Zapoznaj się z wymaganiami dotyczącymi wdrażania usług AD FS

Artykuł
11/09/2015

Dotyczy: Azure, Office 365, Power BI, Windows Intune

Aby nowe wdrożenie usług AD FS utworzyć zaufania jednostki uzależnionej pomyślnie z Azure AD, należy najpierw upewnić się, że infrastruktura sieci firmowej jest skonfigurowana do obsługi wymagań usług AD FS dla kont, rozpoznawania nazw i certyfikatów. Usługi AD FS ma następujące wymagania:

Wymagania dotyczące oprogramowania
Wymagania certyfikatu
Wymagania dotyczące sieci

Wymagania dotyczące oprogramowania

Oprogramowanie usług AD FS musi być zainstalowane na dowolnym komputerze, który przygotowuje się do roli serwera federacyjnego lub federacyjnego serwera proxy. To oprogramowanie można zainstalować za pomocą Kreatora instalacji usług AD FS lub wykonując cichą instalację przy użyciu adfssetup.exe /quiet parametru w wierszu polecenia.

W przypadku podstawowej platformy instalacji usługi AD FS wymagają systemu operacyjnego Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 lub Windows Server 2012 R2. Usługi AD FS ma oddzielny pakiet instalacyjny dla Windows Server 2008, Windows Server 2008 R2 platform systemu operacyjnego (i jest często określany jako AD FS 2.0) lub można go zainstalować przez dodanie roli serwera usługi federacyjnej w ramach systemu operacyjnego Windows Server 2012 lub Windows Server 2012 R2.

Jeśli używasz usług AD FS 2.0 lub AD FS w Windows Server 2012, wdrożysz i skonfigurujesz federacyjne serwery proxy w ramach wdrażania rozwiązania logowania jednokrotnego.

Jeśli używasz usług AD FS w Windows Server 2012 R2, wdrożysz serwery proxy aplikacji internetowej w celu skonfigurowania wdrożenia usług AD FS na potrzeby dostępu do ekstranetu. W Windows Server 2012 R2, serwer proxy aplikacji sieci Web, nowa usługa roli serwera dostępu zdalnego, służy do włączania usług AD FS dla ułatwień dostępu spoza sieci firmowej. Aby uzyskać więcej informacji, zobacz Web serwer proxy aplikacji Overview (Omówienie usługi Web serwer proxy aplikacji).

Wymagania wstępne

Podczas procesu instalacji usług AD FS kreator instalacji próbuje automatycznie sprawdzić i, w razie potrzeby, zainstalować zarówno wstępnie wymagane aplikacje, jak i zależne poprawki. W większości przypadków kreator instalacji zainstaluje wszystkie wstępnie wymagane aplikacje niezbędne do działania i zainstalowania usług AD FS.

Istnieje jednak jeden wyjątek: podczas instalowania usług AD FS na platformie Windows Server 2008 (jako oddzielny pakiet instalacyjny znany jako AD FS 2.0). W takiej sytuacji wdrożenia należy najpierw upewnić się, że program .NET 3.5 z dodatkiem SP1 jest zainstalowany na serwerach z systemem Windows Server 2008 przed zainstalowaniem oprogramowania usług AD FS 2.0, ponieważ jest to warunek wstępny usług AD FS 2.0 i nie zostanie automatycznie zainstalowany przez Kreatora instalacji usług AD FS 2.0 na tej platformie. Jeśli program .NET 3.5 z dodatkiem SP1 nie jest zainstalowany, Kreator instalacji usług AD FS 2.0 uniemożliwi instalację oprogramowania usług AD FS 2.0.

Poprawki

Po zainstalowaniu usług AD FS 2.0 należy zainstalować poprawki usług AD FS 2.0. Aby uzyskać więcej informacji, zobacz Opis pakietu zbiorczego aktualizacji 2 dla Active Directory Federation Services (AD FS) 2.0.

Wirtualizacja

Usługi AD FS obsługują wirtualizację oprogramowania zarówno roli serwera federacyjnego, jak i federacyjnego serwera proxy. Aby uwzględnić nadmiarowość, zalecamy przechowywanie każdej maszyny wirtualnej usług AD FS na oddzielnych serwerach fizycznych.

Aby uzyskać więcej informacji na temat konfigurowania środowiska serwera wirtualnego przy użyciu technologii wirtualizacji firmy Microsoft, zobacz Przewodnik po Wprowadzenie funkcji Hyper-V.

