuele machine moet zich in hetzelfde virtuele netwerk bevinden als de andere machines. Deze computer mag NIET worden toegevoegd aan het Contoso-domein.

De client MOET het SSL-certificaat vertrouwen dat wordt gebruikt voor de federatieserver (ADFS1), die u hebt ingesteld in stap 2: de federatieserver (ADFS1) configureren met Device Registration Service. Het moet ook certificaatintrekkingsgegevens voor het certificaat kunnen valideren.

U moet ook een Microsoft-account instellen en gebruiken om u aan te melden bij Client1.

Zie ook

• Active Directory Federation Services How-To videoserie: een AD FS-serverfarm installeren
• Active Directory Federation Services How-To videoserie: Certificaten bijwerken
• Active Directory Federation Services How-To videoserie: een Relying Party-vertrouwensrelatie toevoegen
• Active Directory Federation Services How-To videoserie: de Device Registration Service inschakelen
• Active Directory Federation Services How-To Videoserie: De Webtoepassingsproxy Installeren