Správa a přizpůsobení služby AD FS pomocí microsoft Entra Připojení
Tento článek popisuje, jak spravovat a přizpůsobovat Active Directory Federation Services (AD FS) (AD FS) pomocí microsoft Entra Připojení.
Dozvíte se také o dalších běžných úlohách služby AD FS, které možná budete muset provést, abyste úplně nakonfigurovali farmu služby AD FS. Tyto úlohy jsou uvedeny v následující tabulce:
| Úkol | Popis |
|---|---|
| Správa služby AD FS | |
| Oprava vztahu důvěryhodnosti | Zjistěte, jak opravit vztah důvěryhodnosti federace s Microsoftem 365. |
| Federování s Microsoft Entra ID pomocí alternativního přihlašovacího ID | Zjistěte, jak nakonfigurovat federaci pomocí alternativního přihlašovacího ID. |
| Přidání serveru SLUŽBY AD FS | Zjistěte, jak rozšířit farmu služby AD FS o další server SLUŽBY AD FS. |
| Přidání serveru webových proxy aplikací služby AD FS (WAP) | Zjistěte, jak rozšířit farmu služby AD FS o další server WAP. |
| Přidání federované domény | Zjistěte, jak přidat federovanou doménu. |
| Aktualizace certifikátu TLS/SSL | Zjistěte, jak aktualizovat certifikát TLS/SSL pro farmu služby AD FS. |
| Přizpůsobení služby AD FS | |
| Přidání vlastního firemního loga nebo ilustrace | Zjistěte, jak přizpůsobit přihlašovací stránku služby AD FS s logem společnosti a ilustrací. |
| Přidání popisu přihlášení | Přečtěte si, jak přidat popis přihlašovací stránky. |
| Úprava pravidel deklarací identity služby AD FS | Zjistěte, jak upravit deklarace identity služby AD FS pro různé scénáře federace. |
Správa služby AD FS
Pomocí průvodce Microsoft Entra Připojení můžete provádět různé úlohy související se službou AD FS v Microsoft Entra Připojení s minimálním zásahem uživatele. Po dokončení instalace nástroje Microsoft Entra Připojení spuštěním průvodce ho můžete spustit znovu a provést další úlohy.
Oprava vztahu důvěryhodnosti
Pomocí microsoft Entra Připojení můžete zkontrolovat aktuální stav důvěryhodnosti AD FS a Id Microsoft Entra a pak provést příslušné akce k opravě vztahu důvěryhodnosti. Pokud chcete opravit id Microsoft Entra a vztah důvěryhodnosti služby AD FS, postupujte takto:
V seznamu úkolů vyberte Opravit ID Microsoft Entra a vztah důvěryhodnosti ADFS.
Na Připojení na stránce ID Microsoft Entra zadejte své přihlašovací údaje k hybridní identitě Správa istrator pro ID Microsoft Entra a pak vyberte Další.
Na stránce s přihlašovacími údaji vzdáleného přístupu zadejte přihlašovací údaje správce domény.
Vyberte Další.
Microsoft Entra Připojení kontroluje stav certifikátu a zobrazuje případné problémy.
Na stránce Připraveno ke konfiguraci se zobrazí seznam akcí, které budou provedeny k opravě vztahu důvěryhodnosti.
Chcete-li opravit vztah důvěryhodnosti, vyberte Nainstalovat .
Poznámka:
Microsoft Entra Připojení může opravit nebo reagovat pouze na certifikáty podepsané svým držitelem. Microsoft Entra Připojení nemůže opravit certifikáty třetích stran.
Federování s ID Microsoft Entra pomocí alternativního ID
Doporučujeme ponechat místní hlavní název uživatele (UPN) a hlavní název uživatele cloudu stejný. Pokud místní hlavní název uživatele (UPN) používá nesměrovatelnou doménu (například Contoso.local) nebo se nedá změnit kvůli závislostem místní aplikace, doporučujeme nastavit alternativní přihlašovací ID. Pomocí alternativního přihlašovacího ID můžete nakonfigurovat přihlašovací prostředí, ve kterém se uživatelé můžou přihlásit pomocí jiného atributu než hlavního názvu uživatele (UPN), například e-mailové adresy.
Volba hlavního názvu uživatele (UPN) v Microsoft Entra Připojení výchozí hodnota atributu userPrincipalName ve službě Active Directory. Pokud zvolíte jakýkoli jiný atribut hlavního názvu uživatele (UPN) a federujete pomocí služby AD FS, Microsoft Entra Připojení nakonfiguruje službu AD FS pro alternativní PŘIHLAŠOVACÍ ID.
Příklad výběru jiného atributu hlavního názvu uživatele (UPN) je znázorněn na následujícím obrázku:
Konfigurace alternativního ID přihlašování pro službu AD FS se skládá ze dvou hlavních kroků:
Nakonfigurujte správnou sadu deklarací identity vystavování: Pravidla vystavování v vztahu důvěryhodnosti předávající strany Microsoft Entra ID jsou upravena tak, aby jako alternativní ID uživatele používala vybraný atribut UserPrincipalName.