Wymagania certyfikatu

Certyfikaty odgrywają najważniejszą rolę w zabezpieczaniu komunikacji między serwerami federacyjnymi, serwerami proxy aplikacji internetowej, serwerami proxy serwera federacyjnego, usługą w chmurze i klientami internetowymi. Wymagania dotyczące certyfikatów różnią się w zależności od tego, czy konfigurujesz serwer federacyjny, serwer proxy aplikacji sieci Web, czy serwer proxy usługi federacyjnej, zgodnie z opisem w poniższych tabelach.

Certyfikaty serwerów federacyjnych

Serwery federacyjne wymagają certyfikatów opisanych w poniższej tabeli.

Typ certyfikatu	Opis	Co musisz wiedzieć przed wdrożeniem
Certyfikat SSL (nazywany również certyfikatem uwierzytelniania serwera) dla usług AD FS w Windows Server 2012 R2	Jest to standardowy certyfikat Secure Sockets Layer (SSL), który służy do zabezpieczania komunikacji między serwerami federacyjnymi, klientami, serwer proxy aplikacji sieci Web i komputerami proxy usługi federacyjnej.	Usługi AD FS wymaga certyfikatu uwierzytelniania serwera SSL na każdym serwerze federacyjnym w farmie serwerów federacyjnych. Ten sam certyfikat powinien być używany na każdym serwerze federacyjnym w farmie. Zarówno certyfikat, jak i jego klucz prywatny, muszą być dostępne. Jeśli na przykład masz certyfikat i jego klucz prywatny w pliku pfx, będzie można zaimportować plik bezpośrednio do Kreatora konfiguracji Active Directory Federation Services. Certyfikat SSL musi zawierać następujące elementy: Alternatywna nazwa podmiotu i alternatywna nazwa podmiotu musi zawierać nazwę usługi federacyjnej, taką jak fs.contoso.com Alternatywna nazwa podmiotu musi zawierać wartość enterpriseregistration , po której następuje sufiks nazwy UPN organizacji, na przykład enterpriseregistration.corp.contoso.com
Certyfikat SSL (nazywany również certyfikatem uwierzytelniania serwera) dla starszych wersji usług AD FS	Jest to standardowy certyfikat Secure Sockets Layercertificate używany do zabezpieczania komunikacji między serwerami federacyjnymi, klientami, serwer proxy aplikacji sieci Web i komputerami proxy serwera federacyjnego.	Usługi AD FS wymagają certyfikatu SSL podczas konfigurowania ustawień serwera federacyjnego. Domyślnie usługi AD FS używają certyfikatu SSL skonfigurowanego dla domyślnej witryny sieci Web w Internet Information Services (IIS). Nazwa podmiotu tego certyfikatu SSL służy do określania nazwy usługi federacyjnej dla każdego wdrożonego wystąpienia usług AD FS. Z tego powodu warto rozważyć wybranie nazwy podmiotu dla wszelkich nowych certyfikatów wystawionych przez urząd certyfikacji, który najlepiej reprezentuje nazwę firmy lub organizacji w usłudze w chmurze, a ta nazwa musi być routingiem internetowym. Na przykład na diagramie podanym wcześniej w tym artykule (zobacz "Faza 2") nazwa podmiotu certyfikatu będzie fs.fabrikam.com. Ważne Usługi AD FS wymagają, aby ten certyfikat SSL był bez kropki (krótka nazwa) Nazwa podmiotu. Wymagane: Ponieważ ten certyfikat musi być zaufany przez klientów usług AD FS i usług w chmurze firmy Microsoft, należy użyć certyfikatu SSL wystawionego przez publiczny urząd certyfikacji (innej firmy) lub urząd certyfikacji, który jest podrzędny publicznie zaufany katalog główny; na przykład VeriSign lub Thawte.
Certyfikat podpisywania tokenu	Jest to standardowy certyfikat X.509, który jest używany do bezpiecznego podpisywania wszystkich tokenów, które serwer federacyjny wystawia i że usługa w chmurze zaakceptuje i zweryfikuje.	Certyfikat podpisywania tokenu musi zawierać klucz prywatny i być powiązany z zaufanym katalogiem głównym usługi federacyjnej. Domyślnie usługi AD FS tworzą certyfikat z podpisem własnym. Jednak w zależności od potrzeb organizacji można to później zmienić na certyfikat wystawiony przez urząd certyfikacji za pomocą przystawki Zarządzanie usługami AD FS. Zalecenie: Użyj certyfikatu podpisywania tokenu z podpisem własnym wygenerowanego przez usługi AD FS. W ten sposób usługi AD FS będą domyślnie zarządzać tym certyfikatem. Na przykład w przypadku wygaśnięcia tego certyfikatu usługi AD FS wygenerują nowy certyfikat z podpisem własnym do użycia z wyprzedzeniem.

