Поделиться через

Управление и настройка AD FS с помощью Microsoft Entra Connect

  • Статья

В этой статье описывается, как управлять службой федерации Active Directory (AD FS) и настраивать её с помощью Microsoft Entra Connect.

Вы также узнаете о других распространенных задачах AD FS, которые может потребоваться выполнить для полной настройки фермы AD FS. Эти задачи перечислены в следующей таблице:

Задача Описание
Управление AD FS
Восстановление доверия Узнайте, как восстановить доверие федерации с помощью Microsoft 365.
Объединение с Microsoft Entra ID с помощью альтернативного идентификатора для входа в систему Узнайте, как настроить федерацию с помощью альтернативного идентификатора входа.
Добавление сервера AD FS Узнайте, как развернуть ферму AD FS с дополнительным сервером AD FS.
Добавить сервер прокси веб-приложения AD FS (WAP) Узнайте, как развернуть ферму AD FS с дополнительным сервером WAP.
Добавление федеративного домена Узнайте, как добавить федеративный домен.
Обновление TLS/SSL-сертификата Узнайте, как обновить TLS/SSL-сертификат для фермы AD FS.
Настройка AD FS
Добавление настраиваемого логотипа компании или иллюстрации Узнайте, как настроить страницу входа AD FS с логотипом компании и иллюстрацией.
Добавление описания входа в систему Узнайте, как добавить описание страницы входа.
Изменение правил утверждений AD FS Узнайте, как изменить утверждения AD FS для различных сценариев федерации.

Управление AD FS

Вы можете выполнять различные задачи, связанные с AD FS, в Microsoft Entra Connect с минимальным вмешательством пользователей с помощью мастера Microsoft Entra Connect. После завершения установки Microsoft Entra Connect с помощью мастера его можно запустить еще раз, чтобы выполнить другие задачи.

Важно

Обратите внимание, что если вы настраиваете федерацию с AD FS или PingFederate, вам потребуется учетная запись с ролью глобального администратора или учетная запись, которая имеет роли администратора гибридных удостоверений и администратора доменных имен. Конфигурации, связанные с федерацией, требуют разрешений, которых администратор гибридных удостоверений в настоящее время не имеет, но которые есть у роли администратора доменных имен .

Восстановление доверия

Вы можете использовать Microsoft Entra Connect для проверки текущей работоспособности доверия AD FS и идентификатора Microsoft Entra ID, а затем предпринять соответствующие действия для восстановления доверия. Чтобы восстановить идентификатор Microsoft Entra и доверие AD FS, сделайте следующее:

  1. Выберите Восстановить доверие между Microsoft Entra ID и ADFS из списка задач.

    Снимок экрана: страница

  2. На странице "Подключение к идентификатору Microsoft Entra ID" укажите учетные данные администратора гибридных удостоверений для идентификатора Microsoft Entra, а затем нажмите кнопку "Далее".

    Снимок экрана: страница

  3. На странице Учетные данные для удаленного доступа введите учетные данные администратора домена.

    Снимок экрана: страница

  4. Выберите Далее.

    Microsoft Entra Connect проверяет работоспособности сертификата и отображает все проблемы.

    Снимок экрана: страница

    На странице Готово к настройке отобразится список действий, которые будут выполнены для восстановления доверия.

    Снимок экрана: страница

  5. Выберите " Установить" , чтобы восстановить доверие.

Примечание.

Microsoft Entra Connect может восстанавливать или работать только с самозаверенными сертификатами. Microsoft Entra Connect не может восстановить сторонние сертификаты.

Настройка федеративной идентификации с Microsoft Entra ID, используя альтернативный идентификатор

Рекомендуем оставить локальное имя субъекта-пользователя (UPN) и имя субъекта-пользователя облака (UPN) одинаковыми. Если локальный UPN использует неподключаемый домен (например, Contoso.local) или не может быть изменен из-за зависимостей от локальных приложений, рекомендуется настроить альтернативный идентификатор для входа. Используя альтернативный идентификатор входа, вы можете настроить интерфейс входа, в котором пользователи могут войти с атрибутом, отличным от имени участника-пользователя, например адреса электронной почты.

Выбор атрибута UPN в Microsoft Entra Connect по умолчанию использует атрибут userPrincipalName в Active Directory. Если вы выберете любой другой атрибут для UPN и будете использовать федерацию через AD FS, Microsoft Entra Connect настроит AD FS для альтернативного идентификатора входа.

Пример выбора другого атрибута для UPN показан на следующем рисунке.

Снимок экрана, показывающий страницу

Настройка альтернативного идентификатора входа для AD FS состоит из двух основных этапов:

  1. Настройте правильный набор правил выдачи: правила утверждений выдачи в доверенной стороне Microsoft Entra ID изменяются, чтобы выбранный атрибут UserPrincipalName использовался в качестве альтернативного идентификатора пользователя.

