Настройка лабораторной среды AD FS

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В этом разделе описаны действия по настройке тестовой среды, которую можно использовать для выполнения пошагового руководства в следующих руководствах.

• Руководство: Подключение к рабочему месту с помощью устройства iOS

• Пошаговое руководство. Присоединение к рабочему месту с помощью устройства Windows

• Руководство по работе : Управление рисками с помощью условного управления доступом

• пошаговое руководство. Управление рисками с помощью дополнительной многофакторной проверки подлинности для конфиденциальных приложений

Примечание.

Не рекомендуется устанавливать веб-сервер и сервер федерации на одном компьютере.

Чтобы настроить эту тестовую среду, выполните следующие действия.

1. шаг 1. Настройка контроллера домена (DC1)

2. шаг 2. Настройка сервера федерации (ADFS1) с помощью службы регистрации устройств

3. шаг 3. Настройка веб-сервера (WebServ1) и примера приложения на основе утверждений

4. шаг 4. Настройка клиентского компьютера (Client1)

Шаг 1. Настройка контроллера домена (DC1)

В этой тестовой среде можно вызвать корневой домен Active Directory contoso.com и указать pass@word1 в качестве пароля администратора.

• Установите службу ролей AD DS и установите доменные службы Active Directory (AD DS), чтобы сделать компьютер контроллером домена в Windows Server 2012 R2. Это действие обновляет схему AD DS в рамках создания контроллера домена. Дополнительные сведения и пошаговые инструкции см. в разделеhttps://technet.microsoft.com/ библиотеки/hh472162.aspx.

Создание тестовых учетных записей Active Directory

После работы контроллера домена можно создать тестовую группу и тестовые учетные записи пользователей в этом домене и добавить учетную запись пользователя в учетную запись группы. Эти учетные записи используются для выполнения пошаговых руководств, приведенных ранее в этом разделе.

Создайте следующие учетные записи.

• Пользователь: Роберт Хатли со следующими учетными данными: имя пользователя: РобертH и пароль: P@ssword

• Группа: финансы

Сведения о создании учетных записей пользователей и групп в Active Directory (AD) см. в https://technet.microsoft.com/library/cc783323%28v=ws.10%29.aspx.

Добавьте учетную запись Роберта Хатли в группу Finance. Сведения о добавлении пользователя в группу в Active Directory см. в https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Создание учетной записи GMSA

Для установки и настройки служб федерации Active Directory (AD FS) требуется учетная запись управляемой сервисной группы (GMSA).

Создание учетной записи GMSA

1. Откройте командное окно Windows PowerShell и введите следующее:

   Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
   New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
   
   

Шаг 2. Настройка сервера федерации (ADFS1) с помощью службы регистрации устройств

Чтобы настроить другую виртуальную машину, установите Windows Server 2012 R2 и подключите его к домену contoso.com. Настройте компьютер после присоединения его к домену, а затем перейдите к установке и настройке роли AD FS.

Установка SSL-сертификата сервера

Необходимо установить сертификат Secure Socket Layer (SSL) для сервера на сервере ADFS1 в локальном хранилище компьютеров. Сертификат ДОЛЖЕН иметь следующие атрибуты:

• Имя субъекта (CN): adfs1.contoso.com

• Альтернативное имя субъекта (DNS): adfs1.contoso.com

• Альтернативное имя субъекта (DNS): enterpriseregistration.contoso.com

Руководство по регистрации сертификатов через веб-службу

Службы федерации Active Directory. Видеосерия How-To: обновление сертификатов.

Установка роли сервера AD FS

Установка роль службы для Службы федерации

1. Войдите на сервер с помощью учетной записи администратора домена administrator@contoso.com.