Certyfikat SSL (nazywany również certyfikatem uwierzytelniania serwera) dla usług AD FS w Windows Server 2012 R2

Jest to standardowy certyfikat Secure Sockets Layer (SSL), który służy do zabezpieczania komunikacji między serwerami federacyjnymi, klientami, serwer proxy aplikacji sieci Web i komputerami proxy usługi federacyjnej.

Usługi AD FS wymaga certyfikatu uwierzytelniania serwera SSL na każdym serwerze federacyjnym w farmie serwerów federacyjnych. Ten sam certyfikat powinien być używany na każdym serwerze federacyjnym w farmie. Zarówno certyfikat, jak i jego klucz prywatny, muszą być dostępne. Jeśli na przykład masz certyfikat i jego klucz prywatny w pliku pfx, będzie można zaimportować plik bezpośrednio do Kreatora konfiguracji Active Directory Federation Services. Certyfikat SSL musi zawierać następujące elementy:

Alternatywna nazwa podmiotu i alternatywna nazwa podmiotu musi zawierać nazwę usługi federacyjnej, taką jak fs.contoso.com
Alternatywna nazwa podmiotu musi zawierać wartość enterpriseregistration , po której następuje sufiks nazwy UPN organizacji, na przykład enterpriseregistration.corp.contoso.com

Certyfikat SSL (nazywany również certyfikatem uwierzytelniania serwera) dla starszych wersji usług AD FS

Jest to standardowy certyfikat Secure Sockets Layercertificate używany do zabezpieczania komunikacji między serwerami federacyjnymi, klientami, serwer proxy aplikacji sieci Web i komputerami proxy serwera federacyjnego.

Usługi AD FS wymagają certyfikatu SSL podczas konfigurowania ustawień serwera federacyjnego. Domyślnie usługi AD FS używają certyfikatu SSL skonfigurowanego dla domyślnej witryny sieci Web w Internet Information Services (IIS).

Nazwa podmiotu tego certyfikatu SSL służy do określania nazwy usługi federacyjnej dla każdego wdrożonego wystąpienia usług AD FS. Z tego powodu warto rozważyć wybranie nazwy podmiotu dla wszelkich nowych certyfikatów wystawionych przez urząd certyfikacji, który najlepiej reprezentuje nazwę firmy lub organizacji w usłudze w chmurze, a ta nazwa musi być routingiem internetowym. Na przykład na diagramie podanym wcześniej w tym artykule (zobacz "Faza 2") nazwa podmiotu certyfikatu będzie fs.fabrikam.com.

Ważne

Usługi AD FS wymagają, aby ten certyfikat SSL był bez kropki (krótka nazwa) Nazwa podmiotu.

Wymagane: Ponieważ ten certyfikat musi być zaufany przez klientów usług AD FS i usług w chmurze firmy Microsoft, należy użyć certyfikatu SSL wystawionego przez publiczny urząd certyfikacji (innej firmy) lub urząd certyfikacji, który jest podrzędny publicznie zaufany katalog główny; na przykład VeriSign lub Thawte.

Certyfikat podpisywania tokenu

Jest to standardowy certyfikat X.509, który jest używany do bezpiecznego podpisywania wszystkich tokenów, które serwer federacyjny wystawia i że usługa w chmurze zaakceptuje i zweryfikuje.

Certyfikat podpisywania tokenu musi zawierać klucz prywatny i być powiązany z zaufanym katalogiem głównym usługi federacyjnej. Domyślnie usługi AD FS tworzą certyfikat z podpisem własnym. Jednak w zależności od potrzeb organizacji można to później zmienić na certyfikat wystawiony przez urząd certyfikacji za pomocą przystawki Zarządzanie usługami AD FS.

