Udostępnij za pośrednictwem


Zarządzanie usługami AD FS i dostosowywanie ich przy użyciu programu Microsoft Entra Connect

W tym artykule opisano sposób zarządzania i dostosowywania usług Active Directory Federation Services (AD FS) przy użyciu programu Microsoft Entra Connect.

Poznasz również inne typowe zadania usług AD FS, które mogą być konieczne do całkowitego skonfigurowania farmy usług AD FS. Te zadania są wymienione w poniższej tabeli:

Zadanie Opis
Zarządzanie usługami AD FS
Naprawianie zaufania Dowiedz się, jak naprawić zaufanie federacji za pomocą platformy Microsoft 365.
Federate with Microsoft Entra ID by using an alternative sign-in ID Dowiedz się, jak skonfigurować federację przy użyciu alternatywnego identyfikatora logowania.
Dodawanie serwera usług AD FS Dowiedz się, jak rozszerzyć farmę usług AD FS przy użyciu dodatkowego serwera usług AD FS.
Dodawanie serwera serwer proxy aplikacji sieci Web usług AD FS (WAP) Dowiedz się, jak rozszerzyć farmę usług AD FS przy użyciu dodatkowego serwera WAP.
Dodawanie domeny federacyjnej Dowiedz się, jak dodać domenę federacyjną.
Aktualizowanie certyfikatu TLS/SSL Dowiedz się, jak zaktualizować certyfikat TLS/SSL dla farmy usług AD FS.
Dostosowywanie usług AD FS
Dodawanie niestandardowego logo firmy lub ilustracji Dowiedz się, jak dostosować stronę logowania usług AD FS przy użyciu logo firmy i ilustracji.
Dodawanie opisu logowania Dowiedz się, jak dodać opis strony logowania.
Modyfikowanie reguł oświadczeń usług AD FS Dowiedz się, jak modyfikować oświadczenia usług AD FS dla różnych scenariuszy federacji.

Zarządzanie usługami AD FS

Różne zadania związane z usługami AD FS można wykonywać w programie Microsoft Entra Connect z minimalną interwencją użytkownika za pomocą kreatora Microsoft Entra Connect. Po zakończeniu instalowania programu Microsoft Entra Connect, uruchamiając kreatora, możesz uruchomić go ponownie, aby wykonać inne zadania.

Naprawianie zaufania

Za pomocą programu Microsoft Entra Connect możesz sprawdzić bieżącą kondycję zaufania usług AD FS i Microsoft Entra ID, a następnie podjąć odpowiednie działania w celu naprawy zaufania. Aby naprawić identyfikator Entra firmy Microsoft i zaufanie usług AD FS, wykonaj następujące czynności:

  1. Wybierz pozycję Napraw identyfikator Firmy Microsoft Entra i zaufanie usług ADFS z listy zadań.

    Zrzut ekranu przedstawiający stronę

  2. Na stronie Łączenie z identyfikatorem entra firmy Microsoft podaj poświadczenia administratora tożsamości hybrydowej dla identyfikatora Entra firmy Microsoft, a następnie wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający stronę

  3. Na stronie Poświadczenia dostępu zdalnego wprowadź poświadczenia administratora domeny.

    Zrzut ekranu przedstawiający stronę

  4. Wybierz Dalej.

    Program Microsoft Entra Connect sprawdza kondycję certyfikatu i pokazuje wszelkie problemy.

    Zrzut ekranu przedstawiający stronę

    Na stronie Gotowe do skonfigurowania zostanie wyświetlona lista akcji, które zostaną wykonane w celu naprawy zaufania.

    Zrzut ekranu przedstawiający stronę

  5. Wybierz pozycję Zainstaluj , aby naprawić zaufanie.

Uwaga

Program Microsoft Entra Connect może naprawić lub działać tylko na certyfikatach z podpisem własnym. Program Microsoft Entra Connect nie może naprawić certyfikatów innych firm.

Federate z identyfikatorem Entra firmy Microsoft przy użyciu identyfikatora alternatywnego

Zalecamy zachowanie nazwy głównej użytkownika w środowisku lokalnym (UPN) i głównej nazwy użytkownika w chmurze w taki sam sposób. Jeśli lokalna nazwa UPN używa domeny innej niż routing (na przykład Contoso.local) lub nie można jej zmienić z powodu zależności aplikacji lokalnych, zalecamy skonfigurowanie alternatywnego identyfikatora logowania. Korzystając z alternatywnego identyfikatora logowania, można skonfigurować środowisko logowania, w którym użytkownicy mogą logować się za pomocą atrybutu innego niż nazwa UPN, takiego jak adres e-mail.

