AD FS-vereisten

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hier volgen de vereisten voor het implementeren van Active Directory Federation Services (AD FS):

• Certificaatvereisten

• Hardwarevereisten

• Proxyvereisten

• AD DS-vereisten

• Configuratiedatabasevereisten

• Browservereisten

• Vereisten voor netwerkfirewall

• Vereisten voor machtigingen

Certificaatvereisten

TLS/SSL-certificaten

Elke AD FS- en webtoepassingsproxyserver heeft een TLS/SSL-certificaat voor het verwerken van HTTPS-aanvragen voor de federation-service. De webtoepassingsproxy kan extra certificaten hebben voor serviceaanvragen voor gepubliceerde toepassingen.

Aanbevelingen voor TLS/SSL-certificaten

Gebruik hetzelfde TLS/SSL-certificaat voor alle AD FS-federatieservers en webtoepassingsproxy's.

Vereisten voor TLS/SSL-certificaten

TLS/SSL-certificaten op federatieservers moeten voldoen aan de volgende vereisten:

• Certificaat wordt openbaar vertrouwd (voor productie-implementaties).
• Certificaat bevat de EKU-waarde (Enhanced Key Usage) voor serververificatie.
• Certificaat bevat de naam van de federation-service, zoals fs.contoso.com in het onderwerp of alternatieve naam voor onderwerp (SAN).
• Voor verificatie van gebruikerscertificaten op poort 443 bevat het certificaat certauth.\<federation service name\>, zoals certauth.fs.contoso.com in het SAN.
• Voor apparaatregistratie of voor moderne verificatie bij on-premises resources die gebruikmaken van pre-Windows 10-clients, moet het SAN enterpriseregistration.\<upn suffix\> bevatten voor elk UPN-achtervoegsel (User Principal Name) dat in uw organisatie wordt gebruikt.

TLS/SSL-certificaten in de webtoepassingsproxy moeten voldoen aan de volgende vereisten:

• Als de proxy wordt gebruikt voor ad FS-aanvragen die gebruikmaken van geïntegreerde Windows-verificatie, moet het TLS/SSL-proxycertificaat hetzelfde zijn (dezelfde sleutel gebruiken) als het TLS/SSL-certificaat van de federatieserver.
• Als de eigenschap AD FS, ExtendedProtectionTokenCheck, is ingeschakeld (de standaardinstelling in AD FS), moet het proxy TLS/SSL-certificaat hetzelfde zijn (gebruik dezelfde sleutel) als het TLS/SSL-certificaat van de federatieserver.
• Anders zijn de vereisten voor het TLS/SSL-certificaat voor de proxy hetzelfde als de vereisten voor het TLS/SSL-certificaat van de federatieserver.

Certificaat voor servicecommunicatie

Dit certificaat is niet vereist voor de meeste AD FS-scenario's, waaronder Microsoft Entra-id en Office 365. Ad FS configureert standaard het TLS/SSL-certificaat dat is opgegeven bij de eerste configuratie als het certificaat voor servicecommunicatie.

Aanbeveling voor servicecommunicatiecertificaat

• Gebruik hetzelfde certificaat als voor TLS/SSL.

Certificaat voor tokenondertekening

Dit certificaat wordt gebruikt voor het ondertekenen van uitgegeven tokens aan relying party's, dus relying party-toepassingen moeten het certificaat en de bijbehorende sleutel herkennen als bekend en vertrouwd. Wanneer het certificaat voor tokenondertekening wordt gewijzigd, bijvoorbeeld wanneer het verloopt en u een nieuw certificaat configureert, moeten alle relying party's worden bijgewerkt.

Aanbeveling voor tokenondertekeningscertificaat

Gebruik de ad FS-standaard, intern gegenereerde, zelfondertekende certificaten voor tokenondertekening.

Vereisten voor certificaat voor tokenondertekening

• Als uw organisatie vereist dat certificaten van de PKI (Enterprise Public Key Infrastructure) worden gebruikt voor tokenondertekening, kunt u aan deze vereiste voldoen met behulp van de parameter SigningCertificateThumbprint parameter van de Install-AdfsFarm cmdlet.
• Of u nu de standaard intern gegenereerde certificaten of extern geregistreerde certificaten gebruikt, wanneer het certificaat voor tokenondertekening wordt gewijzigd, moet u ervoor zorgen dat alle relying party's worden bijgewerkt met de nieuwe certificaatgegevens. Anders kunnen deze relying party's zich niet aanmelden.

Token versleutelen/ontsleutelen certificaat

Dit certificaat wordt gebruikt door claimproviders die tokens versleutelen die zijn uitgegeven aan AD FS.

