إدارة خدمات الأمان المشترك لـActive Directory وتخصيصها باستخدام Microsoft Azure Active Directory Connect

توضح هذه المقالة كيفية إدارة خدمات اتحاد الدليل النشط (AD FS) وتخصيصها باستخدام Microsoft Azure Active Directory (Azure AD). يتضمن أيضًا مهام AD FS الشائعة الأخرى التي قد تحتاج إلى القيام بها لتكوين كامل لمزرعة AD FS.

الموضوع ما يغطيه
إدارة خدمات الأمان المشترك لـActive Directory
إصلاح الثقة كيفية إصلاح ثقة الاتحاد باستخدام Microsoft 365.
الأمان المشترك مع Microsoft Azure Active Directory باستخدام login ID البديل تكوين الاتحاد باستخدام login ID البديل
إضافة خادم خدمات الأمان المشترك لـActive Directory كيفية توسيع مزرعة خدمات الأمان المشترك لـActive Directory باستخدام خادم خدمات الأمان المشترك لـActive Directory إضافي.
قم بإضافة خادم وكيل تطبيق ويب خدمات الأمان المشترك لـActive Directory كيفية توسيع مزرعة خدمات الأمان المشترك لـActive Directory باستخدام خادم وكيل تطبيق ويب (WAP) إضافي.
إضافة مجال متحد كيفية إضافة مجال متحد.
تحديث شهادة TLS/SSL كيفية تحديث شهادة TLS /SSL لمزرعة خدمات الأمان المشترك لـActive Directory.
تخصيص خدمات الأمان المشترك لـActive Directory
أضف شعار شركة مخصصًا أو رسمًا توضيحيًا كيفية تخصيص صفحة تسجيل الدخول إلى خدمات الأمان المشترك لـActive Directory بشعار الشركة وتوضيحها.
أضف وصفًا لتسجيل الدخول كيفية إضافة وصف صفحة تسجيل الدخول.
تعديل قواعد مطالبة خدمات الأمان المشترك لـActive Directory كيفية تعديل مطالبات خدمات الأمان المشترك لـActive Directory لسيناريوهات الاتحاد المختلفة.

إدارة خدمات الأمان المشترك لـActive Directory

يمكنك تنفيذ العديد من المهام المتعلقة بخدمات الأمان المشترك لـ Active Directory في Microsoft Azure Active Directory Connect بأقل تدخل من المستخدم باستخدام معالج Azure AD Connect. بعد الانتهاء من تثبيت Microsoft Azure Active Directory Connect عن طريق تشغيل المعالج، يمكنك تشغيل المعالج مرة أخرى لأداء مهام إضافية.

إصلاح الثقة

يمكنك استخدام Microsoft Azure Active Directory Connect للتحقق من الصحة الحالية لوثائق خدمات الأمان المشترك لـ Active Directory وMicrosoft Azure AD واتخاذ الإجراءات المناسبة لإصلاح الثقة. اتبع هذه الخطوات لإصلاح ثقة Microsoft Azure AD وخدمات الأمان المشترك لـActive Directory.

  1. حدد إصلاح Microsoft Azure AD وADFS Trust من قائمة المهام الإضافية.  إصلاح Microsoft Azure Active Directory و ADFS Trust

  2. في صفحة الاتصال Azure AD، قم بتوفير بيانات اعتماد مسؤول الهوية المختلطة Azure AD، وانقر فوق التالي.  لقطة شاشة تعرض صفحة

  3. في صفحة بيانات اعتماد الوصول البعيد أدخل بيانات الاعتماد لمسؤول المجال.

    لقطة شاشة تعرض صفحة

    بعد النقر فوق التالي، يتحقق Azure AD Connect من صحة الشهادة ويعرض أي مشاكل.

    حالة الشهادات

    تعرض صفحة جاهز للتكوين قائمة بالإجراءات التي سيتم تنفيذها لإصلاح الثقة.

