Zarządzanie usługami AD FS i dostosowywanie ich przy użyciu programu Microsoft Entra Connect
W tym artykule opisano sposób zarządzania i dostosowywania usług Active Directory Federation Services (AD FS) przy użyciu programu Microsoft Entra Connect.
Poznasz również inne typowe zadania usług AD FS, które mogą być konieczne do całkowitego skonfigurowania farmy usług AD FS. Te zadania są wymienione w poniższej tabeli:
Zadanie | Opis |
---|---|
Zarządzanie usługami AD FS | |
Naprawianie zaufania | Dowiedz się, jak naprawić zaufanie federacji za pomocą platformy Microsoft 365. |
Federate with Microsoft Entra ID by using an alternative sign-in ID | Dowiedz się, jak skonfigurować federację przy użyciu alternatywnego identyfikatora logowania. |
Dodawanie serwera usług AD FS | Dowiedz się, jak rozszerzyć farmę usług AD FS przy użyciu dodatkowego serwera usług AD FS. |
Dodawanie serwera serwer proxy aplikacji sieci Web usług AD FS (WAP) | Dowiedz się, jak rozszerzyć farmę usług AD FS przy użyciu dodatkowego serwera WAP. |
Dodawanie domeny federacyjnej | Dowiedz się, jak dodać domenę federacyjną. |
Aktualizowanie certyfikatu TLS/SSL | Dowiedz się, jak zaktualizować certyfikat TLS/SSL dla farmy usług AD FS. |
Dostosowywanie usług AD FS | |
Dodawanie niestandardowego logo firmy lub ilustracji | Dowiedz się, jak dostosować stronę logowania usług AD FS przy użyciu logo firmy i ilustracji. |
Dodawanie opisu logowania | Dowiedz się, jak dodać opis strony logowania. |
Modyfikowanie reguł oświadczeń usług AD FS | Dowiedz się, jak modyfikować oświadczenia usług AD FS dla różnych scenariuszy federacji. |
Zarządzanie usługami AD FS
Różne zadania związane z usługami AD FS można wykonywać w programie Microsoft Entra Connect z minimalną interwencją użytkownika za pomocą kreatora Microsoft Entra Connect. Po zakończeniu instalowania programu Microsoft Entra Connect, uruchamiając kreatora, możesz uruchomić go ponownie, aby wykonać inne zadania.
Naprawianie zaufania
Za pomocą programu Microsoft Entra Connect możesz sprawdzić bieżącą kondycję zaufania usług AD FS i Microsoft Entra ID, a następnie podjąć odpowiednie działania w celu naprawy zaufania. Aby naprawić identyfikator Entra firmy Microsoft i zaufanie usług AD FS, wykonaj następujące czynności:
Wybierz pozycję Napraw identyfikator Firmy Microsoft Entra i zaufanie usług ADFS z listy zadań.
Na stronie Łączenie z identyfikatorem entra firmy Microsoft podaj poświadczenia administratora tożsamości hybrydowej dla identyfikatora Entra firmy Microsoft, a następnie wybierz przycisk Dalej.
Na stronie Poświadczenia dostępu zdalnego wprowadź poświadczenia administratora domeny.
Wybierz Dalej.
Program Microsoft Entra Connect sprawdza kondycję certyfikatu i pokazuje wszelkie problemy.
Na stronie Gotowe do skonfigurowania zostanie wyświetlona lista akcji, które zostaną wykonane w celu naprawy zaufania.
Wybierz pozycję Zainstaluj , aby naprawić zaufanie.
Uwaga
Program Microsoft Entra Connect może naprawić lub działać tylko na certyfikatach z podpisem własnym. Program Microsoft Entra Connect nie może naprawić certyfikatów innych firm.
Federate z identyfikatorem Entra firmy Microsoft przy użyciu identyfikatora alternatywnego
Zalecamy zachowanie nazwy głównej użytkownika w środowisku lokalnym (UPN) i głównej nazwy użytkownika w chmurze w taki sam sposób. Jeśli lokalna nazwa UPN używa domeny innej niż routing (na przykład Contoso.local) lub nie można jej zmienić z powodu zależności aplikacji lokalnych, zalecamy skonfigurowanie alternatywnego identyfikatora logowania. Korzystając z alternatywnego identyfikatora logowania, można skonfigurować środowisko logowania, w którym użytkownicy mogą logować się za pomocą atrybutu innego niż nazwa UPN, takiego jak adres e-mail.
