Udostępnij za pośrednictwem

Zarządzanie usługami AD FS i dostosowywanie ich przy użyciu programu Microsoft Entra Connect

  • Artykuł

W tym artykule opisano sposób zarządzania i dostosowywania usług Active Directory Federation Services (AD FS) przy użyciu programu Microsoft Entra Connect.

Poznasz również inne typowe zadania usług AD FS, które mogą być konieczne do całkowitego skonfigurowania farmy usług AD FS. Te zadania są wymienione w poniższej tabeli:

Zadanie Opis
Zarządzanie usługami AD FS
Naprawianie zaufania Dowiedz się, jak naprawić zaufanie federacji za pomocą platformy Microsoft 365.
Federacja z Microsoft Entra ID z użyciem alternatywnego identyfikatora logowania Dowiedz się, jak skonfigurować federację przy użyciu alternatywnego identyfikatora logowania.
Dodawanie serwera usług AD FS Dowiedz się, jak rozszerzyć farmę usług AD FS przy użyciu dodatkowego serwera usług AD FS.
Dodaj serwer proxy aplikacji sieci Web (WAP) dla usług AD FS Dowiedz się, jak rozszerzyć farmę usług AD FS przy użyciu dodatkowego serwera WAP.
Dodawanie domeny federacyjnej Dowiedz się, jak dodać domenę federacyjną.
Aktualizowanie certyfikatu TLS/SSL Dowiedz się, jak zaktualizować certyfikat TLS/SSL dla farmy usług AD FS.
Dostosowywanie usług AD FS
Dodawanie niestandardowego logo firmy lub ilustracji Dowiedz się, jak dostosować stronę logowania usług AD FS przy użyciu logo firmy i ilustracji.
Dodawanie opisu logowania Dowiedz się, jak dodać opis strony logowania.
Zmień reguły oświadczeń AD FS Dowiedz się, jak modyfikować oświadczenia AD FS w różnych scenariuszach federacyjnych.

Zarządzanie usługami AD FS

Różne zadania związane z usługami AD FS można wykonywać w programie Microsoft Entra Connect z minimalną interwencją użytkownika za pomocą kreatora Microsoft Entra Connect. Po zakończeniu instalowania programu Microsoft Entra Connect, uruchamiając kreatora, możesz uruchomić go ponownie, aby wykonać inne zadania.

Ważny

Należy pamiętać, że jeśli konfigurujesz federację z usługami AD FS lub PingFederate, musisz mieć konto z rolą administratora globalnego lub konto z rolami administratora tożsamości hybrydowej i administratora nazwy domeny. Konfiguracje związane z federacją wymagają uprawnień, których administrator tożsamości hybrydowej obecnie nie posiada, ale które posiada rola administratora nazwy domeny .

Naprawianie zaufania

Za pomocą programu Microsoft Entra Connect możesz sprawdzić bieżącą kondycję zaufania usług AD FS i Microsoft Entra ID, a następnie podjąć odpowiednie działania w celu naprawy zaufania. Aby naprawić Microsoft Entra ID i zaufanie AD FS, wykonaj następujące czynności:

  1. Wybierz Napraw Microsoft Entra ID i Zaufanie ADFS z listy zadań.

    Zrzut ekranu strony

  2. Na stronie Połącz z Microsoft Entra ID podaj poświadczenia administratora tożsamości hybrydowej dla Microsoft Entra ID, a następnie wybierz Dalej.

    Zrzut ekranu przedstawiający stronę

  3. Na stronie Poświadczenia dostępu zdalnego wprowadź poświadczenia administratora domeny.

    Zrzut ekranu przedstawiający stronę

  4. Wybierz Dalej.

    Program Microsoft Entra Connect sprawdza kondycję certyfikatu i pokazuje wszelkie problemy.

    Zrzut ekranu przedstawiający stronę

    Na stronie Gotowe do skonfigurowania zostanie wyświetlona lista akcji, które zostaną wykonane w celu naprawy zaufania.

    Zrzut ekranu przedstawiający stronę

  5. Wybierz pozycję Zainstaluj , aby naprawić zaufanie.

Uwaga

Program Microsoft Entra Connect może naprawić lub działać tylko na certyfikatach z podpisem własnym. Program Microsoft Entra Connect nie może naprawić certyfikatów innych firm.