    لقطة شاشة تعرض صفحة

  4. انقر فوق تركيب لإصلاح الثقة.

ملاحظة

يمكن لـMicrosoft Azure Active Directory Connect إصلاح الشهادات الموقعة ذاتيًا أو العمل وفقًا لها فقط. يتعذر على Microsoft Azure Active Directory Connect إصلاح شهادات الجهات الخارجية.

الاتحاد مع Microsoft Azure Active Directory باستخدام AlternateID

يوصى بالاحتفاظ بالاسم الأساسي للمستخدم المحلي (UPN) والاسم الرئيسي لمستخدم السحابة كما هو. إذا كان UPN المحلي يستخدم مجالا غير قابل للتوجيه (مثل Contoso.local) أو لا يمكن تغييره بسبب تبعيات التطبيق المحلي، فإننا نوصي بإعداد معرف تسجيل دخول بديل. يسمح لك معرف تسجيل الدخول البديل بتكوين تجربة تسجيل دخول حيث يمكن للمستخدمين تسجيل الدخول باستخدام سمة أخرى غير UPN الخاصة بهم، مثل البريد. اختيار اسم المستخدم الأساسي في إعدادات Azure AD Connect الافتراضية إلى سمة userPrincipalName في "Active Directory". إذا اخترت أي سمة أخرى لاسم المستخدم الأساسي وكنت تقوم بالتوحيد باستخدام AD FS، فإن Azure AD Connect سيقوم بتكوين AD FS لمعرف تسجيل الدخول البديل. فيما يلي مثال لاختيار سمة مختلفة لاسم المستخدم الأساسي:

تحديد سمة معرف بديل

يتكون تكوين معرف تسجيل الدخول البديل لـ AD FS من خطوتين رئيسيتين:

  1. تكوين المجموعة الصحيحة من مطالبات الإصدار: يتم تعديل قواعد مطالبة الإصدار في ثقة جهة الاعتماد على Microsoft Azure AD لاستخدام السمة UserPrincipalName المحددة كمعرّف بديل للمستخدم.

  2. تمكين معرف تسجيل الدخول البديل في تكوين خدمات الأمان المشترك لـActive Directory: يتم تحديث تكوين خدمات الأمان المشترك لـ Active Directory بحيث يمكن لخدمات الأمان المشترك لـ Active Directory البحث عن المستخدمين في الغابات المناسبة باستخدام معرف بديل. هذا التكوين مدعوم لـ AD FS على Windows Server 2012 R2 (مع KB2919355) أو أحدث. في حال كانت خوادم AD FS 2012 R2، يتحقق Microsoft Azure Active Directory Connect من وجود KB المطلوب. في حال لم يتم الكشف عن قاعدة المعارف، سيتم عرض تحذير بعد اكتمال التكوين، كما هو موضح أدناه:

    تحذير بشأن فقدان KB في 2012R2

    لتصحيح التكوين في حالة فقدان KB، عليك بتثبيت KB2919355 المطلوبة ثم إصلاح الثقة باستخدام Repair AAD و AD FS Trust.

ملاحظة

للحصول على مزيدٍ من المعلومات حول معرف بديل وخطوات لتكوين يدويًا، اقرأ تكوين معرف تسجيل الدخول البديل

إضافة خدمات الأمان المشترك لـActive Directory

ملاحظة

لإضافة خادم AD FS، يتطلب Microsoft Azure Active Directory Connect شهادة PFX. لذلك، لا يمكنك تنفيذ هذه العملية إلا إذا قمت بتكوين مزرعة خدمات الأمان المشترك لـActive Directory باستخدام Azure AD Connect.

  1. حدد نشر خادم اتحاد إضافي، ثم انقر فوق التالي.

    إضافة خادم الاتحاد

  2. في صفحة الاتصال Azure AD، أدخل بيانات اعتماد مسؤول الهوية المختلطة Azure AD، وانقر فوق التالي.