Wybór nazwy UPN w usłudze Microsoft Entra Connect jest domyślny atrybut userPrincipalName w usłudze Active Directory. W przypadku wybrania innego atrybutu nazwy UPN i federowania przy użyciu usług AD FS program Microsoft Entra Connect konfiguruje usługi AD FS pod kątem alternatywnego identyfikatora logowania.
Przykład wybierania innego atrybutu dla nazwy UPN jest pokazany na poniższej ilustracji:
Konfigurowanie alternatywnego identyfikatora logowania dla usług AD FS składa się z dwóch głównych kroków:
Skonfiguruj odpowiedni zestaw oświadczeń wystawiania: reguły oświadczeń wystawiania w relacji zaufania jednostki uzależnionej identyfikatora firmy Microsoft są modyfikowane w celu użycia wybranego atrybutu UserPrincipalName jako alternatywnego identyfikatora użytkownika.
Włącz alternatywny identyfikator logowania w konfiguracji usług AD FS: Konfiguracja usług AD FS jest aktualizowana, aby usługi AD FS mogły wyszukać użytkowników w odpowiednich lasach przy użyciu alternatywnego identyfikatora. Ta konfiguracja jest obsługiwana w usługach AD FS w systemie Windows Server 2012 R2 (z KB2919355) lub nowszym. Jeśli serwery usług AD FS mają wartość 2012 R2, program Microsoft Entra Connect sprawdza obecność wymaganej bazy wiedzy. Jeśli baza wiedzy nie zostanie wykryta, po zakończeniu konfiguracji zostanie wyświetlone ostrzeżenie, jak pokazano na poniższej ilustracji:
Jeśli brakuje bazy wiedzy, możesz rozwiązać ten problem, instalując wymagane KB2919355. Następnie możesz postępować zgodnie z instrukcjami w temacie naprawiania zaufania.
Uwaga
Aby uzyskać więcej informacji na temat identyfikatora alternatywnego i kroków ręcznego konfigurowania go, zobacz Konfigurowanie alternatywnego identyfikatora logowania.
Dodawanie serwera usług AD FS
Uwaga
Aby dodać serwer usług AD FS, microsoft Entra Connect wymaga certyfikatu PFX. W związku z tym można wykonać tę operację tylko wtedy, gdy skonfigurowano farmę usług AD FS przy użyciu programu Microsoft Entra Connect.
Wybierz pozycję Wdróż dodatkowy serwer federacyjny, a następnie wybierz przycisk Dalej.
Na stronie Łączenie z identyfikatorem entra firmy Microsoft wprowadź poświadczenia administratora tożsamości hybrydowej dla identyfikatora Entra firmy Microsoft, a następnie wybierz przycisk Dalej.
Podaj poświadczenia administratora domeny.
Program Microsoft Entra Connect prosi o podanie hasła pliku PFX podanego podczas konfigurowania nowej farmy usług AD FS za pomocą programu Microsoft Entra Connect. Wybierz pozycję Wprowadź hasło , aby podać hasło dla pliku PFX.
Na stronie Serwery usług AD FS wprowadź nazwę serwera lub adres IP, który ma zostać dodany do farmy usług AD FS.
Wybierz przycisk Dalej, a następnie kontynuuj kończenie ostatniej strony Konfigurowanie .
Po zakończeniu dodawania serwerów do farmy usług AD FS przez firmę Microsoft Entra Connect zostanie podana opcja zweryfikowania łączności.
Dodawanie serwera WAP usług AD FS
Uwaga
Aby dodać serwer serwer proxy aplikacji sieci Web, program Microsoft Entra Connect wymaga certyfikatu PFX. W związku z tym można wykonać tę operację dopiero po skonfigurowaniu farmy usług AD FS przy użyciu programu Microsoft Entra Connect.
Wybierz pozycję Wdróż serwer proxy aplikacji sieci Web z listy dostępnych zadań.