  2. Включите альтернативный идентификатор входа в конфигурацию AD FS: конфигурация AD FS обновляется, чтобы AD FS мог искать пользователей в соответствующих лесах с помощью альтернативного идентификатора. Эта конфигурация поддерживается для службы AD FS, работающей под управлением Windows Server 2012 R2 (с обновлением KB2919355) и более поздних версий. Если серверы AD FS являются версиями 2012 R2, Microsoft Entra Connect проверяет наличие требуемого обновления KB. Если KB не обнаружена, после завершения настройки отобразится предупреждение, как показано на изображении ниже:

    Снимок экрана страницы

    Если отсутствует обновление KB, вы можете исправить конфигурацию, установив необходимое обновление KB2919355. Затем можно выполнить инструкции по восстановлению доверия.

Примечание.

Дополнительные сведения о альтернативном идентификаторе и шагах по настройке вручную см. в разделе "Настройка альтернативного идентификатора входа".

Добавление сервера AD FS

Примечание.

Для добавления сервера AD FS в Microsoft Entra Connect требуется сертификат PFX. Поэтому эту операцию можно выполнить только в том случае, если ферма AD FS настроена с помощью Microsoft Entra Connect.

  1. Выберите "Развернуть дополнительный сервер федерации" и нажмите "Далее".

    Снимок экрана: область

  2. На странице "Подключение к идентификатору Microsoft Entra ID" введите учетные данные администратора гибридных удостоверений для идентификатора Microsoft Entra, а затем нажмите кнопку "Далее".

    Снимок экрана: страница

  3. Введите учетные данные администратора домена.

    Снимок экрана: страница

  4. Microsoft Entra Connect запрашивает пароль PFX-файла, предоставленного при настройке новой фермы AD FS с помощью Microsoft Entra Connect. Выберите ввод пароля, чтобы указать пароль для PFX-файла.

    Снимок экрана: страница

    Снимок экрана: страница

  5. На странице Серверы AD FS введите имя сервера или IP-адрес, который нужно добавить к ферме AD FS.

    Снимок экрана: страница

  6. Нажмите кнопку "Далее", а затем перейдите на окончательную страницу "Настройка ".

    После того как Microsoft Entra Connect завершит добавление серверов в ферму AD FS, вы получите возможность проверить подключение.

    Снимок экрана: страница

    Снимок экрана: страница

Добавление WAP-сервера AD FS

Примечание.

Чтобы добавить прокси-сервер веб-приложения, Microsoft Entra Connect требует сертификата PFX. Поэтому эту операцию можно выполнить только после настройки фермы AD FS с помощью Microsoft Entra Connect.

  1. Выберите пункт Развертывание прокси-службы веб-приложения в списке доступных задач.

    Развертывание прокси-службы веб-приложения

  2. Укажите учетные данные администратора гибридных удостоверений Azure.

    Снимок экрана: страница

  3. На странице "Указание SSL-сертификата" укажите пароль для PFX-файла, предоставленного при настройке фермы AD FS с помощью Microsoft Entra Connect. Пароль сертификата

    Указание сертификата TLS/SSL

  4. Добавьте сервер в качестве WAP-сервера. Так как WAP-сервер может быть не присоединен к домену, мастер запросит учетные данные администратора для добавляемого сервера.

    Учетные данные администратора сервера

  5. На странице Учетные данные доверия прокси-сервера введите учетные данные администратора, чтобы настроить доверие прокси-сервера и доступ к основному серверу в ферме AD FS.

    Учетные данные доверия прокси-сервера

  6. В мастере на странице Готово к настройке отображается список действий, которые будут выполнены.

    Снимок экрана: страница

  7. Нажмите кнопку "Установить" , чтобы завершить настройку. По завершении настройки мастер предоставляет возможность проверить подключение к серверам. Нажмите кнопку "Проверить, чтобы проверить подключение".

    Установка завершена

Добавление федеративного домена

Легко добавить домен для федерации с Microsoft Entra ID с помощью Microsoft Entra Connect. Microsoft Entra Connect добавляет домен для федерации и изменяет правила утверждений, чтобы правильно отразить издателя при наличии нескольких доменов, федеративных с идентификатором Microsoft Entra.

  1. Чтобы добавить федеративный домен, выберите "Добавить дополнительный домен Microsoft Entra".

    Снимок экрана: область

  2. На следующей странице мастера укажите учетные данные Гибридного администратора в Microsoft Entra ID.

    Снимок экрана: область

  3. На странице Учетные данные для удаленного доступа введите учетные данные администратора домена.

    Снимок экрана: область

  4. На следующей странице мастер предоставляет список доменов Microsoft Entra, с которыми вы можете интегрировать ваш локальный каталог. Выберите домен из списка.