2. Запустите диспетчер серверов. Чтобы запустить Диспетчер серверов, щелкните Диспетчер серверов на экране "Пуск" в Windows, или щелкните Диспетчер серверов на панели задач на рабочем столе Windows. На вкладке быстрого запуска плитки приветствия на странице панели мониторинга щелкните Добавить роли и функции. Кроме того, в меню "Управление" можно щелкнуть "Добавить роли и компоненты".

3. На странице Перед началом нажмите кнопку Далее.

4. На странице Выбор типа установки щелкните Установка на основе ролей или компонентов, а затем нажмите Далее.

5. На странице Выбор целевого сервера щелкните Выберите сервер из пула серверов, убедитесь, что выбран целевой компьютер, а затем нажмите кнопку Далее.

6. На странице Выбор ролей сервера нажмите Active Directory Federation Services, а затем нажмите Далее.

7. На странице Выбор компонентов нажмите кнопку Далее.

8. На странице службы федерации Active Directory (AD FS) нажмите кнопку Далее.

9. После проверки сведений на странице Подтверждения выбора установки установите флажок Перезапустить целевой сервер автоматически, если это необходимо, а затем нажмите Установить.

10. На странице хода установки убедитесь, что все установлено правильно, а затем нажмите кнопку Закрыть.

Настройка сервера федерации

Следующим шагом является настройка сервера федерации.

Настройка сервера федерации

1. На странице панели мониторинга диспетчера серверов щелкните флаг уведомлений, а затем щелкните Настроить службу федерации на сервере.

   Откроется мастер настройки службы федерации Active Directory .

2. На странице приветствия выберите Создать первый сервер федерации в ферме серверов федерации, а затем нажмите кнопку Далее.

3. На странице Подключение к AD DS выберите учетную запись с правами администратора домена для домена contoso.com Active Directory, к которому подключен этот компьютер, и затем нажмите Далее.

4. На странице Укажите свойства службы выполните следующие действия, а затем нажмите кнопку Далее:

   • Импортируйте SSL-сертификат, полученный ранее. Этот сертификат является обязательным сертификатом проверки подлинности службы. Перейдите к расположению SSL-сертификата.

   • Чтобы указать имя службы федерации, введите adfs1.contoso.com. Это же значение, которое вы указали при регистрации SSL-сертификата в службах сертификатов Active Directory (AD CS).

   • Чтобы указать отображаемое имя службы федерации, введите Contoso Corporation.

5. На странице Укажите учетную запись службы выберите Использовать существующую учетную запись пользователя домена или групповую управляемую учетную запись службы, а затем укажите учетную запись GMSA fsgmsa, созданную при создании контроллера домена.

6. На странице Указание базы данных конфигурации выберите Создать базу данных на этом сервере с помощьювнутренней базы данных Windows, а затем нажмите кнопку Далее.

7. На странице параметры проверки проверьте выбранные параметры конфигурации и нажмите кнопку Далее.

8. На странице проверки предварительных требований убедитесь, что все предварительные проверки успешно завершены, затем нажмите Настроить.

9. На странице Результаты ознакомьтесь с результатами, проверьте, успешно ли завершена конфигурация, а затем нажмите на Дальнейшие шаги, необходимые для завершения развертывания службы федерации.

Настройка службы регистрации устройств

Следующим шагом является настройка службы регистрации устройств на сервере ADFS1. Чтобы посмотреть видео, перейдите к Службы федерации Active Directory How-To серии видео: Включение службы регистрации устройств.

Настройка службы регистрации устройств для WINDOWS Server 2012 RTM

1. Это важно

   Следующий шаг применяется к сборке RTM Windows Server 2012 R2.

   Откройте командное окно Windows PowerShell и введите следующее:

   Initialize-ADDeviceRegistration
   

   Когда будет запрошена учетная запись службы, введите contosofsgmsa$.

   Теперь запустите командлет Windows PowerShell.

   Enable-AdfsDeviceRegistration
   

2. На сервере ADFS1 в консоли управления AD FS перейдите к политикам аутентификации . Выберите Редактировать глобальную первичную проверку подлинности. Установите флажок рядом с Включить проверку подлинности устройств, а затем нажмите кнопку OK.