Wybór nazwy UPN w usłudze Microsoft Entra Connect jest domyślny atrybut userPrincipalName w usłudze Active Directory. W przypadku wybrania innego atrybutu nazwy UPN i federowania przy użyciu usług AD FS program Microsoft Entra Connect konfiguruje usługi AD FS pod kątem alternatywnego identyfikatora logowania.

Przykład wybierania innego atrybutu dla nazwy UPN jest pokazany na poniższej ilustracji:

Zrzut ekranu przedstawiający stronę

Konfigurowanie alternatywnego identyfikatora logowania dla usług AD FS składa się z dwóch głównych kroków:

  1. Skonfiguruj odpowiedni zestaw oświadczeń wystawiania: reguły oświadczeń wystawiania w relacji zaufania jednostki uzależnionej identyfikatora firmy Microsoft są modyfikowane w celu użycia wybranego atrybutu UserPrincipalName jako alternatywnego identyfikatora użytkownika.

  2. Włącz alternatywny identyfikator logowania w konfiguracji usług AD FS: Konfiguracja usług AD FS jest aktualizowana, aby usługi AD FS mogły wyszukać użytkowników w odpowiednich lasach przy użyciu alternatywnego identyfikatora. Ta konfiguracja jest obsługiwana w usługach AD FS w systemie Windows Server 2012 R2 (z KB2919355) lub nowszym. Jeśli serwery usług AD FS mają wartość 2012 R2, program Microsoft Entra Connect sprawdza obecność wymaganej bazy wiedzy. Jeśli baza wiedzy nie zostanie wykryta, po zakończeniu konfiguracji zostanie wyświetlone ostrzeżenie, jak pokazano na poniższej ilustracji:

    Zrzut ekranu przedstawiający stronę

    Jeśli brakuje bazy wiedzy, możesz rozwiązać ten problem, instalując wymagane KB2919355. Następnie możesz postępować zgodnie z instrukcjami w temacie naprawiania zaufania.

Uwaga

Aby uzyskać więcej informacji na temat identyfikatora alternatywnego i kroków ręcznego konfigurowania go, zobacz Konfigurowanie alternatywnego identyfikatora logowania.

Dodawanie serwera usług AD FS

Uwaga

Aby dodać serwer usług AD FS, microsoft Entra Connect wymaga certyfikatu PFX. W związku z tym można wykonać tę operację tylko wtedy, gdy skonfigurowano farmę usług AD FS przy użyciu programu Microsoft Entra Connect.

  1. Wybierz pozycję Wdróż dodatkowy serwer federacyjny, a następnie wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający okienko

  2. Na stronie Łączenie z identyfikatorem entra firmy Microsoft wprowadź poświadczenia administratora tożsamości hybrydowej dla identyfikatora Entra firmy Microsoft, a następnie wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający stronę

  3. Podaj poświadczenia administratora domeny.

    Zrzut ekranu przedstawiający stronę

  4. Program Microsoft Entra Connect prosi o podanie hasła pliku PFX podanego podczas konfigurowania nowej farmy usług AD FS za pomocą programu Microsoft Entra Connect. Wybierz pozycję Wprowadź hasło , aby podać hasło dla pliku PFX.

    Zrzut ekranu przedstawiający stronę

    Zrzut ekranu przedstawiający stronę

  5. Na stronie Serwery usług AD FS wprowadź nazwę serwera lub adres IP, który ma zostać dodany do farmy usług AD FS.

    Zrzut ekranu przedstawiający stronę

  6. Wybierz przycisk Dalej, a następnie kontynuuj kończenie ostatniej strony Konfigurowanie .

    Po zakończeniu dodawania serwerów do farmy usług AD FS przez firmę Microsoft Entra Connect zostanie podana opcja zweryfikowania łączności.

    Zrzut ekranu przedstawiający stronę

    Zrzut ekranu przedstawiający stronę

Dodawanie serwera WAP usług AD FS

Uwaga

Aby dodać serwer serwer proxy aplikacji sieci Web, program Microsoft Entra Connect wymaga certyfikatu PFX. W związku z tym można wykonać tę operację dopiero po skonfigurowaniu farmy usług AD FS przy użyciu programu Microsoft Entra Connect.