    Снимок экрана: область

    После выбора домена мастер сообщает вам о дальнейших действиях, которые будут приниматься и влиять на конфигурацию. В некоторых случаях при выборе домена, который еще не проверен в идентификаторе Microsoft Entra, мастер помогает проверить домен. Дополнительные сведения см. в разделе "Добавление имени личного домена" в идентификатор Microsoft Entra.

  5. Выберите Далее.

    На странице "Готово к настройке " перечислены действия, выполняемые Microsoft Entra Connect.

    Снимок экрана: область

  6. Нажмите кнопку "Установить" , чтобы завершить настройку.

Примечание.

Пользователи в добавленном федеративном домене должны быть синхронизированы, прежде чем они смогут войти в идентификатор Microsoft Entra.

Настройка AD FS

В следующих разделах содержатся сведения о некоторых распространенных задачах, которые могут потребоваться выполнить для настройки страницы входа AD FS.

Чтобы изменить логотип компании, отображаемой на странице входа , используйте следующий командлет PowerShell и синтаксис.

Примечание.

Рекомендуемые размеры логотипа — 260 x 35, 96 точек на дюйм. Размер файла не должен превышать 10 КБ.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Примечание.

Параметр TargetName является обязательным. Стандартная тема для AD FS называется темой по умолчанию.

Добавление описания входа в систему

Чтобы добавить описание к странице входа Sign-in page, используйте следующий командлет и синтаксис PowerShell.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Изменение правил утверждений AD FS

Службы AD FS поддерживают обширный язык утверждений, с помощью которого можно создавать настраиваемые правила утверждений. Дополнительные сведения см. в разделе Роль языка правил утверждений.

В следующих разделах описывается, как создавать пользовательские правила для некоторых сценариев, связанных с идентификатором Microsoft Entra ID и федерацией AD FS.

Неизменяемый идентификатор, зависящий от наличия значения в атрибуте

Microsoft Entra Connect позволяет указать атрибут, который будет использоваться в качестве исходной привязки при синхронизации объектов с идентификатором Microsoft Entra. Если значение в пользовательском атрибуте не пусто, может потребоваться выдать запрос на неизменяемый идентификатор.

Например, можно выбрать ms-ds-consistencyguid в качестве атрибута для исходного якоря и назначить ImmutableID как ms-ds-consistencyguid, если атрибут имеет присвоенное ему значение. Если атрибут не имеет значения, используйте objectGuid в качестве неизменяемого идентификатора. Можно создать набор правил пользовательских требований, как описано в следующем разделе.

Правило 1. Атрибуты запросов

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

В этом правиле вы запрашиваете значения ms-ds-consistencyguid и objectGuid пользователя из Active Directory. Измените имя магазина на соответствующее имя магазина в вашем развертывании AD FS. Также измените тип утверждений на правильный тип утверждений для вашей федерации, как определено для objectGuid и ms-ds-consistencyguid.

Кроме того, используя add, а не issue, вы избегаете создания проблемы, связанной с исходящими данными для сущности и можете использовать значения в качестве промежуточных. Вы выпустите заявление в следующем правиле после определения значения, которое будет использоваться в качестве неизменяемого идентификатора.

Правило 2. Проверьте, существует ли для пользователя ms-ds-consistencyguid

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Это правило определяет временный флаг idflag, который устанавливается в useguid, если для пользователя нет ms-ds-consistencyguid. Логика этого заключается в том, что AD FS не разрешает пустые утверждения. При добавлении утверждений http://contoso.com/ws/2016/02/identity/claims/objectguid и http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid в Правило 1, вы получите утверждение msdsconsistencyguid только если значение для пользователя заполнено. Если оно не заполнено, система AD FS понимает, что значение окажется пустым, и немедленно его отбрасывает. Все объекты будут иметь objectGuid, поэтому требование всегда будет присутствовать после выполнения Правила 1.

Правило 3. Выдача ms-ds-consistencyguid в качестве неизменяемого идентификатора, если он присутствует

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Это неявная Exist проверка. Если значение утверждения существует, выдайте его как неизменяемый идентификатор. В предыдущем примере используется nameidentifier требование. Его потребуется заменить соответствующим типом утверждения для неизменяемого идентификатора в конкретной среде.

Правило 4: назначить objectGuid в качестве неизменяемого идентификатора, если ms-ds-consistencyGuid не присутствует

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

С помощью этого правила вы просто проверяете временный флаг idflag. Вы решаете, следует ли предъявлять требование на основе его ценности.

Примечание.

Последовательность этих правил важна.

Единый вход (SSO) с использованием субдомена UPN

Вы можете добавить несколько доменов для федерации с помощью Microsoft Entra Connect, как описано в разделе "Добавление нового федеративного домена". Microsoft Entra Connect версии 1.1.553.0 и более поздние автоматически создают правильное правило утверждения issuerID.

Следующие шаги

См. дополнительные сведения о параметрах входа пользователя.