Добавление записей ресурсов узла (A) и псевдонима (CNAME) в DNS

В DC1 необходимо убедиться, что для службы регистрации устройств создаются следующие записи системы доменных имен (DNS).

Вход	Тип	Адрес
adfs1	Хост (A)	IP-адрес сервера AD FS
регистрация предприятия	Псевдоним (CNAME)	adfs1.contoso.com

Чтобы добавить ресурсную запись узла (A) на корпоративные DNS-серверы для сервера федерации и службы регистрации устройств, можно использовать следующую процедуру.

Членство в группе "Администраторы" или эквивалентное является минимальным требованием для выполнения этой процедуры. Ознакомьтесь с подробными сведениями об использовании соответствующих учетных записей и членства в группах в гиперссылке "https://go.microsoft.com/fwlink/?LinkId=83477" Локальные и доменные группы по умолчанию (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Добавление записей ресурсов узла (A) и псевдонимов (CNAME) в DNS для сервера федерации

1. На DC1 из Диспетчера серверов в меню Инструменты выберите DNS, чтобы открыть оснастку DNS.

2. В дереве консоли разверните DC1, разверните зоны прямого просмотра, щелкните правой кнопкой мыши contoso.com, а затем щелкните новый хост (A или AAAA).

3. В поле "Имя" введите имя, которое вы хотите использовать для фермы AD FS. В этом пошаговом руководстве введите adfs1.

4. В IP-адресвведите IP-адрес сервера ADFS1. Щелкните Добавить хост.

5. Щелкните правой кнопкой мыши contoso.com, а затем выберите команду Новый псевдоним (CNAME).

6. В диалоговом окне New Resource Record введите enterpriseregistration в поле Alias name.

7. В поле полного доменного имени (FQDN) целевого узла введите adfs1.contoso.com, а затем нажмите кнопку ОК.

   Это важно

   В реальном развертывании, если у вашей компании несколько суффиксов имени участника-пользователя (UPN), необходимо создать несколько записей CNAME, по одному для каждого из этих суффиксов имени участника-пользователя в DNS.

Шаг 3. Настройка веб-сервера (WebServ1) и примера приложения на основе утверждений

Настройте виртуальную машину (WebServ1), установив операционную систему Windows Server 2012 R2 и подключите ее к домену contoso.com. После присоединения к домену можно перейти к установке и настройке роли веб-сервера.

Чтобы завершить пошаговое руководство, на которое ссылались ранее в этом разделе, необходимо создать пример приложения, защищенного сервером федерации (ADFS1).

Чтобы настроить веб-сервер с помощью этого примера приложения на основе утверждений, необходимо выполнить следующие действия.

Примечание.

Эти действия были протестированы на веб-сервере, на котором запущена операционная система Windows Server 2012 R2.

1. Установить роль веб-сервера и Windows Identity Foundation

2. Установите Windows Identity Foundation SDK

3. Настройка простого приложения утверждений в IIS

4. создание доверия проверяющей стороны на сервере федерации

Установите роль веб-сервера и Windows Identity Foundation

1. Примечание.

   У вас должен быть доступ к установочному носителю Windows Server 2012 R2.

   Войдите в WebServ1 с помощью administrator@contoso.com и пароля pass@word1.

2. На странице панели мониторинга на плитке Приветствие во вкладке Быстрый старт нажмите Добавить роли и функции. Кроме того, можно щелкнуть Добавить роли и компоненты в меню "Управление".

3. На странице Перед началом нажмите кнопку Далее.

4. На странице Выбор типа установки щелкните по установке на основе ролей или компонентов, а затем нажмите кнопку Далее.

5. На странице Выбор целевого сервера щелкните Выберите сервер из пула серверов, убедитесь, что выбран целевой компьютер, а затем нажмите кнопку Далее.