Aanbeveling voor token versleutelen/ontsleutelen van certificaat

Gebruik de AD FS-standaard, intern gegenereerde, zelfondertekende tokens-ontsleutelingscertificaten.

Vereisten voor het versleutelen/ontsleutelen van een tokencertificaat

• Als uw organisatie vereist dat certificaten van de enterprise PKI worden gebruikt voor tokenondertekening, kunt u voldoen aan deze vereiste met behulp van de DecryptingCertificateThumbprint parameter van de Install-AdfsFarm cmdlet.
• Of u nu de standaard intern gegenereerde certificaten of extern geregistreerde certificaten gebruikt, wanneer het certificaat voor tokenontsleuteling wordt gewijzigd, moet u ervoor zorgen dat alle claimproviders worden bijgewerkt met de nieuwe certificaatgegevens. Anders mislukken aanmeldingen met claimproviders die niet zijn bijgewerkt.

Waarschuwing

Certificaten die worden gebruikt voor token-ondertekening en token-ontsleutelen/versleutelen zijn essentieel voor de stabiliteit van de Federation-service. Klanten die hun eigen tokenondertekening beheren & token-ontsleutelen/versleutelen van certificaten, moeten ervoor zorgen dat er een back-up van deze certificaten wordt gemaakt en onafhankelijk beschikbaar zijn tijdens een herstelgebeurtenis.

Gebruikerscertificaten

• Wanneer u x509-gebruikerscertificaatverificatie gebruikt met AD FS, moeten alle gebruikerscertificaten worden gekoppeld aan een basiscertificeringsinstantie die de AD FS- en webtoepassingsproxyservers vertrouwen.

Hardwarevereisten

De hardwarevereisten voor AD FS en webtoepassingsproxy (fysiek of virtueel) zijn afhankelijk van de CPU, dus u moet de grootte van uw serverfarm aanpassen op basis van de verwerkingscapaciteit.

• Gebruik de spreadsheet AD FS 2016 Capacity Planning om het aantal AD FS- en webtoepassingsproxyservers te bepalen dat u nodig hebt.

De geheugen- en schijfvereisten voor AD FS zijn redelijk statisch. De vereisten worden weergegeven in de volgende tabel:

Hardwarevereiste	minimale eis	Aanbevolen vereiste
RAM	2 GB	4 GB
Schijfruimte	32 GB	100 GB

Hardwarevereisten voor SQL Server

Als u Azure SQL gebruikt voor uw AD FS-configuratiedatabase, moet u de SQL Server aanpassen aan de meest eenvoudige SQL Server-aanbevelingen. De AD FS-databasegrootte is klein en AD FS plaatst geen aanzienlijke verwerkingsbelasting op het database-exemplaar. AD FS maakt echter meerdere keren verbinding met de database tijdens een verificatie, dus de netwerkverbinding moet robuust zijn. Helaas wordt SQL Azure niet ondersteund voor de AD FS-configuratiedatabase.

Proxy-vereisten

• Voor toegang tot het extranet moet u de subrolservice Webtoepassingsproxy implementeren, onderdeel van de rol van de server voor Externe Toegang.

• Proxy's van derden moeten het MS-ADFSPIP-protocol ondersteunen worden ondersteund als een AD FS-proxy. Zie de Veelgestelde vragen (FAQ) over AD FSvoor een lijst met externe leveranciers.

• AD FS 2016 vereist Webtoepassingsproxyservers op Windows Server 2016. Een downlevel proxy kan niet worden geconfigureerd voor een AD FS 2016-servergroep die op het functionele niveau van de 2016-servergroep draait.

• Een federatieserver en de rolservice Webtoepassingsproxy kunnen niet op dezelfde computer worden geïnstalleerd.

AD DS-vereisten

Vereisten voor domeincontrollers

• AD FS vereist domeincontrollers met Windows Server 2008 of hoger.

• Ten minste één Windows Server 2016-domeincontroller is vereist voor Windows Hello voor Bedrijven.

Notitie

Alle ondersteuning voor omgevingen met Windows Server 2003-domeincontrollers is beëindigd. Zie de levenscyclusgegevens van Microsoftvoor meer informatie.

Vereisten op domeinfunctionaliteitsniveau

• Alle gebruikersaccountdomeinen en het domein waaraan de AD FS-servers zijn toegevoegd, moeten werken op het functionele domeinniveau van Windows Server 2003 of hoger.

• Een functioneel domeinniveau van Windows Server 2008 of hoger is vereist voor verificatie van clientcertificaten als het certificaat expliciet is toegewezen aan het account van een gebruiker in AD DS.

Schemavereisten

• Voor nieuwe installaties van AD FS 2016 is het Active Directory 2016-schema vereist (minimaal versie 85).