Podaj poświadczenia administratora tożsamości hybrydowej platformy Azure.
Na stronie Określanie certyfikatu SSL podaj hasło do pliku PFX podanego podczas konfigurowania farmy usług AD FS za pomocą programu Microsoft Entra Connect.
Dodaj serwer do dodania jako serwer WAP. Ponieważ serwer WAP może nie być przyłączony do domeny, kreator prosi o poświadczenia administracyjne do dodawanego serwera.
Na stronie Poświadczenia zaufania serwera proxy podaj poświadczenia administracyjne, aby skonfigurować zaufanie serwera proxy i uzyskać dostęp do serwera podstawowego w farmie usług AD FS.
Na stronie Gotowe do skonfigurowania kreator wyświetli listę akcji, które zostaną wykonane.
Wybierz pozycję Zainstaluj , aby zakończyć konfigurację. Po zakończeniu konfiguracji kreator umożliwia zweryfikowanie łączności z serwerami. Wybierz pozycję Weryfikuj , aby sprawdzić łączność.
Dodawanie domeny federacyjnej
Dodawanie domeny do federacyjnej z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect jest łatwe. Program Microsoft Entra Connect dodaje domenę dla federacji i modyfikuje reguły oświadczeń, aby poprawnie odzwierciedlać wystawcę, gdy masz wiele domen federacyjnych z identyfikatorem Entra firmy Microsoft.
Aby dodać domenę federacyjną, wybierz pozycję Dodaj dodatkową domenę Firmy Microsoft Entra.
Na następnej stronie kreatora podaj poświadczenia administratora hybrydowego dla identyfikatora Entra firmy Microsoft.
Na stronie Poświadczenia dostępu zdalnego podaj poświadczenia administratora domeny.
Na następnej stronie kreator udostępnia listę domen firmy Microsoft Entra, za pomocą których można sfederować katalog lokalny. Wybierz domenę z listy.
Po wybraniu domeny kreator poinformuje Cię o dalszych działaniach, które zostaną wykonane i wpływ konfiguracji. W niektórych przypadkach, jeśli wybierzesz domenę, która nie została jeszcze zweryfikowana w identyfikatorze Entra firmy Microsoft, kreator pomoże Ci zweryfikować domenę. Aby uzyskać więcej informacji, zobacz Dodawanie niestandardowej nazwy domeny do identyfikatora Entra firmy Microsoft.
Wybierz Dalej.
Na stronie Gotowość do skonfigurowania zostanie wyświetlona lista akcji, które będą wykonywane przez program Microsoft Entra Connect.
Wybierz pozycję Zainstaluj , aby zakończyć konfigurację.
Uwaga
Użytkownicy w dodanej domenie federacyjnej muszą być zsynchronizowani, zanim będą mogli zalogować się do identyfikatora Entra firmy Microsoft.
Dostosowywanie usług AD FS
Poniższe sekcje zawierają szczegółowe informacje o niektórych typowych zadaniach, które mogą być konieczne do dostosowania strony logowania usług AD FS.
Dodawanie niestandardowego logo firmy lub ilustracji
Aby zmienić logo firmy wyświetlanej na stronie logowania , użyj następującego polecenia cmdlet i składni programu PowerShell.
Uwaga
Zalecane wymiary logo to 260 x 35 @ 96 dpi z rozmiarem pliku nie większym niż 10 KB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Uwaga
Parametr TargetName jest wymagany. Domyślny motyw wydany z usługami AD FS ma nazwę Domyślna.
Dodawanie opisu logowania
Aby dodać opis strony logowania do strony logowania, użyj następującego polecenia cmdlet i składni programu PowerShell.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Modyfikowanie reguł oświadczeń usług AD FS
Usługi AD FS obsługują zaawansowany język oświadczeń, którego można użyć do tworzenia niestandardowych reguł oświadczeń. Aby uzyskać więcej informacji, zobacz Role of the Claim Rule Language (Rola języka reguł oświadczeń).
W poniższych sekcjach opisano sposób pisania niestandardowych reguł dla niektórych scenariuszy związanych z identyfikatorem Entra firmy Microsoft i federacją usług AD FS.