6. На странице Выбор ролей сервера установите флажок рядом с веб-сервером(IIS), щелкните Добавить компоненты, а затем нажмите кнопку Далее.

7. На странице Выбор компонентов выберите Windows Identity Foundation 3.5, а затем нажмите кнопку Далее.

8. На странице роли веб-сервера (IIS) нажмите Далее.

9. На странице Выбор служб ролей выберите и разверните Разработка приложений. Выберите ASP.NET 3.5, нажмите Добавить компоненты, затем нажмите кнопку Далее.

10. На странице Подтверждение выбора установки щелкните Укажите альтернативный путь к исходному. Введите путь к каталогу Sxs, расположенному на установочном носителе Windows Server 2012 R2. Например, D:SourcesSxs. Нажмите кнопку ОК, а затем нажмите Установить.

Установка пакета SDK для Windows Identity Foundation

1. Запустите WindowsIdentityFoundation-SDK-3.5.msi, чтобы установить пакет SDK для Windows Identity Foundation 3.5. Выберите все параметры по умолчанию.

Настройка простого приложения утверждений в IIS

1. Установите действительный SSL-сертификат в хранилище сертификатов компьютера. Сертификат должен содержать имя веб-сервера, webserv1.contoso.com.

2. Скопируйте содержимое C:Program Files (x86)Windows Identity Foundation SDKv3.5SamplesQuick StartWeb ApplicationPassiveRedirectBasedClaimsAwareWebApp в C:InetpubClaimapp.

3. Измените файл Default.aspx.cs таким образом, чтобы фильтрация утверждений не проходила. Этот шаг выполняется, чтобы убедиться, что в примере приложения отображаются все утверждения, выданные сервером федерации. Выполните следующие действия.

   1. Откройте Default.aspx.cs в текстовом редакторе.

   2. Найдите в файле второе вхождение ExpectedClaims.

   3. Закомментируйте весь IF заявление и его фигурные скобки. Укажите комментарии, введя "/" (без кавычки) в начале строки.

   4. Теперь инструкция FOREACH должна выглядеть как в этом примере кода.

      Foreach (claim claim in claimsIdentity.Claims)
      {
         //Before showing the claims validate that this is an expected claim
         //If it is not in the expected claims list then don't show it
         //if (ExpectedClaims.Contains( claim.ClaimType ) )
         // {
            writeClaim( claim, table );
         //}
      }
      
      

   5. Сохраните и закройте Default.aspx.cs.

   6. Откройте web.config в текстовом редакторе.

   7. Удалите весь раздел <microsoft.identityModel>. Удалите все, начиная с including <microsoft.identityModel> и вплоть до </microsoft.identityModel>.

   8. Сохраните и закройте web.config.

4. Настройка диспетчера IIS

   1. Откройте диспетчер служб IIS.

   2. Перейдите к пулам приложений, щелкните правой кнопкой мыши DefaultAppPool, чтобы выбрать расширенные настройки. Установите профиль пользователя в значение Да, а затем нажмите ОК.

   3. Щелкните правой кнопкой мыши DefaultAppPool, чтобы выбрать Основные параметры. Измените версию .NET CLR на версию .NET CLR v2.0.50727.

   4. Щелкните правой кнопкой мыши Сайт по умолчанию, чтобы выбрать Изменить привязки.

   5. Добавьте привязку HTTPS к порту 443 с установленным SSL-сертификатом.

   6. Щелкните правой кнопкой мыши веб-сайт по умолчанию, чтобы выбрать Добавить приложение.

   7. Задайте псевдоним claimapp и физический путь к c:inetpubclaimapp.

5. Чтобы настроить claimapp для совместного использования с сервером федерации, выполните следующие действия:

   1. Запустите FedUtil.exe, расположенную в C:Program Files (x86)Windows Identity Foundation SDKv3.5.