  1. Wybierz pozycję Wdróż serwer proxy aplikacji sieci Web z listy dostępnych zadań.

    Wdrażanie serwer proxy aplikacji sieci Web

  2. Podaj poświadczenia administratora tożsamości hybrydowej platformy Azure.

    Zrzut ekranu przedstawiający stronę

  3. Na stronie Określanie certyfikatu SSL podaj hasło do pliku PFX podanego podczas konfigurowania farmy usług AD FS za pomocą programu Microsoft Entra Connect. Certificate password

    Określanie certyfikatu TLS/SSL

  4. Dodaj serwer do dodania jako serwer WAP. Ponieważ serwer WAP może nie być przyłączony do domeny, kreator prosi o poświadczenia administracyjne do dodawanego serwera.

    Poświadczenia serwera administracyjnego

  5. Na stronie Poświadczenia zaufania serwera proxy podaj poświadczenia administracyjne, aby skonfigurować zaufanie serwera proxy i uzyskać dostęp do serwera podstawowego w farmie usług AD FS.

    Poświadczenia zaufania serwera proxy

  6. Na stronie Gotowe do skonfigurowania kreator wyświetli listę akcji, które zostaną wykonane.

    Zrzut ekranu przedstawiający stronę

  7. Wybierz pozycję Zainstaluj , aby zakończyć konfigurację. Po zakończeniu konfiguracji kreator umożliwia zweryfikowanie łączności z serwerami. Wybierz pozycję Weryfikuj , aby sprawdzić łączność.

    Instalacja zakończona

Dodawanie domeny federacyjnej

Dodawanie domeny do federacyjnej z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect jest łatwe. Program Microsoft Entra Connect dodaje domenę dla federacji i modyfikuje reguły oświadczeń, aby poprawnie odzwierciedlać wystawcę, gdy masz wiele domen federacyjnych z identyfikatorem Entra firmy Microsoft.

  1. Aby dodać domenę federacyjną, wybierz pozycję Dodaj dodatkową domenę Firmy Microsoft Entra.

    Zrzut ekranu przedstawiający okienko

  2. Na następnej stronie kreatora podaj poświadczenia administratora hybrydowego dla identyfikatora Entra firmy Microsoft.

    Zrzut ekranu przedstawiający okienko

  3. Na stronie Poświadczenia dostępu zdalnego podaj poświadczenia administratora domeny.

    Zrzut ekranu przedstawiający okienko

  4. Na następnej stronie kreator udostępnia listę domen firmy Microsoft Entra, za pomocą których można sfederować katalog lokalny. Wybierz domenę z listy.

    Zrzut ekranu przedstawiający okienko

    Po wybraniu domeny kreator poinformuje Cię o dalszych działaniach, które zostaną wykonane i wpływ konfiguracji. W niektórych przypadkach, jeśli wybierzesz domenę, która nie została jeszcze zweryfikowana w identyfikatorze Entra firmy Microsoft, kreator pomoże Ci zweryfikować domenę. Aby uzyskać więcej informacji, zobacz Dodawanie niestandardowej nazwy domeny do identyfikatora Entra firmy Microsoft.

  5. Wybierz Dalej.

    Na stronie Gotowość do skonfigurowania zostanie wyświetlona lista akcji, które będą wykonywane przez program Microsoft Entra Connect.

    Zrzut ekranu przedstawiający okienko

  6. Wybierz pozycję Zainstaluj , aby zakończyć konfigurację.

Uwaga

Użytkownicy w dodanej domenie federacyjnej muszą być zsynchronizowani, zanim będą mogli zalogować się do identyfikatora Entra firmy Microsoft.

Dostosowywanie usług AD FS

Poniższe sekcje zawierają szczegółowe informacje o niektórych typowych zadaniach, które mogą być konieczne do dostosowania strony logowania usług AD FS.

Aby zmienić logo firmy wyświetlanej na stronie logowania , użyj następującego polecenia cmdlet i składni programu PowerShell.

Uwaga

Zalecane wymiary logo to 260 x 35 @ 96 dpi z rozmiarem pliku nie większym niż 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Uwaga

Parametr TargetName jest wymagany. Domyślny motyw wydany z usługami AD FS ma nazwę Domyślna.

Dodawanie opisu logowania

Aby dodać opis strony logowania do strony logowania, użyj następującego polecenia cmdlet i składni programu PowerShell.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modyfikowanie reguł oświadczeń usług AD FS

Usługi AD FS obsługują zaawansowany język oświadczeń, którego można użyć do tworzenia niestandardowych reguł oświadczeń. Aby uzyskać więcej informacji, zobacz Role of the Claim Rule Language (Rola języka reguł oświadczeń).