    لقطة شاشة تعرض صفحة

  3. توفير بيانات اعتماد مسؤول المجال.

    أوراق اعتماد مسؤول المجال

  4. يطلب Microsoft Azure Active Directory Connect كلمة مرور ملف PFX الذي قدمته أثناء تكوين مزرعة AD FS الجديدة باستخدام Microsoft Azure Active Directory Connect. انقر فوق إدخال كلمة المرور لتوفير كلمة المرور لملف PFX.

    لقطة شاشة تعرض صفحة

    لقطة شاشة تعرض صفحة

  5. في صفحة خوادم خدمات الأمان المشترك لـActive Directory أدخل اسم الملقم أو عنوان IP لإضافتها إلى مزرعة خدمات الأمان المشترك لـActive Directory.

    خوادم خدمات الأمان المشترك لـ Active Directory

  6. انقر فوق التالي، ثم انتقل من خلال الصفحة التكوينالنهائي. بعد انتهاء Microsoft Azure Active Directory Connect من إضافة الخوادم إلى مزرعة خدمات الأمان المشترك لـ Active Directory، سيتم منحك خيار التحقق من الاتصال.

    لقطة شاشة تعرض صفحة

     لقطة شاشة تعرض صفحة

أضف خادم لخدمات الأمان المشترك لـActive Directory WAP

ملاحظة

لإضافة خادم WAP، يتطلب Microsoft Azure Active Directory Connect شهادة PFX. لذلك، لا يمكنك تنفيذ هذه العملية إلا إذا قمت بتكوين مزرعة خدمات الأمان المشترك لـActive Directory باستخدام Microsoft Azure Active Directory Connect.

  1. حدد Deploy Web Application Proxy من قائمة المهام المتاحة.

    توزيع وكيل تطبيق الويب

  2. قم بتوفير بيانات اعتماد Azure Hybrid Identity Administrator.

    لقطة شاشة تعرض صفحة

  3. في الصفحة تحديد شهادة SSL، قم بتوفير كلمة المرور لملف PFX الذي قمت بتوفيره عند تكوين مزرعة خدمات الأمان المشترك لـ Active Directory باستخدام الاتصال Microsoft Azure Active Directory Connect.  شهادة كلمة المرور

    حدد شهادة TLS /SSL

  4. أضف الخادم المراد إضافته كخادم WAP. لأن خادم WAP قد لا يكون منضمًا إلى المجال، يطلب المعالج بيانات اعتماد إدارية إلى الخادم الذي تتم إضافته.

    بيانات اعتماد الخادم الإداري

  5. في صفحة بيانات اعتماد ثقة الوكيل، قم بتوفير بيانات اعتماد إدارية لتكوين ثقة الوكيل والوصول إلى الخادم الأساسي في مزرعة خدمات الأمان المشترك لـActive Directory.

    بيانات اعتماد الثقة بالوكيل

  6. تعرض صفحة جاهز للتكوين قائمة بالإجراءات التي سيتم تنفيذها لإصلاح الثقة.

    لقطة شاشة تعرض صفحة

  7. انقر فوق تركيب لإنهاء التكوين. بعد اكتمال التكوين، يمنحك المعالج خيار التحقق من الاتصال بالخوادم. انقر فوق التحقق للتحقق من الاتصال.

    اكتمال التركيب

إضافة مجال متحد

من السهل إضافة مجال ليتم توحيده مع Microsoft Azure Active Directory باستخدام Microsoft Azure Active Directory. يضيف Azure AD Connect المجال للاتحاد ويعدل قواعد المطالبة لعكس مصدر الشهادة بشكل صحيح عندما يكون لديك مجالات متعددة تم توحيدها مع Azure AD.

  1. لإضافة مجال متحد، حدد المهمة إضافة نطاق Microsoft Azure Active Directory إضافي.

