Реализация Федерации и управление ею

  • 1 минута

Федерация может использовать новую или существующую ферму локальная служба Active Directory в Windows Server 2012 R2 (или более поздней версии), а Microsoft Entra Подключение разрешить пользователям войти в ресурсы Microsoft Entra с помощью локального пароля.

Diagram of federation between on-premises and Microsoft Entra ID. Shows users able log into both on-premises and cloud resources with a single shared login.

Федерация — это совокупность доменов, для которых установлено отношение доверия. Уровень доверия зависит, но обычно включает проверку подлинности и почти всегда включает авторизацию. Типичная федерация может включать ряд организаций, для которых установлено отношение доверия для общего доступа к набору ресурсов.

Вы можете федеративные локальные среды с идентификатором Microsoft Entra и использовать эту федерацию для проверки подлинности и авторизации. Этот метод входа гарантирует, что все проверки подлинности пользователя происходит локально. Этот метод позволяет администраторам реализовать более строгие уровни контроля доступа. Поддерживается федерация с AD FS и PingFederate.

При федеративном входе пользователи могут войти в службы на основе Microsoft Entra с помощью локальных паролей. а в корпоративной сети — даже без необходимости повторного ввода паролей. С помощью параметра федерации с AD FS можно развернуть новую или существующую ферму с AD FS в Windows Server 2012 R2 или более поздней версии. Если вы решили указать существующую ферму, Microsoft Entra Подключение настраивает доверие между фермой и идентификатором Microsoft Entra, чтобы пользователи могли войти в систему.

Требование к развертыванию федерации с AD FS и Microsoft Entra Подключение

Для развертывания в AD FS ферме требуется следующее:

  • учетные данные локального администратора на серверах федерации;
  • учетные данные локального администратора на всех серверах рабочей группы (не присоединенных к домену), на которых планируется развернуть роль прокси-службы веб-приложения;
  • компьютер, на котором запущен мастер и который способен подключаться к другим компьютерам, на которых нужно установить AD FS или прокси-службу веб-приложения, используя службу удаленного управления Windows.

Настройка федерации с помощью Microsoft Entra Подключение для подключения к ферме AD FS

Screenshot of Microsoft Entra Connect application showing the create and connect to an AD FS farm dialog.

Указание серверов для AD FS. Укажите серверы, на которых требуется установить AD FS. Можно добавить один или несколько серверов в зависимости от запланированной загрузки. Перед настройкой этой конфигурации присоедините все AD FS серверы к Active Directory. Для прокси-серверов веб-приложений этот шаг не обязателен. Мы рекомендуем установить одиночный сервер AD FS для тестовых и пилотных развертываний. После начальной конфигурации вы можете добавить и развернуть дополнительные серверы для удовлетворения потребностей масштабирования, выполнив Подключение Microsoft Entra еще раз.

Указание прокси-серверов веб приложения. Укажите серверы прокси-службы веб-приложения. Прокси-сервер веб-приложения развертывается в промежуточной подсети и обращен к экстрасети. Он поддерживает запросы на проверку подлинности из экстрасети. Можно добавить один или несколько серверов в зависимости от запланированной загрузки. После начальной конфигурации вы можете добавить и развернуть дополнительные серверы для удовлетворения потребностей масштабирования, выполнив Подключение Microsoft Entra еще раз.

Указание учетной записи для службы AD FS. Службе AD FS требуется учетная запись службы домена для проверки подлинности пользователей и поиска сведений о пользователях в Active Directory. Поддерживаются два типа учетных записей службы.

  • Групповая управляемая учетная запись службы
  • Учетная запись пользователя домена

Выберите домен Microsoft Entra, который требуется федеративно использовать страницу домена Microsoft Entra, чтобы настроить связь федерации между AD FS и идентификатором Microsoft Entra. Здесь вы настроите AD FS для предоставления маркеров безопасности идентификатору Microsoft Entra. Вы также настроите идентификатор Microsoft Entra, чтобы доверять маркерам из этого экземпляра AD FS. Во время первоначальной установки на этой странице можно настроить только один домен. Вы можете настроить дополнительные домены позже, выполнив Подключение Microsoft Entra.

Средства Microsoft Entra Подключение для управления федерацией

Вы можете выполнить различные задачи, связанные с AD FS, в Microsoft Entra Подключение с минимальным вмешательством пользователей с помощью мастера microsoft Entra Подключение. Даже после завершения установки Microsoft Entra Подключение, запустив мастер, можно снова запустить мастер для выполнения других задач. Например, можно использовать мастер для восстановления доверия с Microsoft 365, федеративной с идентификатором Microsoft Entra с помощью альтернативного идентификатора входа и добавления сервера прокси веб-приложения AD FS (WAP).

Восстановить доверие можно с помощью Microsoft Entra Подключение для проверка текущей работоспособности ad FS и доверия идентификатора Microsoft Entra и предпринять соответствующие действия для восстановления доверия.

Федеративная с идентификатором Microsoft Entra с помощью AlternateID рекомендуется сохранить имя локального участника-пользователя и имя субъекта-пользователя облака. Если локальное имя участника-пользователя использует неизменяемый домен (например, Contoso.local) или не может быть изменен из-за зависимостей локальных приложений, рекомендуется настроить альтернативный идентификатор входа. Альтернативный идентификатор входа позволяет настроить интерфейс входа, в котором пользователи могут войти с помощью атрибута, отличного от имени участника-пользователя, например почты. Выбор имени участника-пользователя в идентификаторе Microsoft Entra Подключение по умолчанию атрибуту userPrincipalName в Active Directory. Если вы выбрали любой другой атрибут для имени участника-пользователя и федеративны с помощью AD FS, microsoft Entra Подключение настроит AD FS для альтернативного идентификатора входа.

Добавьте федеративный домен, который легко добавить домен для федерации с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение. Microsoft Entra Подключение добавляет домен для федерации и изменяет правила утверждений, чтобы правильно отразить издателя при наличии нескольких доменов, федеративных с идентификатором Microsoft Entra.

Также это распространяется на Добавление сервера AD FS и Добавление прокси-сервера веб-приложения AD FS.

Обратная запись устройств

Обратная запись устройств используется для включения условного доступа на основе устройств для устройств, защищенных ADFS. Этот условный доступ обеспечивает дополнительную защиту и гарантию того, что доступ к приложениям предоставляется только доверенным устройствам. Обратная запись устройств обеспечивает эту безопасность, синхронизируя все устройства, зарегистрированные в Azure, с локальной Active Directory. При настройке во время установки для подготовки леса AD выполняются следующие операции.

  • Если они больше не существуют, функция создает и настраивает их в разделах: CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest dn ].
  • Если они еще не существуют, создайте и настройте новые контейнеры и объекты в разделе: CN=RegisteredDevices,[domain-dn]. Объекты устройства будут созданы в этом контейнере.
  • Задайте необходимые разрешения для учетной записи Microsoft Entra Подключение or для управления устройствами в Active Directory.