• Voor het verhogen van het AD FS-farmgedragsniveau (FBL) tot het niveau 2016 is het Active Directory 2016-schema vereist (minimaal versie 85).

Vereisten voor serviceaccounts

• Elk standaarddomeinaccount kan worden gebruikt als een serviceaccount voor AD FS. Beheerde serviceaccounts voor groepen worden ook ondersteund. De vereiste machtigingen tijdens runtime worden automatisch weer toegevoegd wanneer u AD FS configureert.

• De voor het AD-serviceaccount vereiste toewijzing van gebruikersrechten is 'Aanmelden als een service'.

• De gebruikersrechtentoewijzingen die vereist zijn voor de NT Service\adfssrv en NT Service\drs zijn Beveiligingscontroles genereren en Aanmelden als een service.

• Voor beheerde serviceaccounts voor groepen is ten minste één domeincontroller met Windows Server 2012 of hoger vereist. Het gMSA-account voor beheerde services van de groep moet zich bevinden in de standaardcontainer CN=Managed Service Accounts.

• Voor Kerberos-verificatie moet de service-principalnaam 'HOST/<adfs\_service\_name>' zijn geregistreerd in het AD FS-serviceaccount. Ad FS configureert deze vereiste standaard bij het maken van een nieuwe AD FS-farm. Als dit proces mislukt, bijvoorbeeld als er sprake is van een botsing of onvoldoende machtigingen, ziet u een waarschuwing en moet u het handmatig toevoegen.

Domeinvereisten

• Alle AD FS-servers moeten lid zijn van een AD DS-domein.

• Alle AD FS-servers binnen een farm moeten in hetzelfde domein worden geïmplementeerd.

• De eerste knooppuntinstallatie van de AD FS-farm is afhankelijk van het beschikbaar maken van de PDC.

Vereisten voor meerdere forests

• Het domein waaraan de AD FS-servers zijn toegevoegd, moet elk domein of forest met gebruikers die zich bij de AD FS-service authentiseren vertrouwen.

• Het bosgebied, waarvan het AD FS-serviceaccount lid is, moet alle gebruikersaanmeldingsbosgebieden vertrouwen.

• Het AD FS-serviceaccount moet machtigingen hebben voor het lezen van gebruikerskenmerken in elk domein met gebruikers die zich verifiëren bij de AD FS-service.

Vereisten voor configuratiedatabases

In deze sectie worden de vereisten en beperkingen beschreven voor AD FS-farms die respectievelijk de Windows Interne Database (WID) of SQL Server als de database gebruiken:

WID

• Het artefactresolutieprofiel van SAML 2.0 wordt niet ondersteund in een WID-farm.

• Het detecteren van token-herhalingen wordt niet ondersteund in een WID-farm. Deze functionaliteit wordt alleen gebruikt in scenario's waarin AD FS fungeert als de federatieprovider en het gebruiken van beveiligingstokens van externe claimproviders.

De volgende tabel bevat een overzicht van hoeveel AD FS-servers worden ondersteund in een WID versus een SQL Server-farm.

1-100 RP Trusts	Meer dan 100 RP-trusts
1-30 AD FS-knooppunten: WID ondersteund	1-30 AD FS-knooppunten: Niet ondersteund met WID - SQL vereist
meer dan 30 AD FS-knooppunten: niet ondersteund met WID - SQL vereist	meer dan 30 AD FS-knooppunten: niet ondersteund met WID - SQL vereist

SQL Server

• Voor AD FS in Windows Server 2016 worden SQL Server 2008 en latere versies ondersteund.

• Zowel SAML-artefactomzetting als token-replaysdetectie worden ondersteund in een SQL Server-omgeving.

Browservereisten

Wanneer AD FS-verificatie wordt uitgevoerd via een browser- of browserbeheer, moet uw browser voldoen aan de volgende vereisten:

• JavaScript moet zijn ingeschakeld.

• Voor eenmalige aanmelding moet de clientbrowser worden geconfigureerd om cookies toe te staan.

• SNI (Server Name Indication) moet worden ondersteund.

• Voor de authenticatie van gebruikerscertificaat & en apparaatcertificaat moet de browser ondersteuning bieden voor TLS/SSL-clientcertificaatverificatie.

• Voor naadloze aanmelding met geïntegreerde Windows-verificatie moet de naam van de federation-service (zoals https:\/\/fs.contoso.com) worden geconfigureerd in de zone lokaal intranet of de zone vertrouwde sites.

Netwerkvereisten

Firewallvereisten

Zowel de firewalls tussen de webtoepassingsproxy als de federatieserverfarm en tussen de clients en de webtoepassingsproxy moeten tcp-poort 443 hebben ingeschakeld voor inkomend verkeer.

