Приложение A. Проверка требований AD FS
Чтобы партнеры организации в развертывании служб федерации Active Directory (AD FS) могли успешно работать, необходимо сначала убедиться, что ваша корпоративная сетевая инфраструктура настроена для поддержки требований AD FS для учетных записей, разрешения имен и сертификатов. AD FS имеет следующие типы требований:
Подсказка
Дополнительные ссылки на ресурсы AD FS можно найти на основных понятиях AD FS.
Требования к оборудованию
Следующие минимальные и рекомендуемые требования к оборудованию применяются к серверу федерации и прокси-компьютерам сервера федерации.
| Требования к оборудованию | Минимальное требование | Рекомендуемое требование |
|---|---|---|
| Скорость ЦП | Одноядерный, 1 гигагерц (ГГц) | Четыре ядра, 2 ГГц |
| ОЗУ | 1 ГБ | 4 ГБ |
| Место на диске | 50 МБ | 100 МБ |
Требования к программному обеспечению
AD FS зависит от функций сервера, встроенных в операционную систему Windows Server® 2012.
Примечание.
Службы федерации и службы прокси-сервера федерации не могут сосуществовать на одном компьютере.
Требования к сертификату
Сертификаты играют наиболее важную роль в защите связи между серверами федерации, прокси-серверами федерации, приложениями с поддержкой утверждений и веб-клиентами. Требования к сертификатам зависят от того, настраивается ли сервер федерации или прокси-компьютер сервера федерации, как описано в этом разделе.
Сертификаты сервера федерации
Для серверов федерации требуются сертификаты в следующей таблице.
| Тип сертификата | Описание | Что необходимо знать перед развертыванием |
|---|---|---|
| Ssl-сертификат | Это стандартный ssl-сертификат, используемый для защиты связи между серверами федерации и клиентами. | Этот сертификат должен быть привязан к веб-сайту по умолчанию в службах IIS для сервера федерации или прокси-сервера федерации. Для прокси-сервера федерации привязка должна быть настроена в IIS до успешного запуска мастера настройки прокси-сервера федерации. Рекомендация: Поскольку этот сертификат должен быть доверенным клиентами AD FS, используйте сертификат проверки подлинности сервера, выданный общедоступным (сторонним) центром сертификации, например VeriSign. совет. Имя субъекта этого сертификата используется для представления имени службы федерации для каждого экземпляра AD FS, развернутого вами. По этой причине вам может понадобиться выбрать наименование субъекта для любых новых сертификатов, выданных Удостоверяющим центром, которое наилучшим образом представляет название вашей компании или организации перед партнёрами. |
| Сертификат служебной связи | Этот сертификат обеспечивает безопасность сообщений WCF для защиты обмена данными между серверами федерации. | По умолчанию SSL-сертификат используется в качестве сертификата связи службы. Это можно изменить с помощью консоли управления AD FS. |
| Сертификат подписывания токенов | Это стандартный сертификат X509, используемый для безопасной подписи всех токенов, выдаваемых сервером федерации. | Сертификат подписывания токенов должен содержать закрытый ключ и должен формировать цепочку к доверенному корню в Службе федерации. По умолчанию AD FS создает самозаверяющий сертификат. Однако это можно изменить позже на сертификат, выданный ЦС, с помощью оснастки управления AD FS в зависимости от потребностей вашей организации. |
| Сертификат расшифровки токенов | Это стандартный SSL-сертификат, используемый для расшифровки всех входящих маркеров, зашифрованных сервером федерации партнера. Она также публикуется в метаданных федерации. | По умолчанию AD FS создает самозаверяющий сертификат. Однако позже вы можете изменить это на сертификат, выданный Центром Сертификации, с помощью оснастки управления AD FS в зависимости от потребностей вашей организации. |
Осторожность
Сертификаты, используемые для подписывания токенов и их расшифровки, имеют критическое значение для стабильности службы федерации. Поскольку потеря или незапланированное удаление любых сертификатов, настроенных для этой цели, может нарушить работу службы, необходимо создать резервную копию всех сертификатов, настроенных для этой цели.
Дополнительные сведения о сертификатах, используемых серверами федерации, см. в разделе Требования к сертификату для серверов федерации.