Niezmienny identyfikator warunkowy dla wartości obecnej w atrybucie
Program Microsoft Entra Connect umożliwia określenie atrybutu, który ma być używany jako kotwica źródłowa, gdy obiekty są synchronizowane z identyfikatorem Entra firmy Microsoft. Jeśli wartość w atrybucie niestandardowym nie jest pusta, możesz wydać niezmienne oświadczenie o identyfikatorze.
Można na przykład wybrać ms-ds-consistencyguid
jako atrybut kotwicy źródłowej i wydać immutableID , tak jak ms-ds-consistencyguid
w przypadku, gdy atrybut ma dla niego wartość. Jeśli nie ma wartości względem atrybutu, problem objectGuid
jako niezmienny identyfikator. Zestaw niestandardowych reguł oświadczeń można utworzyć zgodnie z opisem w poniższej sekcji.
Reguła 1. Atrybuty kwerendy
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
W tej regule wysyłasz zapytania o wartości ms-ds-consistencyguid
i objectGuid
dla użytkownika z usługi Active Directory. Zmień nazwę magazynu na odpowiednią nazwę magazynu we wdrożeniu usług AD FS. Zmień również typ oświadczeń na odpowiedni typ oświadczenia dla federacji, zgodnie z definicją dla objectGuid
i ms-ds-consistencyguid
.
Ponadto przy użyciu elementu add
i nie issue
należy unikać dodawania problemu wychodzącego dla jednostki i można użyć wartości jako wartości pośrednich. Oświadczenie zostanie wyświetlone w późniejszej regule po ustaleniu, która wartość ma być używana jako niezmienny identyfikator.
Reguła 2. Sprawdź, czy ms-ds-consistencyguid istnieje dla użytkownika
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Ta reguła definiuje flagę tymczasową o nazwie idflag
, która jest ustawiona na useguid
wartość , jeśli użytkownik nie jest ms-ds-consistencyguid
wypełniony. Logiką tego jest to, że usługi AD FS nie zezwalają na puste oświadczenia. Po dodaniu oświadczeń http://contoso.com/ws/2016/02/identity/claims/objectguid
i http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid
w regule 1 kończy się oświadczeniem msdsconsistencyguid tylko wtedy, gdy wartość zostanie wypełniona dla użytkownika. Jeśli nie zostanie wypełniony, usługi AD FS zobaczą, że będzie mieć pustą wartość i natychmiast ją pomniejsi. Wszystkie obiekty będą miały objectGuid
wartość , aby oświadczenie zawsze było dostępne po wykonaniu reguły 1.
Reguła 3. Problem z identyfikatorem ms-ds-consistencyguid jako niezmiennym identyfikatorem, jeśli jest obecny
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Jest to niejawne Exist
sprawdzanie. Jeśli wartość oświadczenia istnieje, wydaj go jako niezmienny identyfikator. W poprzednim przykładzie użyto nameidentifier
oświadczenia. Musisz zmienić to na odpowiedni typ oświadczenia dla niezmiennego identyfikatora w środowisku.
Reguła 4. Wystawianie identyfikatora objectGuid jako niezmiennego identyfikatora, jeśli identyfikator ms-ds-consistencyGuid nie jest obecny
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Przy użyciu tej reguły po prostu sprawdzasz flagę idflag
tymczasową . Decydujesz, czy wydać oświadczenie na podstawie jego wartości.
Uwaga
Sekwencja tych reguł jest ważna.
Logowanie jednokrotne z nazwą UPN poddomeny
Można dodać więcej niż jedną domenę do federacyjnej przy użyciu programu Microsoft Entra Connect, zgodnie z opisem w temacie Dodawanie nowej domeny federacyjnej. Program Microsoft Entra Connect w wersji 1.1.553.0 lub nowszej tworzy poprawną regułę oświadczenia automatycznie issuerID
. Jeśli nie możesz użyć programu Microsoft Entra Connect w wersji 1.1.553.0 lub nowszej, zalecamy użycie narzędzia Microsoft Entra RPT Claim Rules do generowania i ustawiania poprawnych reguł oświadczeń dla zaufania jednostki uzależnionej identyfikatora entra firmy Microsoft.
Następne kroki
Dowiedz się więcej o opcjach logowania użytkowników.