Implementace a správa federace

  • 1 min.

Federace může ve Windows Serveru 2012 R2 (nebo novějším) používat novou nebo existující farmu místní Active Directory a Microsoft Entra Připojení uživatelům umožnit přihlášení k prostředkům Microsoft Entra pomocí místního hesla.

Diagram of federation between on-premises and Microsoft Entra ID. Shows users able log into both on-premises and cloud resources with a single shared login.

Federace je kolekce domén, které mají vytvořený vztah důvěryhodnosti. Úroveň důvěryhodnosti se liší, ale obvykle zahrnuje ověřování a téměř vždy zahrnuje autorizaci. Typická federace může zahrnovat řadu organizací, které si vytvořily vztah důvěryhodnosti pro sdílený přístup k sadě prostředků.

Místní prostředí můžete federovat s ID Microsoft Entra a tuto federaci použít k ověřování a autorizaci. Tato metoda přihlašování zajišťuje, že veškeré ověřování uživatelů probíhá místně. Tato metoda umožňuje správcům implementovat přísnější úrovně řízení přístupu. K dispozici je federace pomocí AD FS a PingFederate.

S federovaným přihlašováním se uživatelé můžou přihlásit ke službám založeným na Microsoft Entra pomocí místních hesel. I když jsou v podnikové síti, nemusí ani zadávat svá hesla. Pomocí možnosti federace se službou AD FS můžete nasadit novou nebo existující farmu se službou AD FS ve Windows Serveru 2012 R2 nebo novějším. Pokud se rozhodnete zadat existující farmu, Microsoft Entra Připojení nakonfiguruje vztah důvěryhodnosti mezi vaší farmou a ID Microsoft Entra, aby se vaši uživatelé mohli přihlásit.

Požadavek na nasazení federace se službami AD FS a Microsoft Entra Připojení

Nasazení do farmy služby AD FS potřebujete:

  • Přihlašovací údaje místního správce na federačních serverech.
  • Přihlašovací údaje místního správce na všech serverech pracovní skupiny (nejsou připojené k doméně), na kterých chcete nasadit roli webového proxy aplikací.
  • Počítač, na který spustíte průvodce, aby se mohl připojit k jiným počítačům, na které chcete nainstalovat službu AD FS nebo webovou proxy aplikací pomocí vzdálené správy systému Windows.

Nastavení federace pomocí microsoft Entra Připojení pro připojení k farmě služby AD FS

Screenshot of Microsoft Entra Connect application showing the create and connect to an AD FS farm dialog.

Zadejte servery SLUŽBY AD FS a určete servery, na které chcete službu AD FS nainstalovat. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů. Před nastavením této konfigurace připojte všechny servery SLUŽBY AD FS ke službě Active Directory. Tento krok není nutný pro servery webových proxy aplikací. Společnost Microsoft doporučuje instalaci jednoho serveru služby AD FS pro zkušební a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery, které vyhovují vašim potřebám škálování, spuštěním nástroje Microsoft Entra Připojení znovu.

Zadejte servery webového proxy aplikací Zadejte servery webového proxy aplikací. Webový proxy aplikací server se nasadí do hraniční sítě, která se nachází na extranetu. Podporuje žádosti o ověření z extranetu. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů. Po počáteční konfiguraci můžete přidat a nasadit další servery, které vyhovují vašim potřebám škálování, spuštěním nástroje Microsoft Entra Připojení znovu.

Zadejte účet služby pro službu AD FS, služba AD FS vyžaduje účet doménové služby k ověřování uživatelů a vyhledávání informací o uživatelích ve službě Active Directory. Podporuje dva typy účtů služeb:

  • Skupinové účty spravované služby
  • Uživatelský účet domény

Vyberte doménu Microsoft Entra, kterou chcete federovat , pomocí stránky domény Microsoft Entra nastavte federační vztah mezi AD FS a Microsoft Entra ID. Tady nakonfigurujete službu AD FS tak, aby poskytovala tokeny zabezpečení pro ID Microsoft Entra. Nakonfigurujete také ID Microsoft Entra tak, aby důvěřoval tokenům z této instance služby AD FS. Na této stránce můžete v počáteční instalaci nakonfigurovat jenom jednu doménu. Další domény můžete později nakonfigurovat tak, že znovu spustíte Microsoft Entra Připojení.

Nástroje Microsoft Entra Připojení pro správu federace

Pomocí průvodce Microsoft Entra Připojení můžete provádět různé úlohy související se službou AD FS v Microsoft Entra Připojení s minimálním zásahem uživatele. I po dokončení instalace nástroje Microsoft Entra Připojení spuštěním průvodce můžete průvodce spustit znovu a provést další úlohy. Pomocí průvodce můžete například opravit vztah důvěryhodnosti s Microsoftem 365, federovat s ID Microsoft Entra pomocí alternativního přihlašovacího ID a přidat server webových proxy aplikací (WAP) služby AD FS.

Oprava vztahu důvěryhodnosti Můžete použít Microsoft Entra Připojení ke kontrole aktuálního stavu vztahu důvěryhodnosti AD FS a Microsoft Entra ID a provést příslušné akce k opravě vztahu důvěryhodnosti.

Federování s ID Microsoft Entra pomocí alternativního ID Je doporučeno, aby místní hlavní název uživatele (UPN) a hlavní název uživatele cloudu zůstaly stejné. Pokud místní hlavní název uživatele (UPN) používá nesměrovatelnou doménu (např. Contoso.local) nebo ji nelze změnit kvůli závislostem místní aplikace, doporučujeme nastavit alternativní přihlašovací ID. Alternativní přihlašovací ID umožňuje nakonfigurovat přihlašovací prostředí, ve kterém se uživatelé můžou přihlásit pomocí jiného atributu než hlavního názvu uživatele (UPN), jako je třeba pošta. Volba hlavního názvu uživatele v Microsoft Entra ID Připojení výchozí hodnota atributu userPrincipalName ve službě Active Directory. Pokud zvolíte jakýkoli jiný atribut pro hlavní název uživatele a federujete pomocí služby AD FS, microsoft Entra Připojení nakonfiguruje službu AD FS pro alternativní přihlašovací ID.

Přidejte federovanou doménu, je snadné přidat doménu, která se má federovat s ID Microsoft Entra pomocí microsoft Entra Připojení. Microsoft Entra Připojení přidá doménu pro federaci a upraví pravidla deklarací identity tak, aby správně odrážel vystavitele, pokud máte více domén federovaných s ID Microsoft Entra.

Spolu se serverem Přidat a AD FS a přidat webový proxy aplikací server služby AD FS.

Zpětný zápis zařízení

Zpětný zápis zařízení slouží k povolení podmíněného přístupu založeného na zařízeních chráněných službou AD FS. Tento podmíněný přístup poskytuje dodatečné zabezpečení a záruku, že přístup k aplikacím je udělen pouze důvěryhodným zařízením. Zpětný zápis zařízení umožňuje toto zabezpečení tím, že synchronizuje všechna zařízení zaregistrovaná v Azure zpět do místní Active Directory. Při konfiguraci během instalace se pro přípravu doménové struktury AD provádějí následující operace:

  • Pokud ještě neexistují, vytvořte a nakonfigurujte nové kontejnery a objekty v části: CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest dn ].
  • Pokud ještě neexistují, vytvořte a nakonfigurujte nové kontejnery a objekty v části: CN=RegisteredDevices,[domain-dn]. Objekty zařízení se vytvoří v tomto kontejneru.
  • Nastavte potřebná oprávnění k účtu Microsoft Entra Připojení or pro správu zařízení ve službě Active Directory.