   2. Установите расположение конфигурации приложения в C:inetputclaimappweb.config и установите URI приложения на URL-адрес вашего сайта, https://webserv1.contoso.com /claimapp/. Нажмите кнопку Далее.

   3. Выберите Использовать существующую STS и перейдите по URL-адресу метаданных сервера AD FS https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Нажмите кнопку Далее.

   4. Выберите Отключить проверку цепочки сертификатови нажмите Далее.

   5. Выберите Без шифрования, а затем нажмите Далее. На странице предлагаемых предложений нажмите кнопку Далее.

   6. Установите флажок рядом с Запланировать задачу для выполнения ежедневных WS-Federation обновлений метаданных. Нажмите кнопку Готово.

   7. Теперь пример приложения настроен. При тестировании URL-адреса приложения https://webserv1.contoso.com/claimappон должен перенаправить вас на сервер федерации. Сервер федерации должен отобразить страницу ошибок, так как вы еще не настроили доверие проверяющей стороны. Другими словами, вы не защитили это тестовое приложение с помощью AD FS.

Теперь необходимо защитить пример приложения, работающего на веб-сервере с помощью AD FS. Это можно сделать, добавив доверие проверяющей стороны на сервере федерации (ADFS1).

Создайте доверие доверяющей стороны на сервере федерации

1. На сервере федерации (ADFS1) в консоли управленияAD FS перейдите к доверия проверяющей стороне, а затем щелкните Добавитьдоверия проверяющей стороны.

2. На странице Выбор источника данных выберите Импортировать данные о доверенной стороне, опубликованной в сети Интернет или в локальной сети, введите URL-адрес метаданных для claimapp, а затем нажмите Далее. Запуск FedUtil.exe создал файл метаданных .xml. Он расположен в https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

3. На странице укажите отображаемое имя для доверия полагающейся стороны, claimapp, а затем нажмите кнопку Далее.

4. На настроить многофакторную проверку подлинности сейчас? странице выберите я не хочу указывать параметр многофакторной проверки подлинности для этого доверия проверяющей стороны в это время, а затем нажмите кнопку Далее.

5. На странице выбор правил авторизации выдачи выберите Разрешить всем пользователям доступ к этой проверяющей стороне, а затем нажмите кнопку Далее.

6. На странице Готово к добавлению доверия нажмите кнопку Далее.

7. В диалоговом окне Редактирование правил утверждений нажмите Добавить правило.

8. На странице Выбор типа правила выберите Отправить заявления с использованием пользовательского правила, а затем нажмите кнопку Далее.

9. На странице Настройка правила утверждения в поле Имя правила утверждения введите Все утверждения. В поле настраиваемого правила введите следующее правило утверждения.

   c:[ ]
   => issue(claim = c);
   
   

10. Нажмите кнопку Готово, а затем — кнопку ОК.

Шаг 4. Настройка клиентского компьютера (Client1)

Настройте другую виртуальную машину и установите Windows 8.1. Эта виртуальная машина должна находиться в той же виртуальной сети, что и другие компьютеры. Этот компьютер не должен быть присоединен к домену Contoso.

Клиент обязан доверять SSL-сертификату, который используется для сервера федерации (ADFS1), настроенного в шаге 2 : Настройка сервера федерации (ADFS1) с использованием службы регистрации устройств. Кроме того, он должен иметь возможность проверить сведения о отзывах сертификатов для сертификата.

Кроме того, необходимо настроить и использовать учетную запись Майкрософт для входа в Client1.

См. также

Службы федерации Active Directory How-To серия видео: установка фермы серверов AD FS Службы федерации Active Directory How-To серия видео: обновление сертификатов Службы федерации Active Directory How-To серия видео: добавление доверия проверяющей стороны Службы федерации Active Directory How-To серия видео: включение службы регистрации устройств Службы федерации Active Directory How-To серия видео: установка прокси веб-приложения