Povolte alternativní přihlašovací ID v konfiguraci služby AD FS: Konfigurace služby AD FS se aktualizuje, aby služba AD FS mohla vyhledat uživatele v příslušných doménových strukturách pomocí alternativního ID. Tato konfigurace je podporovaná pro službu AD FS ve Windows Serveru 2012 R2 (s KB2919355) nebo novějším. Pokud jsou servery SLUŽBY AD FS 2012 R2, Microsoft Entra Připojení zkontroluje přítomnost požadované znalostní báze. Pokud znalostní báze není zjištěna, po dokončení konfigurace se zobrazí upozornění, jak je znázorněno na následujícím obrázku:
Pokud chybí znalostní báze, můžete konfiguraci napravit instalací požadovaného KB2919355. Potom můžete postupovat podle pokynů v opravě vztahu důvěryhodnosti.
Poznámka:
Další informace o alternativním ID a postupu ruční konfigurace najdete v tématu Konfigurace alternativního PŘIHLAŠOVACÍHO ID.
Přidání serveru SLUŽBY AD FS
Poznámka:
Pokud chcete přidat server AD FS, microsoft Entra Připojení vyžaduje certifikát PFX. Proto můžete tuto operaci provést pouze v případě, že jste nakonfigurovali farmu služby AD FS pomocí nástroje Microsoft Entra Připojení.
Vyberte Nasadit další federační server a pak vyberte Další.
Na Připojení na stránce s ID Microsoft Entra zadejte své přihlašovací údaje k hybridní identitě Správa istrator pro MICROSOFT Entra ID a pak vyberte Další.
Zadejte přihlašovací údaje správce domény.
Microsoft Entra Připojení požádá o heslo souboru PFX, který jste zadali při konfiguraci nové farmy SLUŽBY AD FS pomocí microsoft Entra Připojení. Vyberte Zadat heslo a zadejte heslo pro soubor PFX.
Na stránce Servery služby AD FS zadejte název serveru nebo IP adresu, které se mají přidat do farmy služby AD FS.
Vyberte Další a pokračujte dokončením konečné stránky Konfigurovat .
Jakmile Microsoft Entra Připojení dokončí přidání serverů do farmy služby AD FS, budete mít možnost ověřit připojení.
Přidání serveru WAP služby AD FS
Poznámka:
Pro přidání webového proxy aplikací serveru vyžaduje Microsoft Entra Připojení certifikát PFX. Tuto operaci tedy můžete provést až po nakonfigurování farmy služby AD FS pomocí nástroje Microsoft Entra Připojení.
V seznamu dostupných úloh vyberte Nasadit webovou proxy aplikací.
Zadejte přihlašovací údaje azure Hybrid Identity Správa istrator.
Na stránce Zadat certifikát SSL zadejte heslo pro soubor PFX, který jste zadali při konfiguraci farmy služby AD FS s microsoft Entra Připojení.
Přidejte server, který se má přidat jako server WAP. Protože server WAP nemusí být připojený k doméně, průvodce požádá o přihlašovací údaje správce k serveru, který se přidává.
Na stránce přihlašovacích údajů důvěryhodnosti proxy serveru zadejte přihlašovací údaje správce pro konfiguraci vztahu důvěryhodnosti proxy serveru a přístup k primárnímu serveru ve farmě služby AD FS.
Na stránce Připraveno ke konfiguraci zobrazí průvodce seznam akcí, které se budou provádět.
Konfiguraci dokončíte výběrem možnosti Nainstalovat . Po dokončení konfigurace vám průvodce poskytne možnost ověřit připojení k serverům. Vyberte Ověřit a zkontrolujte připojení.
Přidání federované domény
Pomocí microsoft Entra Připojení je snadné přidat doménu, která se má federovat s Microsoft Entra ID. Microsoft Entra Připojení přidá doménu pro federaci a upraví pravidla deklarací identity tak, aby správně odrážel vystavitele, pokud máte více domén federovaných s ID Microsoft Entra.
Pokud chcete přidat federovanou doménu, vyberte Přidat další doménu Microsoft Entra.
Na další stránce průvodce zadejte přihlašovací údaje globálního správce pro ID Microsoft Entra.
Na stránce s přihlašovacími údaji vzdáleného přístupu zadejte přihlašovací údaje správce domény.
Na další stránce průvodce poskytuje seznam domén Microsoft Entra, se kterými můžete federovat místní adresář. Zvolte doménu ze seznamu.
Po výběru domény vás průvodce informuje o dalších akcích, které provede, a dopadu konfigurace. Pokud v některých případech vyberete doménu, která ještě není ověřená v Microsoft Entra ID, průvodce vám pomůže ověřit doménu. Další informace naleznete v tématu Přidání vlastního názvu domény do Microsoft Entra ID.
Vyberte Další.
Stránka Připraveno ke konfiguraci obsahuje seznam akcí, které bude provádět Microsoft Entra Připojení.
Konfiguraci dokončíte výběrem možnosti Nainstalovat .
Poznámka:
Uživatelé v přidané federované doméně musí být synchronizovaní, aby se mohli přihlásit k MICROSOFT Entra ID.