    مجال Microsoft Azure Active Directory إضافي

  2. في الصفحة التالية من المعالج، قم بتوفير بيانات اعتماد المسؤول العام لـMicrosoft Azure Active Directory.

    الاتصال بـ Azure AD

  3. في صفحة بيانات اعتماد الوصول البعيد أدخل بيانات الاعتماد لمسؤول المجال.

    بيانات معلومات تسجيل الدخول عن بعد

  4. في الصفحة التالية، يوفر المعالج قائمة بمجالات Microsoft Azure Active Directory التي يمكنك توحيد الدليل المحلي بها. اختر المجال من القائمة.

    خدمات مجال AAD (دليل Azure النشط)

    بعد اختيار المجال، يزودك المعالج بالمعلومات المناسبة حول الإجراءات الإضافية التي سيتخذها المعالج وتأثير التكوين. في بعض الحالات، إذا قمت بتحديد مجال لم يتم التحقق منه بعد في Microsoft Azure Active Directory، فإن المعالج يوفر لك معلومات لمساعدتك في التحقق من المجال. راجع اضف اسم المجال المخصص الخاص بك باستخدام Microsoft Azure Active Directory لمزبد من التفاصيل.

  5. انقر فوق التالي. تعرض صفحة جاهز للتكوين قائمة بالإجراءات التي سيقوم Microsoft Azure Active Directory Connect بتنفيذها. انقر فوق تركيب لإنهاء التكوين.

    جاهز للتكوين

ملاحظة

ينبغي مزامنة المستخدمين من المجال المتحد المضاف قبل أن يتمكنوا من تسجيل الدخول إلى Microsoft Azure Active Directory.

تخصيص خدمات الأمان المشترك لـActive Directory

توفر الأقسام التالية تفاصيل حول بعض المهام الشائعة التي قد يتعين عليك القيام بها عند تخصيص صفحة تسجيل الدخول إلى خدمات الأمان المشترك لـActive Directory.

لتغيير شعار الشركة المعروضة على صفحة تسجيل الدخول استخدم Windows PowerShell cmdlet وبناء الجملة التاليين.

ملاحظة

الأبعاد الموصى بها للشعار هي 260 × 35 @ 96 نقطة في البوصة مع حجم ملف لا يزيد عن 10 كيلوبايت.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

ملاحظة

المعلمة TargetName مطلوبة. يُطلق على السمة الافتراضية التي تم إصدارها باستخدام خدمات الأمان المشترك لـActive Directory اسم افتراضي.

أضف وصفًا لتسجيل الدخول

لإضافة وصف صفحة تسجيل الدخول إلى صفحة تسجيل الدخول استخدم Windows PowerShell cmdlet وبناء الجملة التاليين.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Click <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

تعديل قواعد مطالبة خدمات الأمان المشترك لـActive Directory

تدعم خدمات الأمان المشترك لـActive Directory لغة مطالبة غنية يمكنك استخدامها لإنشاء قواعد مطالبة مخصصة. لمزيد من المعلومات، راجع دور لغة قاعدة المطالبة.

تصف المقاطع التالية كيف يمكنك كتابة قواعد مخصصة لبعض السيناريوهات التي تتعلق باتحاد Microsoft Azure Active Directory وخدمات الأمان المشترك لـActive Directory.

معرف غير قابل للتغيير مشروط بوجود قيمة في السمة

يتيح لك Microsoft Azure Active Directory Connect الاتصال تحديد سمة لاستخدامها كمرساة مصدر عند مزامنة العناصر مع Azure AD Connect. في حال لم تكن القيمة في السمة المخصصة فارغة، فقد ترغب في إصدار مطالبة معرّف غير قابلة للتغيير.