Zalecenie: Użyj certyfikatu podpisywania tokenu z podpisem własnym wygenerowanego przez usługi AD FS. W ten sposób usługi AD FS będą domyślnie zarządzać tym certyfikatem. Na przykład w przypadku wygaśnięcia tego certyfikatu usługi AD FS wygenerują nowy certyfikat z podpisem własnym do użycia z wyprzedzeniem.

Ostrzeżenie

Certyfikat podpisywania tokenu ma kluczowe znaczenie dla stabilności usługi federacyjnej. W przypadku zmiany usługa w chmurze musi zostać powiadomiona o tej zmianie. W przeciwnym razie żądania do usługi w chmurze nie powiedzą się. Aby uzyskać więcej informacji na temat zarządzania certyfikatami w farmie serwerów federacyjnych usług AD FS i usługi w chmurze, zobacz Aktualizowanie właściwości zaufania.

Certyfikaty komputera proxy

Federacyjne serwery proxy wymagają certyfikatu w poniższej tabeli.

Typ certyfikatu	Opis	Co musisz wiedzieć przed wdrożeniem
Certyfikat SSL	Jest to standardowy certyfikat SSL używany do zabezpieczania komunikacji między serwerem federacyjnym, federacyjnym serwerem proxy lub serwer proxy aplikacji sieci Web oraz komputerami klienckimi internetowymi.	Jest to ten sam certyfikat uwierzytelniania serwera co certyfikat używany przez serwery federacyjne w sieci firmowej. Ten certyfikat musi mieć taką samą nazwę podmiotu jak certyfikat SSL skonfigurowany na serwerze federacyjnym w sieci firmowej. Jeśli używasz usług AD FS w programie Windows Server 2008 lub Windows Server 2012, należy zainstalować ten certyfikat w domyślnej witrynie sieci Web komputera serwera proxy usługi federacyjnej. Jeśli używasz usług AD FS w Windows Server 2012 R2, należy zaimportować ten certyfikat do magazynu certyfikatów osobistych na komputerze, który będzie działać jako serwer proxy aplikacji sieci Web. Zalecenie: Użyj tego samego certyfikatu uwierzytelniania serwera, który jest skonfigurowany na serwerze federacyjnym, z którymi będzie się łączyć ten serwer proxy usługi federacyjnej lub serwer proxy aplikacji sieci Web.

Certyfikat SSL

Jest to standardowy certyfikat SSL używany do zabezpieczania komunikacji między serwerem federacyjnym, federacyjnym serwerem proxy lub serwer proxy aplikacji sieci Web oraz komputerami klienckimi internetowymi.

Jest to ten sam certyfikat uwierzytelniania serwera co certyfikat używany przez serwery federacyjne w sieci firmowej. Ten certyfikat musi mieć taką samą nazwę podmiotu jak certyfikat SSL skonfigurowany na serwerze federacyjnym w sieci firmowej.

Jeśli używasz usług AD FS w programie Windows Server 2008 lub Windows Server 2012, należy zainstalować ten certyfikat w domyślnej witrynie sieci Web komputera serwera proxy usługi federacyjnej.

Jeśli używasz usług AD FS w Windows Server 2012 R2, należy zaimportować ten certyfikat do magazynu certyfikatów osobistych na komputerze, który będzie działać jako serwer proxy aplikacji sieci Web.

Zalecenie: Użyj tego samego certyfikatu uwierzytelniania serwera, który jest skonfigurowany na serwerze federacyjnym, z którymi będzie się łączyć ten serwer proxy usługi federacyjnej lub serwer proxy aplikacji sieci Web.

Aby uzyskać więcej informacji na temat certyfikatów, których używają serwery federacyjne i federacyjne serwery proxy, zobacz Przewodnik projektowania usług AD FS 2.0 lub Windows Server 2012 Przewodnik projektowania usług AD FS.

Wymagania dotyczące sieci

Krytyczne pomyślne wdrożenie usług AD FS w organizacji jest odpowiednio skonfigurowanie następujących usług sieciowych.

Połączenia sieciowe TCP/IP

Aby usługi AD FS działały, łączność sieciOWA TCP/IP musi istnieć między klientem, kontrolerami domeny, serwerami federacyjnym i serwerami proxy usługi federacyjnej.