Сертификаты прокси-сервера федерации
Для прокси-серверов федерации требуются сертификаты в следующей таблице.
| Тип сертификата | Описание | Что необходимо знать перед развертыванием |
|---|---|---|
| Сертификат проверки подлинности сервера | Это стандартный сертификат SSL, используемый для защиты связи между прокси-сервером федерации и клиентскими компьютерами Интернета. | Этот сертификат должен быть привязан к веб-сайту по умолчанию в службах IIS, прежде чем успешно запустить мастер настройки прокси-сервера федерации AD FS. Рекомендация. Поскольку этот сертификат должен быть доверенным клиентами AD FS, используйте сертификат серверной аутентификации, выданный публичным (сторонним) удостоверяющим центром (УЦ), например VeriSign. Совет: Имя субъекта этого сертификата используется для представления имени службы федерации в каждом экземпляре AD FS, который вы развертываете. По этой причине вам может потребоваться выбрать имя субъекта, которое лучше всего представляет имя вашей компании или организации партнерам. |
Дополнительные сведения о сертификатах, используемых прокси-серверами федерации, см. в разделе Требования к сертификату для прокси-серверов федерации.
Требования к браузеру
Хотя любой текущий веб-браузер с возможностями JavaScript можно сделать для работы в качестве клиента AD FS, веб-страницы, предоставляемые по умолчанию, были протестированы только для Internet Explorer версий 7.0, 8.0 и 9.0, Mozilla Firefox 3.0 и Safari 3.1 в Windows. JavaScript должен быть включен, а файлы cookie должны быть включены для правильного входа и выхода на основе браузера.
Группа продуктов AD FS в Корпорации Майкрософт успешно проверила конфигурации браузера и операционной системы в следующей таблице.
| Браузер | Windows 7 | Windows Vista |
|---|---|---|
| Internet Explorer 7.0 | X | X |
| Internet Explorer 8,0 | X | X |
| Internet Explorer 9.0 | X | Не тестировалось |
| FireFox 3.0 | X | X |
| Safari 3.1 | X | X |
Примечание.
AD FS поддерживает как 32-разрядные, так и 64-разрядные версии всех браузеров, отображаемых в приведенной выше таблице.
куки-файлы
AD FS создает файлы cookie на основе сеансов и постоянные файлы cookie, которые должны храниться на клиентских компьютерах для предоставления входа, выхода, единого входа и других функций. Поэтому браузер клиента должен быть настроен для принятия файлов cookie. Файлы cookie, используемые для проверки подлинности, всегда являются файлами cookie сеанса HTTPS, написанными для исходного сервера. Если клиентский браузер не настроен для разрешения этих файлов cookie, AD FS не может работать правильно. Постоянные файлы cookie используются для сохранения выбора пользователей поставщика утверждений. Их можно отключить с помощью параметра конфигурации в файле конфигурации для страниц входа AD FS.
Поддержка TLS/SSL необходима по соображениям безопасности.
Требования к сети
Настройка следующих сетевых служб имеет решающее значение для успешного развертывания AD FS в организации.
Подключение к сети TCP/IP
Чтобы служба AD FS функционировала, сетевое подключение TCP/IP должно существовать между клиентом; контроллер домена; и компьютеры, на которых размещена служба федерации, прокси-сервер службы федерации (при его использовании) и веб-агент AD FS.
DNS (Система доменных имён)
Основная сетевая служба, которая важна для работы AD FS, отличной от доменных служб Active Directory (AD DS), — это система доменных имен (DNS). При развертывании DNS пользователи могут использовать понятные имена компьютеров, которые легко запомнить, чтобы подключиться к компьютерам и другим ресурсам в IP-сетях.
Windows Server 2008 использует DNS для разрешения имен, вместо разрешения имен NetBIOS с помощью Windows Internet Name Service (WINS), которое использовалось в сетях на базе Windows NT 4.0. Все еще возможно использовать WINS для приложений, которым он требуется. Однако для AD DS и AD FS требуется разрешение DNS-имен.