Połącz z Microsoft Entra ID używając identyfikatora alternatywnego

Zalecamy zachowanie nazwy głównej użytkownika w środowisku lokalnym (UPN) i głównej nazwy użytkownika w chmurze w taki sam sposób. Jeśli lokalny UPN używa domeny nieroutowalnej (na przykład Contoso.local) lub nie można go zmienić z powodu zależności lokalnych aplikacji, zalecamy skonfigurowanie alternatywnego identyfikatora logowania. Korzystając z alternatywnego identyfikatora logowania, można skonfigurować środowisko logowania, w którym użytkownicy mogą logować się za pomocą atrybutu innego niż nazwa UPN, takiego jak adres e-mail.

Domyślnym wyborem w usłudze Microsoft Entra Connect jest użycie atrybutu userPrincipalName w usłudze Active Directory. W przypadku wybrania innego atrybutu nazwy UPN i federowania przy użyciu usług AD FS program Microsoft Entra Connect konfiguruje usługi AD FS pod kątem alternatywnego identyfikatora logowania.

Przykład wybierania innego atrybutu dla nazwy UPN jest pokazany na poniższej ilustracji:

Zrzut ekranu przedstawiający stronę

Konfigurowanie alternatywnego identyfikatora logowania dla usług AD FS składa się z dwóch głównych kroków:

  1. Skonfiguruj odpowiedni zestaw oświadczeń z wystawiania: Reguły oświadczeń z wystawiania w relacji zaufania usług Microsoft Entra ID są modyfikowane w celu użycia wybranego atrybutu UserPrincipalName jako alternatywnego identyfikatora użytkownika.

  2. Włącz alternatywny identyfikator logowania w konfiguracji usług AD FS: Konfiguracja usług AD FS jest aktualizowana, aby usługi AD FS mogły wyszukać użytkowników w odpowiednich lasach przy użyciu alternatywnego identyfikatora. Ta konfiguracja jest obsługiwana w usługach AD FS w systemie Windows Server 2012 R2 (z KB2919355) lub nowszym. Jeśli serwery usług AD FS są w wersji 2012 R2, program Microsoft Entra Connect sprawdza obecność wymaganej poprawki. Jeśli baza wiedzy nie zostanie wykryta, po zakończeniu konfiguracji zostanie wyświetlone ostrzeżenie, jak pokazano na poniższej ilustracji:

    Zrzut ekranu strony

    Jeśli brakuje KB, możesz naprawić konfigurację, instalując wymagane KB2919355. Następnie możesz postępować zgodnie z instrukcjami w temacie naprawiania zaufania.

Uwaga

Aby uzyskać więcej informacji na temat identyfikatora alternatywnego i kroków ręcznego konfigurowania go, zobacz Konfigurowanie alternatywnego identyfikatora logowania.

Dodawanie serwera usług AD FS

Uwaga

Aby dodać serwer usług AD FS, microsoft Entra Connect wymaga certyfikatu PFX. W związku z tym można wykonać tę operację tylko wtedy, gdy skonfigurowano farmę usług AD FS przy użyciu programu Microsoft Entra Connect.

  1. Wybierz pozycję Wdróż dodatkowy serwer federacyjny, a następnie wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający okienko

  2. Na stronie Łączenie z Microsoft Entra ID wprowadź poświadczenia administratora tożsamości hybrydowej dla Microsoft Entra ID, a następnie wybierz Dalej.

    Zrzut ekranu przedstawiający stronę

  3. Podaj poświadczenia administratora domeny.

    Zrzut ekranu przedstawiający stronę

  4. Program Microsoft Entra Connect prosi o podanie hasła pliku PFX podanego podczas konfigurowania nowej farmy usług AD FS za pomocą programu Microsoft Entra Connect. Wybierz pozycję Wprowadź hasło , aby podać hasło dla pliku PFX.

    Zrzut ekranu przedstawiający stronę

    Zrzut ekranu przedstawiający stronę

  5. Na stronie Serwery usług AD FS wprowadź nazwę serwera lub adres IP, który ma zostać dodany do farmy usług AD FS.

    Zrzut ekranu przedstawiający stronę

  6. Wybierz przycisk Dalej, a następnie kontynuuj kończenie ostatniej strony Konfigurowanie .

    Po zakończeniu dodawania serwerów do farmy usług AD FS przez firmę Microsoft Entra Connect zostanie podana opcja zweryfikowania łączności.

    Zrzut ekranu przedstawiający stronę

    Zrzut ekranu przedstawiający stronę

Dodaj serwer WAP AD FS

Uwaga

Aby dodać serwer proxy aplikacji sieci Web, program Microsoft Entra Connect wymaga certyfikatu PFX. W związku z tym można wykonać tę operację dopiero po skonfigurowaniu farmy usług AD FS przy użyciu programu Microsoft Entra Connect.