على سبيل المثال، يمكنك تحديد دليل ms-ds-consistencyguid كسمة لرابط المصدر وإصدارImmutableIDمثل ms-ds-consistencyguidفي حالة وجود قيمة للسمة مقابلها. في حال لم يكن هناك قيمة مقابل السمة، إصدار objectGuid كم معرف غير قابل للتغيير. يمكنك إنشاء مجموعة قواعد المطالبة المخصصة كما هو موضح في المقطع التالي.

القاعدة 1: سمات الاستعلام

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

في هذه القاعدة، كنت الاستعلام عن قيم ms-ds-consistencyguid و objectGuid للمستخدم من خدمات مجال Active Directory. تغيير اسم المتجر إلى اسم مخزن مناسب في نشر خدمات الأمان المشترك لـActive Directory. أيضا تغيير نوع المطالبات إلى نوع مطالبات المناسبة للاتحاد الخاص بك، كما هو محدد لـ objectGuid و ms-ds-consistencyguid.

أيضًا، باستخدام إضافة وليس إصدار، يمكنك تجنب إضافة مشكلة صادرة للكيان، ويمكن استخدام القيم كقيم وسيطة. ستصدر المطالبة في قاعدة لاحقة بعد تحديد القيمة التي سيتم استخدامها كم معرف غير قابل للتغيير.

القاعدة 2: تحقق من وجود ms-ds-consistencyguid للمستخدم

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

تعرف هذه القاعدة علم مؤقت يسمى idflag تم تعيينه للاستخدام في حال لم يكن هناك ms-ds-consistencyguid مأهولة للمستخدم. المنطق وراء هذا هو حقيقة أن خدمات الأمان المشترك لـActive Directory لا يسمح المطالبات فارغة. حتى عند إضافة مطالبات http://contoso.com/ws/2016/02/identity/claims/objectguidوhttp://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid في القاعدة 1، ينتهي بك الأمر مع مطالبة msdsconsistencyguid فقط فيحال تم تعبئة القيمة للمستخدم. في حال لم تكن مأهولة، ترى خدمات الأمان المشترك لـActive Directory أنه سيكون لها قيمة فارغة وتقوم بإسقاطها على الفور. سيكون لكافة العناصر objectGuid، بحيث يكون هناك دائما المطالبة بعد تنفيذ القاعدة 1.

القاعدة 3: إصدار ms-ds-consistencyguid كم معرف غير قابل للتغيير إذا كان موجودا

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

هذا الفحص موجود ضمني. في حال كانت قيمة المطالبة موجودة، ثم إصدار ذلك كم معرف غير قابل للتغيير. يستخدم المثال السابق المطالبة nameidentifier. سيكون عليك تغيير هذا إلى نوع المطالبة المناسب للم معرف غير قابل للتغيير في البيئة الخاصة بك.

القاعدة 4: إصدار ms-ds-consistencyguid كم معرف غير قابل للتغيير في حال كان موجودًا

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

في هذه القاعدة، تقوم ببساطة بالتحقق من علامة idflag المؤقتة. تقرر ما إذا كنت ستصدر المطالبة استنادا إلى قيمتها.

ملاحظة

تسلسل هذه القواعد مهم.

SSO مع نطاق فرعي UPN

يمكنك إضافة أكثر من مجال واحد ليتم توحيده باستخدام Microsoft Azure Active Directory Connect، موضح في إضافة نطاق جديد. يُنشئ الإصدار 1.1.553.0 من Microsoft Azure Active Directory Connect والإصدار الأحدث قاعدة المطالبة الصحيحة لمعرّف المُصدر تلقائيًا. في حال لم تتمكن من استخدام Azure AD الاتصال الإصدار 1.1.553.0 أو أحدث، فمن المستحسن استخدام أداة قواعد المطالبة ب Azure AD RPT لإنشاء قواعد المطالبة الصحيحة وتعيينها لثقة الطرف الذي يعتمد على Microsoft Azure Active Directory Connect.

الخطوات التالية

تعرف على المزيد حول خيارات تسجيل دخول المستخدم.