Процесс настройки DNS для поддержки AD FS зависит от того, зависит ли:
У вашей организации уже есть существующая инфраструктура DNS. В большинстве случаев DNS уже настроен в сети, чтобы клиенты веб-браузера в корпоративной сети имели доступ к Интернету. Так как доступ к Интернету и разрешение имен являются необходимыми для AD FS, предполагается, что эта инфраструктура уже имеется для вашего развертывания AD FS.
Вы планируете добавить федеративный сервер в корпоративную сеть. Для проверки подлинности пользователей в корпоративной сети внутренние DNS-серверы в лесу корпоративной сети должны быть настроены для возврата CNAME внутреннего сервера, на котором выполняется Служба федерации. Дополнительные сведения см. в разделе Требования к разрешению имен для серверов федерации.
Вы планируете добавить федеративный прокси-сервер в периферийную сеть. Если требуется выполнить проверку подлинности учетных записей пользователей, которые находятся в корпоративной сети вашей партнерской организации удостоверений, внутренние DNS-серверы в лесу этой корпоративной сети должны быть настроены таким образом, чтобы возвращать CNAME внутреннего прокси-сервера федерации. Сведения о настройке DNS для размещения дополнительных прокси-серверов федерации см. в разделе Требования к разрешению имен для прокси-серверов федерации.
Вы настраиваете DNS для тестовой лабораторной среды. Если вы планируете использовать AD FS в тестовой лабораторной среде, где ни один корневой DNS-сервер не является доверенным, вероятно, вам придется настроить DNS-серверы пересылки, чтобы запросы к именам между двумя или более лесами перенаправлялись соответствующим образом. Для получения общей информации о том, как настроить тестовую лабораторную среду AD FS, см. пошаговые инструкции и инструкции по настройкеAD FS.
Требования к хранилищу атрибутов
AD FS требует, чтобы для проверки подлинности пользователей и извлечения утверждений безопасности для этих пользователей использовалось хотя бы одно хранилище атрибутов. Список хранилищ атрибутов, поддерживаемых AD FS, см. в разделе Роль хранилищ атрибутов в руководстве по проектированию AD FS.
Примечание.
AD FS автоматически создает хранилище атрибутов Active Directory по умолчанию.
Требования к хранилищу атрибутов зависят от того, выступает ли ваша организация в качестве партнера учетной записи (размещение федеративных пользователей) или партнера по ресурсам (размещение федеративного приложения).
AD DS
Для успешной работы AD FS контроллеры домена в организации партнера учетной записи или партнерской организации ресурсов должны работать под управлением Windows Server 2003 с пакетом обновления 1 (SP1), Windows Server 2003 R2, Windows Server 2008 или Windows Server 2012.
При установке и настройке AD FS на компьютере, присоединенном к домену, хранилище учетных записей пользователей Active Directory для этого домена становится доступным в качестве хранилища атрибутов с возможностью выбора.
Это важно
Так как AD FS требует установки служб IIS, рекомендуется не устанавливать программное обеспечение AD FS на контроллер домена в рабочей среде для обеспечения безопасности. Однако эта конфигурация поддерживается службой поддержки клиентов Майкрософт.
Требования к схеме
AD FS не требует изменений схемы или функциональных изменений в AD DS.
Требования к функциональному уровню
Большинство функций AD FS не требуют изменения функционального уровня AD DS для успешной работы. Однако для успешной работы сертификата клиента требуется уровень функциональности домена Windows Server 2008 или более поздней версии, если сертификат явно сопоставлен с учетной записью пользователя в AD DS.
Требования к учетной записи службы
При создании фермы серверов федерации необходимо сначала создать выделенную учетную запись службы на основе домена в AD DS, которую может использовать служба федерации. Позже вы настроите каждый сервер федерации в ферме для использования этой учетной записи. Дополнительные сведения о том, как это сделать, см. в разделе Вручную настройте учетную запись службы для фермы серверов федерации в руководстве по развертыванию AD FS.
LDAP
При работе с другими хранилищами атрибутов на основе LDAP необходимо подключиться к серверу LDAP, который поддерживает встроенную проверку подлинности Windows. Строка подключения LDAP также должна быть записана в формате URL-адреса LDAP, как описано в RFC 2255.