  1. Wybierz pozycję Wdróż serwer proxy aplikacji sieci Web z listy dostępnych zadań.

    Wdrażanie serwer proxy aplikacji sieci Web

  2. Podaj poświadczenia administratora tożsamości hybrydowej w platformie Azure.

    Zrzut ekranu przedstawiający stronę

  3. Na stronie Określanie certyfikatu SSL podaj hasło do pliku PFX podanego podczas konfigurowania farmy usług AD FS za pomocą programu Microsoft Entra Connect. Certificate password

    Określanie certyfikatu TLS/SSL

  4. Dodaj serwer do dodania jako serwer WAP. Ponieważ serwer WAP może nie być przyłączony do domeny, kreator prosi o podanie poświadczeń administracyjnych dla dodawanego serwera.

    Poświadczenia serwera administracyjnego

  5. Na stronie Poświadczenia zaufania serwera proxy podaj poświadczenia administracyjne, aby skonfigurować zaufanie serwera proxy i uzyskać dostęp do głównego serwera w gospodarstwie AD FS.

    Poświadczenia zaufania serwera proxy

  6. Na stronie Gotowe do skonfigurowania kreator wyświetli listę akcji, które zostaną wykonane.

    Zrzut ekranu przedstawiający stronę

  7. Wybierz pozycję Zainstaluj , aby zakończyć konfigurację. Po zakończeniu konfiguracji kreator daje możliwość sprawdzenia łączności z serwerami. Wybierz pozycję Weryfikuj , aby sprawdzić łączność.

    Instalacja zakończona

Dodawanie domeny federacyjnej

Łatwo jest dodać domenę do federacji z Microsoft Entra ID przy użyciu narzędzia Microsoft Entra Connect. Program Microsoft Entra Connect dodaje domenę dla federacji i modyfikuje reguły oświadczeń, aby poprawnie odzwierciedlać wystawcę, gdy masz wiele domen federacyjnych z identyfikatorem Entra firmy Microsoft.

  1. Aby dodać domenę federacyjną, wybierz pozycję Dodaj dodatkową domenę Firmy Microsoft Entra.

    Zrzut ekranu przedstawiający okienko

  2. Na następnej stronie kreatora wprowadź dane logowania administratora hybrydowego dla usługi Microsoft Entra ID.

    Zrzut ekranu przedstawiający okienko

  3. Na stronie Poświadczenia dostępu zdalnego podaj poświadczenia administratora domeny.

    Zrzut ekranu przedstawiający okienko

  4. Na następnej stronie kreator udostępnia listę domen Microsoft Entra, z którymi można zintegrować katalog lokalny. Wybierz domenę z listy.

    Zrzut ekranu przedstawiający okienko

    Po wybraniu domeny kreator poinformuje Cię o dalszych działaniach, które podejmie, oraz o wpływie konfiguracji. W niektórych przypadkach, jeśli wybierzesz domenę, która nie została jeszcze zweryfikowana w identyfikatorze Entra firmy Microsoft, kreator pomoże Ci zweryfikować domenę. Aby uzyskać więcej informacji, zobacz Dodawanie niestandardowej nazwy domeny do identyfikatora Entra firmy Microsoft.

  5. Wybierz Dalej.

    Na stronie Gotowość do skonfigurowania zostanie wyświetlona lista akcji, które będą wykonywane przez program Microsoft Entra Connect.

    Zrzut ekranu przedstawiający okienko

  6. Wybierz pozycję Zainstaluj , aby zakończyć konfigurację.

Uwaga

Użytkownicy w dodanej domenie federacyjnej muszą być zsynchronizowani, zanim będą mogli zalogować się do identyfikatora Entra firmy Microsoft.

Dostosowywanie usług AD FS

Poniższe sekcje zawierają szczegółowe informacje o niektórych typowych zadaniach, które mogą być konieczne do dostosowania strony logowania usług AD FS.

Aby zmienić logo firmy wyświetlanej na stronie logowania , użyj następującego polecenia cmdlet i składni programu PowerShell.

Uwaga

Zalecane wymiary logo to 260 x 35 @ 96 dpi z rozmiarem pliku nie większym niż 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Uwaga

Parametr TargetName jest wymagany. Domyślny motyw wydany z usługami AD FS ma nazwę Domyślna.