Přizpůsobení služby AD FS
Následující části obsahují podrobnosti o některých běžných úlohách, které možná budete muset provést, abyste přizpůsobili přihlašovací stránku služby AD FS.
Přidání vlastního firemního loga nebo ilustrace
Pokud chcete změnit logo společnosti zobrazené na přihlašovací stránce, použijte následující rutinu a syntaxi PowerShellu.
Poznámka:
Doporučené rozměry loga jsou 260 x 35 @ 96 dpi s velikostí souboru maximálně 10 kB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Poznámka:
Parametr TargetName je povinný. Výchozí motiv vydaný se službou AD FS má název Default.
Přidání popisu přihlášení
Pokud chcete na přihlašovací stránku přidat popis přihlašovací stránky, použijte následující rutinu a syntaxi PowerShellu.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Úprava pravidel deklarací identity služby AD FS
Služba AD FS podporuje bohatý jazyk deklarací identity, který můžete použít k vytváření vlastních pravidel deklarací identity. Další informace najdete v tématu Role jazyka pravidel deklarací identity.
Následující části popisují, jak můžete napsat vlastní pravidla pro některé scénáře, které souvisejí s federací Microsoft Entra ID a AD FS.
Neměnné ID podmíněné na hodnotě, která se nachází v atributu
Microsoft Entra Připojení umožňuje zadat atribut, který se má použít jako zdrojové ukotvení při synchronizaci objektů s Microsoft Entra ID. Pokud hodnota ve vlastním atributu není prázdná, možná budete chtít vydat neměnnou deklaraci ID.
Můžete například vybrat ms-ds-consistencyguid jako atribut pro zdrojové ukotvení a vydat ImmutableID jako ms-ds-consistencyguid v případě, že má atribut hodnotu. Pokud atribut neobsahuje žádnou hodnotu, zadejte objectGuid jako neměnné ID. Sadu vlastních pravidel deklarací identity můžete vytvořit podle popisu v následující části.
Pravidlo 1: Atributy dotazu
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
V tomto pravidle se dotazujete na hodnoty ms-ds-consistencyguid uživatele objectGuid a uživatele ze služby Active Directory. Změňte název úložiště na odpovídající název úložiště v nasazení služby AD FS. Změňte také typ deklarací na správný typ deklarací identity pro vaši federaci, jak je definováno pro objectGuid a ms-ds-consistencyguid.
Také použitím add a ne issue, vyhněte se přidání odchozího problému pro entitu a můžete použít hodnoty jako zprostředkující hodnoty. Deklaraci identity vydáte v pozdějším pravidle, jakmile určíte, kterou hodnotu použijete jako neměnné ID.
Pravidlo 2: Zkontrolujte, jestli pro uživatele existuje ms-ds-consistencyguid.
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Toto pravidlo definuje dočasný příznak, idflag který je nastavený, useguid pokud pro uživatele není ms-ds-consistencyguid vyplněný žádný příznak. Logika za tím spočívá v tom, že služba AD FS nepovoluje prázdné deklarace identity. Když přidáte deklarace identity http://contoso.com/ws/2016/02/identity/claims/objectguid a http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid v pravidle 1, skončíte s deklarací identity msdsconsistencyguid pouze v případě, že je pro uživatele naplněna hodnota. Pokud se nenaplní, služba AD FS uvidí, že bude mít prázdnou hodnotu a okamžitě ji zahodí. Všechny objekty budou mít objectGuid, takže deklarace identity bude vždy tam po spuštění pravidla 1.
Pravidlo 3: Problém ms-ds-consistencyguid jako neměnné ID, pokud je k dispozici
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Toto je implicitní Exist kontrola. Pokud hodnota deklarace existuje, zadejte ji jako neměnné ID. Předchozí příklad používá nameidentifier deklaraci identity. Budete muset toto nastavení změnit na odpovídající typ deklarace identity pro neměnné ID ve vašem prostředí.
Pravidlo 4: Problém objectGuid jako neměnné ID, pokud ms-ds-consistencyGuid není k dispozici
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Pomocí tohoto pravidla jednoduše kontrolujete dočasný příznak idflag. Rozhodnete se, jestli deklaraci identity vydáte na základě její hodnoty.
Poznámka:
Posloupnost těchto pravidel je důležitá.
Jednotné přihlašování s poddoménou hlavního názvu uživatele (UPN)
Můžete přidat více než jednu doménu, která se má federovat pomocí nástroje Microsoft Entra Připojení, jak je popsáno v tématu Přidání nové federované domény. Microsoft Entra Připojení verze 1.1.553.0 a novější vytvoří správné pravidlo deklarace identity automatickyissuerID. Pokud nemůžete použít Microsoft Entra Připojení verze 1.1.553.0 nebo novější, doporučujeme použít nástroj Microsoft Entra RPT Claim Rules k vygenerování a nastavení správných pravidel deklarace identity pro vztah důvěryhodnosti předávající strany Microsoft Entra ID.
Další kroky
Přečtěte si další informace o možnostech přihlašování uživatelů.