SQL Server
Для успешной работы AD FS компьютеры с хранилищем атрибутов SQL Server должны работать под управлением Microsoft SQL Server 2005 или SQL Server 2008. При работе с хранилищами атрибутов на основе SQL также необходимо настроить строку подключения.
Хранилища пользовательских атрибутов
Вы можете разрабатывать пользовательские хранилища атрибутов, чтобы включить расширенные сценарии. Язык политики, встроенный в AD FS, может ссылаться на пользовательские хранилища атрибутов, чтобы можно было улучшить любой из следующих сценариев:
Создание утверждений для локально прошедшего проверку подлинности пользователя
Дополнение утверждений для внешнего пользователя, прошедшего проверку подлинности
Авторизация пользователя для получения токена
Авторизация службы для получения маркера по поведению пользователя
При работе с пользовательским хранилищем атрибутов может потребоваться также настроить строку подключения. В этой ситуации можно ввести любой пользовательский код, который позволяет подключиться к пользовательскому хранилищу атрибутов. Строка подключения в этой ситуации представляет собой набор пар имя/значение, которые интерпретируются таким образом, как это реализовано разработчиком пользовательского хранилища атрибутов.
Дополнительные сведения о разработке и использовании пользовательских хранилищ атрибутов см. в разделе Обзор хранилищ атрибутов.
Требования к приложениям
Серверы федерации могут взаимодействовать с приложениями федерации и защищать их, например приложения с поддержкой утверждений.
Требования к проверке подлинности
AD FS интегрируется естественно с существующей проверкой подлинности Windows, например с проверкой подлинности Kerberos, NTLM, смарт-картами и клиентскими сертификатами X.509 версии 3. Серверы федерации используют стандартную проверку подлинности Kerberos для проверки подлинности пользователя в домене. Клиенты могут проходить проверку подлинности с помощью проверки подлинности на основе форм, проверки подлинности смарт-карты и встроенной проверки подлинности Windows в зависимости от способа настройки проверки подлинности.
Роль прокси-сервера федерации AD FS позволяет реализовать сценарий, в котором пользователь проходит проверку подлинности на внешних компьютерах с помощью проверки подлинности SSL-клиента. Вы также можете настроить роль сервера федерации для требования аутентификации SSL-клиента, хотя обычно наиболее бесшовный опыт пользователя достигается путем настройки сервера федерации для интегрированной аутентификации Windows. В этой ситуации AD FS не контролирует учетные данные, которые пользователь использует для входа в систему на рабочем столе Windows.
Вход со смарт-картой
Хотя AD FS может применять тип учетных данных, используемых для проверки подлинности (пароли, проверка подлинности SSL-клиента или встроенная проверка подлинности Windows), он не применяет прямую проверку подлинности с помощью смарт-карт. Поэтому AD FS не предоставляет клиентский пользовательский интерфейс для получения PIN-кода учетных данных смарт-карты. Это связано с тем, что клиенты под управлением Windows намеренно не предоставляют учетные данные пользователя серверам федерации или веб-серверам.
Аутентификация по смарт-карте
Аутентификация смарт-карты использует протокол Kerberos для аутентификации на сервере федерации учетных записей. AD FS нельзя расширить для добавления новых методов проверки подлинности. Сертификат в смарт-карте не требуется для построения цепочки до доверенного корня на клиентском компьютере. Для использования сертификата на основе смарт-карт с AD FS требуются следующие условия:
Поставщик служб чтения и шифрования (CSP) для смарт-карты должен работать на компьютере, где находится браузер.
Сертификат смарт-карты должен восходить к доверенному корню на сервере федерации учетных записей и прокси-сервере федерации учетных записей.
Сертификат должен сопоставляться с учетной записью пользователя в AD DS с помощью любого из следующих методов:
Имя субъекта сертификата соответствует отличительному имени учетной записи пользователя в AD DS.
Расширение альтернативного имени субъекта сертификата имеет основное имя пользователя (UPN) учетной записи в AD DS.
Для поддержки определенных требований к надежности проверки подлинности в некоторых сценариях также можно настроить AD FS для создания утверждения, указывающего, как пользователь прошел проверку подлинности. Доверяющая сторона может использовать это утверждение для принятия решения об авторизации.