Als u clientgebruikerscertificaatverificatie (clientTLS-verificatie met X509-gebruikerscertificaten) nodig hebt en u poort 443 niet hebt ingeschakeld op het eindpunt voor certificaatverificatie. AD FS 2016 vereist dat u TCP-poort 49443 voor inkomend verkeer inschakelt op de firewall tussen de clients en de Web Application Proxy. Deze vereiste is niet van toepassing op de firewall tussen de webtoepassingsproxy en de federatieservers.

Zie vereiste poorten en protocollen voor hybride identiteitenvoor meer informatie over vereisten voor hybride poorten.

Zie Aanbevolen procedures voor het beveiligen van Active Directory Federation Services voor meer informatie

DNS-vereisten

• Voor intranettoegang moeten alle clients die toegang hebben tot de AD FS-service binnen het interne bedrijfsnetwerk (intranet) de naam van de AD FS-service kunnen omzetten in de load balancer voor de AD FS-servers of de AD FS-server.

• Voor extranettoegang moeten alle clients die toegang hebben tot de AD FS-service buiten het bedrijfsnetwerk (extranet/internet) de naam van de AD FS-service kunnen omzetten in de load balancer voor de webtoepassingsproxyservers of de webtoepassingsproxyserver.

• Elke webtoepassingsproxyserver in de gedemilitariseerde zone (DMZ) moet de naam van de AD FS-service kunnen omzetten in de load balancer voor de AD FS-servers of de AD FS-server. U kunt deze configuratie maken met behulp van een alternatieve DNS-server (Domain Name System) in het DMZ-netwerk of door de lokale serveromzetting te wijzigen met behulp van het HOSTS-bestand.

• Voor geïntegreerde Windows-verificatie moet u een DNS A-record (niet CNAME) gebruiken voor de naam van de federation-service.

• Voor verificatie van gebruikerscertificaten op poort 443 moet "certauth.<naam van de federatiedienst>" in DNS worden geconfigureerd om doorverwezen te worden naar de federatieserver of webapplicatieproxy.

• Voor apparaatregistratie of voor moderne verificatie bij on-premises resources die gebruikmaken van pre-Windows 10-clients, enterpriseregistration.\<upn suffix\>, voor elk UPN-achtervoegsel dat in uw organisatie wordt gebruikt, moet u deze configureren om deze op te lossen op de federatieserver of webtoepassingsproxy.

Load Balancer-vereisten

• De load balancer mag TLS/SSL niet beëindigen. AD FS ondersteunt meerdere use cases met certificaatverificatie, die wordt verbroken bij het beëindigen van TLS/SSL. Het beëindigen van TLS/SSL bij de load balancer wordt niet ondersteund voor gebruiksscenario's.
• Gebruik een load balancer die SNI ondersteunt. Als dit niet het geval is, moet het gebruik van de terugvalbinding 0.0.0.0 op uw AD FS- of webtoepassingsproxyserver een tijdelijke oplossing bieden.
• Gebruik de HTTP-statustesteindpunten (niet HTTPS) om load balancer-statuscontroles uit te voeren voor routering van verkeer. Deze vereiste voorkomt eventuele problemen met betrekking tot SNI. Het antwoord op deze testeindpunten is een HTTP 200 OK en wordt lokaal geleverd zonder afhankelijkheid van back-endservices. De HTTP-test kan worden geopend via HTTP met behulp van het pad '/adfs/probe'
  • http://<Web Application Proxy name>/adfs/probe
  • http://<AD FS server name>/adfs/probe
  • http://<Web Application Proxy IP address>/adfs/probe
  • http://<AD FS IP address>/adfs/probe
• Het wordt niet aanbevolen om DNS round robin te gebruiken als een manier voor belastingsverdeling. Het gebruik van dit type taakverdeling biedt geen geautomatiseerde manier om een knooppunt te verwijderen uit de load balancer met behulp van statustests.
• Het is niet raadzaam om ip-gebaseerde sessieaffiniteit of plaksessies te gebruiken voor verificatieverkeer naar AD FS binnen de load balancer. U kunt een overbelasting van bepaalde knooppunten veroorzaken bij het gebruik van een verouderd verificatieprotocol voor e-mailclients om verbinding te maken met Office 365-e-mailservices (Exchange Online).

Machtigingsvereisten

De beheerder die de installatie en de eerste configuratie van AD FS uitvoert, moet lokale beheerdersmachtigingen hebben op de AD FS-server. Als de lokale beheerder geen machtigingen heeft voor het maken van objecten in Active Directory, moeten ze eerst een domeinbeheerder de vereiste AD-objecten maken en vervolgens de AD FS-farm configureren met behulp van de AdminConfiguration parameter.