DNS

Podstawowa usługa sieciowa, która ma kluczowe znaczenie dla działania usług AD FS, innych niż Active Directory, jest system nazw domen (DNS). Po wdrożeniu usługi DNS użytkownicy mogą korzystać z przyjaznych, łatwych do zapamiętania nazw komputerów w celu łączenia się z komputerami i innymi zasobami w sieciach IP.

Proces aktualizowania systemu DNS do obsługi usług AD FS składa się z konfigurowania:

Wewnętrzne serwery DNS w sieci firmowej, aby rozpoznać nazwę DNS klastra na adres IP klastra dla klastra równoważenia obciążenia sieciowego skonfigurowany na hoście równoważenia obciążenia sieciowego sieci firmowej. Na przykład rozpoznawanie fs.fabrikam.com do 172.16.1.3.
Serwery DNS sieci obwodowej do rozpoznawania nazwy DNS klastra na adres IP klastra dla klastra równoważenia obciążenia sieciowego skonfigurowany na hoście równoważenia obciążenia sieciowego obwodowego. Na przykład rozpoznawanie fs.fabrikam.com do 192.0.2.3.

Wymagania dotyczące równoważenia obciążenia sieciowego

Równoważenie obciążenia sieciowego jest wymagane do zapewnienia odporności na uszkodzenia, wysokiej dostępności i równoważenia obciążenia w wielu węzłach. Można go zaimplementować za pomocą sprzętu, oprogramowania lub kombinacji obu tych elementów. Należy skonfigurować rekordy zasobów DNS na podstawie nazwy usługi federacyjnej klastra równoważenia obciążenia sieciowego, tak aby w pełni kwalifikowana nazwa domeny (FQDN) klastra (nazywana również nazwą DNS klastra w tym artykule) została rozpoznana jako adres IP klastra.

Aby uzyskać ogólne informacje na temat adresu IP klastra równoważenia obciążenia sieciowego lub nazwy FQDN klastra, zobacz Określanie parametrów klastra.

Korzystanie z rozszerzonej ochrony na potrzeby uwierzytelniania

Jeśli komputery mają rozszerzoną ochronę na potrzeby uwierzytelniania i używasz przeglądarki Firefox, Chrome lub Safari, logowanie do usługi w chmurze może nie być możliwe przy użyciu zintegrowanego uwierzytelniania Windows z poziomu sieci firmowej. W takiej sytuacji użytkownicy mogą regularnie otrzymywać monity logowania. Jest to spowodowane konfiguracją domyślną (w systemach operacyjnych klienta Windows 7 i poprawkami) dla usług AD FS i rozszerzonej ochrony na potrzeby uwierzytelniania.

Do momentu, gdy przeglądarka Firefox, Chrome i Safari obsługują rozszerzoną ochronę na potrzeby uwierzytelniania, zalecaną opcją jest zainstalowanie i użycie Windows programu Internet Explorer 8 przez wszystkich klientów, którzy uzyskują dostęp do usługi w chmurze. Jeśli chcesz używać logowania jednokrotnego w usłudze w chmurze z przeglądarkami Firefox, Chrome lub Safari, należy wziąć pod uwagę dwa inne rozwiązania. Mogą jednak wystąpić obawy dotyczące bezpieczeństwa przy podejmowaniu jednego z tych podejść. Aby uzyskać więcej informacji, zobacz Biuletyn zabezpieczeń firmy Microsoft: rozszerzona ochrona uwierzytelniania. Rozwiązania obejmują:

Odinstalowywanie poprawek rozszerzonej ochrony na potrzeby uwierzytelniania z komputera.
Zmiana ustawienia Ochrona rozszerzona dla uwierzytelniania na serwerze usług AD FS. Aby uzyskać więcej informacji, zobacz Konfigurowanie opcji zaawansowanych dla usług AD FS 2.0.
Zmień konfigurację ustawień uwierzytelniania dla strony internetowej usług AD FS na każdym serwerze federacyjnym ze zintegrowanego uwierzytelniania Windows przy użyciu uwierzytelniania opartego na formularzach.

Następny krok

Po zapoznaniu się z wymaganiami dotyczącymi wdrażania usług AD FS następnym krokiem jest przygotowanie infrastruktury sieciowej dla serwerów federacyjnych.

Zobacz też

Pojęcia

Lista kontrolna: używanie usług AD FS do implementowania logowania jednokrotnego i zarządzania nim

Udostępnij za pośrednictwem