W poniższych sekcjach opisano sposób pisania niestandardowych reguł dla niektórych scenariuszy związanych z identyfikatorem Entra firmy Microsoft i federacją usług AD FS.

Niezmienny identyfikator warunkowy dla wartości obecnej w atrybucie

Program Microsoft Entra Connect umożliwia określenie atrybutu, który ma być używany jako kotwica źródłowa, gdy obiekty są synchronizowane z identyfikatorem Entra firmy Microsoft. Jeśli wartość w atrybucie niestandardowym nie jest pusta, możesz wydać niezmienne oświadczenie o identyfikatorze.

Można na przykład wybrać ms-ds-consistencyguid jako atrybut kotwicy źródłowej i wydać immutableID , tak jak ms-ds-consistencyguid w przypadku, gdy atrybut ma dla niego wartość. Jeśli nie ma wartości względem atrybutu, problem objectGuid jako niezmienny identyfikator. Zestaw niestandardowych reguł oświadczeń można utworzyć zgodnie z opisem w poniższej sekcji.

Reguła 1. Atrybuty kwerendy

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

W tej regule wysyłasz zapytania o wartości ms-ds-consistencyguid i objectGuid dla użytkownika z usługi Active Directory. Zmień nazwę magazynu na odpowiednią nazwę magazynu we wdrożeniu usług AD FS. Zmień również typ oświadczeń na odpowiedni typ oświadczenia dla federacji, zgodnie z definicją dla objectGuid i ms-ds-consistencyguid.

Ponadto przy użyciu elementu add i nie issuenależy unikać dodawania problemu wychodzącego dla jednostki i można użyć wartości jako wartości pośrednich. Oświadczenie zostanie wyświetlone w późniejszej regule po ustaleniu, która wartość ma być używana jako niezmienny identyfikator.

Reguła 2. Sprawdź, czy ms-ds-consistencyguid istnieje dla użytkownika

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Ta reguła definiuje flagę tymczasową o nazwie idflag , która jest ustawiona na useguid wartość , jeśli użytkownik nie jest ms-ds-consistencyguid wypełniony. Logiką tego jest to, że usługi AD FS nie zezwalają na puste oświadczenia. Po dodaniu oświadczeń http://contoso.com/ws/2016/02/identity/claims/objectguid i http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid w regule 1 kończy się oświadczeniem msdsconsistencyguid tylko wtedy, gdy wartość zostanie wypełniona dla użytkownika. Jeśli nie zostanie wypełniony, usługi AD FS zobaczą, że będzie mieć pustą wartość i natychmiast ją pomniejsi. Wszystkie obiekty będą miały objectGuidwartość , aby oświadczenie zawsze było dostępne po wykonaniu reguły 1.

Reguła 3. Problem z identyfikatorem ms-ds-consistencyguid jako niezmiennym identyfikatorem, jeśli jest obecny

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Jest to niejawne Exist sprawdzanie. Jeśli wartość oświadczenia istnieje, wydaj go jako niezmienny identyfikator. W poprzednim przykładzie użyto nameidentifier oświadczenia. Musisz zmienić to na odpowiedni typ oświadczenia dla niezmiennego identyfikatora w środowisku.

Reguła 4. Wystawianie identyfikatora objectGuid jako niezmiennego identyfikatora, jeśli identyfikator ms-ds-consistencyGuid nie jest obecny

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Przy użyciu tej reguły po prostu sprawdzasz flagę idflagtymczasową . Decydujesz, czy wydać oświadczenie na podstawie jego wartości.

Uwaga

Sekwencja tych reguł jest ważna.

Logowanie jednokrotne z nazwą UPN poddomeny

Można dodać więcej niż jedną domenę do federacyjnej przy użyciu programu Microsoft Entra Connect, zgodnie z opisem w temacie Dodawanie nowej domeny federacyjnej. Program Microsoft Entra Connect w wersji 1.1.553.0 lub nowszej tworzy poprawną regułę oświadczenia automatycznie issuerID . Jeśli nie możesz użyć programu Microsoft Entra Connect w wersji 1.1.553.0 lub nowszej, zalecamy użycie narzędzia Microsoft Entra RPT Claim Rules do generowania i ustawiania poprawnych reguł oświadczeń dla zaufania jednostki uzależnionej identyfikatora entra firmy Microsoft.

Następne kroki

Dowiedz się więcej o opcjach logowania użytkowników.