Dodawanie opisu logowania

Aby dodać opis strony logowania do strony logowania, użyj następującego polecenia cmdlet i składni programu PowerShell.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modyfikowanie reguł oświadczeń usług AD FS

Usługi AD FS obsługują zaawansowany język oświadczeń, którego można użyć do tworzenia niestandardowych reguł oświadczeń. Aby uzyskać więcej informacji, zobacz Rola języka reguł oświadczeń.

W poniższych sekcjach opisano sposób pisania niestandardowych reguł dla niektórych scenariuszy związanych z identyfikatorem Entra firmy Microsoft i federacją usług AD FS.

Niezmienny identyfikator warunkowy dla wartości obecnej w atrybucie

Program Microsoft Entra Connect umożliwia określenie atrybutu, który ma być używany jako kotwica źródłowa, gdy obiekty są synchronizowane z identyfikatorem Entra firmy Microsoft. Jeśli wartość w atrybucie niestandardowym nie jest pusta, możesz wydać oświadczenie dotyczące niezmiennego identyfikatora.

Można na przykład wybrać ms-ds-consistencyguid jako atrybut kotwicy źródłowej i wydać ImmutableID jako ms-ds-consistencyguid jeśli atrybut posiada wartość. Jeśli nie ma wartości dla atrybutu, wydaj objectGuid jako niezmienny identyfikator. Zestaw niestandardowych reguł oświadczeń można utworzyć zgodnie z opisem w poniższej sekcji.

Reguła 1. Atrybuty kwerendy

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

W tej regule wysyłasz zapytania o wartości ms-ds-consistencyguid i objectGuid dla użytkownika z usługi Active Directory. Zmień nazwę magazynu na odpowiednią nazwę magazynu we wdrożeniu usług AD FS. Zmień również typ oświadczeń na odpowiedni typ oświadczenia dla federacji, zgodnie z definicją dla objectGuid i ms-ds-consistencyguid.

Ponadto, używając add zamiast issue, unikasz dodawania problemu wychodzącego dla jednostki i możesz używać wartości jako wartości pośrednich. Roszczenie zostanie ustalone w kolejnej regule po określeniu, która wartość ma być używana jako niezmienny identyfikator.

Reguła 2. Sprawdź, czy ms-ds-consistencyguid istnieje dla użytkownika

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Ta reguła definiuje tymczasową flagę o nazwie idflag, która zostaje ustawiona na useguid, jeśli nie ma wypełnionego ms-ds-consistencyguid dla użytkownika. Logiką tego jest to, że usługi AD FS nie zezwalają na puste oświadczenia. Po dodaniu oświadczeń http://contoso.com/ws/2016/02/identity/claims/objectguid i http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid w regule 1 kończy się oświadczeniem msdsconsistencyguid tylko wtedy, gdy wartość zostanie wypełniona dla użytkownika. Jeśli nie zostanie wypełniony, usługi AD FS zobaczą, że ma pustą wartość i natychmiast ją zignorują. Wszystkie obiekty będą miały objectGuid, więc to stwierdzenie zawsze będzie tam po wykonaniu reguły 1.

Reguła 3: Wydaj ms-ds-consistencyguid jako niezmienny identyfikator, jeśli jest obecny

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Jest to niejawne Exist sprawdzanie. Jeśli wartość roszczenia istnieje, wydaj ją jako niezmienny identyfikator. W poprzednim przykładzie użyto nameidentifier atrybutu. Należy zmienić to na odpowiedni typ roszczenia dla niezmiennego identyfikatora (immutable ID) w twoim środowisku.

Reguła 4. Wystawianie identyfikatora objectGuid jako niezmiennego identyfikatora, jeśli identyfikator ms-ds-consistencyGuid nie jest obecny

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Przy użyciu tej reguły po prostu sprawdzasz flagę idflagtymczasową . Decydujesz, czy wydać oświadczenie na podstawie jego wartości.

Uwaga

Sekwencja tych reguł jest ważna.

Logowanie jednokrotne z użyciem UPN dla poddomeny

Można dodać więcej niż jedną domenę do federacyjnej przy użyciu programu Microsoft Entra Connect, zgodnie z opisem w temacie Dodawanie nowej domeny federacyjnej. Programy Microsoft Entra Connect w wersjach 1.1.553.0 i nowszych automatycznie tworzą poprawną regułę oświadczenia dla issuerID.

Następne kroki

Dowiedz się więcej o opcjach logowania użytkowników.