Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Následující téma popisuje konfiguraci potřebnou k tomu, aby vaše infrastruktura služby AD FS mohla ověřovat uživatele, jejichž identity jsou uložené v adresářích kompatibilních s protokolem LDAP (Lightweight Directory Access Protocol).
V mnoha organizacích se řešení pro správu identit skládají z kombinace adresářů Active Directory, AD LDS nebo adresářů LDAP třetích stran. S přidáním podpory služby AD FS pro ověřování uživatelů uložených v adresářích kompatibilních s protokolem LDAP v3 můžete využít výhod celé sady funkcí služby AD FS na podnikové úrovni bez ohledu na to, kde jsou uložené identity uživatelů. Služba AD FS podporuje jakýkoli adresář kompatibilní s protokolem LDAP v3.
Note
Mezi funkce SLUŽBY AD FS patří jednotné přihlašování, ověřování zařízení, flexibilní zásady podmíněného přístupu, podpora práce odkudkoli prostřednictvím integrace s proxy webových aplikací a bezproblémová federace s Microsoft Entra, která vám a vašim uživatelům umožňuje využívat cloud, včetně Office 365 a dalších aplikací SaaS. Další informace naleznete v tématu Přehled služby Active Directory Federation Services.
Aby služba AD FS mohla ověřovat uživatele z adresáře LDAP, musíte tento adresář LDAP připojit k farmě služby AD FS vytvořením vztahu důvěryhodnosti místního poskytovatele nároků. Objekt důvěryhodnosti místního poskytovatele deklarací je objekt, který představuje adresář LDAP ve farmě AD FS. Objekt důvěryhodnosti místního poskytovatele nároků se skládá z různých identifikátorů, názvů a pravidel, které identifikují tento adresář LDAP pro místní federační službu.
Můžete podporovat více adresářů LDAP, z nichž každý má vlastní konfiguraci, ve stejné farmě služby AD FS přidáním více důvěryhodných místních poskytovatelů nároků. Kromě toho lze doménové struktury služby AD DS, které nejsou považovány za důvěryhodné doménovou strukturou, ve které je umístěna služba AD FS, modelovat také jako lokální důvěryhodnost zprostředkovatelů deklarací identity. Vztahy důvěryhodnosti se zprostředkovateli místních deklarací můžete vytvořit pomocí Windows PowerShellu.
Adresáře LDAP (vztahy důvěryhodnosti místního zprostředkovatele deklarací identity) mohou existovat společně s adresáři AD (vztahy důvěryhodnosti zprostředkovatele deklarací) na stejném serveru služby AD FS ve stejné farmě AD FS, takže jedna instance služby AD FS může ověřovat a autorizovat přístup pro uživatele, kteří jsou uloženi jak v adresářích AD, tak v jiných než AD adresářích.
Ověřování uživatelů z adresářů LDAP je podporováno pouze pomocí formulářů. Ověřování na základě certifikátů a integrované ověřování systému Windows nejsou podporovány pro ověřování uživatelů v adresářích LDAP.
Všechny pasivní autorizační protokoly podporované službou AD FS, včetně SAML, WS-Federation a OAuth, jsou podporovány také pro identity uložené v adresářích LDAP.
Pro identity uložené v adresářích LDAP se podporuje také WS-Trust aktivní autorizační protokol.
Konfigurace služby AD FS pro ověřování uživatelů uložených v adresáři LDAP
Pokud chcete nakonfigurovat farmu služby AD FS tak, aby ověřovali uživatele z adresáře LDAP, můžete provést následující kroky:
Nejprve nakonfigurujte připojení k adresáři LDAP pomocí rutiny New-AdfsLdapServerConnection :
$DirectoryCred = Get-Credential $vendorDirectory = New-AdfsLdapServerConnection -HostName dirserver -Port 50000 -SslMode None -AuthenticationMethod Basic -Credential $DirectoryCredNote
Doporučujeme vytvořit nový objekt připojení pro každý server LDAP, ke kterému se chcete připojit. Služba AD FS se může připojit k více replikovaným serverům LDAP a automaticky přepnout na záložní v případě, že konkrétní server LDAP je nedostupný. V takovém případě můžete vytvořit jeden AdfsLdapServerConnection pro každý z těchto serverů LDAP repliky a pak přidat pole objektů připojení pomocí parametru -LdapServerConnection rutiny Add-AdfsLocalClaimsProviderTrust .
POZNÁMKA: Pokus o použití Get-Credential a zadání dnu a hesla, které se mají použít k vytvoření vazby na instanci LDAP, může vést k selhání kvůli požadavkům uživatelského rozhraní pro konkrétní vstupní formáty, například doména\uživatelské_jméno nebo user@domain.tld. Místo toho můžete použít rutinu ConvertTo-SecureString následujícím způsobem (v následujícím příkladu se předpokládá, že uid=admin,ou=system jako DN přihlašovacích údajů, které se mají použít k vytvoření vazby k instanci LDAP):
$ldapuser = ConvertTo-SecureString -string "uid=admin,ou=system" -asplaintext -force $DirectoryCred = Get-Credential -username $ldapuser -Message "Enter the credentials to bind to the LDAP instance:"Pak zadejte heslo pro uid=admin a dokončete zbývající kroky.
Dále můžete provést volitelný krok mapování atributů LDAP na existující nároky v rámci AD FS pomocí rutiny New-AdfsLdapAttributeToClaimMapping. V následujícím příkladu mapujete atributy givenName, Surname a CommonName LDAP na požadavky služby AD FS:
#Map given name claim $GivenName = New-AdfsLdapAttributeToClaimMapping -LdapAttribute givenName -ClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname" # Map surname claim $Surname = New-AdfsLdapAttributeToClaimMapping -LdapAttribute sn -ClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" # Map common name claim $CommonName = New-AdfsLdapAttributeToClaimMapping -LdapAttribute cn -ClaimType "http://schemas.xmlsoap.org/claims/CommonName"Toto mapování se provádí, aby byly atributy z úložiště LDAP k dispozici jako deklarace identity ve službě AD FS za účelem vytvoření pravidel řízení podmíněného přístupu ve službě AD FS. Umožňuje také službě AD FS pracovat s vlastními schématy v úložištích LDAP tím, že poskytuje snadný způsob mapování atributů LDAP na nároky.
Nakonec je nutné zaregistrovat úložiště LDAP ve službě AD FS jako důvěryhodného místního zprostředkovatele deklarací pomocí rutiny Add-AdfsLocalClaimsProviderTrust:
Add-AdfsLocalClaimsProviderTrust -Name "Vendors" -Identifier "urn:vendors" -Type Ldap # Connection info -LdapServerConnection $vendorDirectory # How to locate user objects in directory -UserObjectClass inetOrgPerson -UserContainer "CN=VendorsContainer,CN=VendorsPartition" -LdapAuthenticationMethod Basic # Claims for authenticated users -AnchorClaimLdapAttribute mail -AnchorClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -LdapAttributeToClaimMapping @($GivenName, $Surname, $CommonName) # General claims provider properties -AcceptanceTransformRules "c:[Type != ''] => issue(claim=c);" -Enabled $true # Optional - supply user name suffix if you want to use Ws-Trust -OrganizationalAccountSuffix "vendors.contoso.com"V předchozím příkladu vytváříte důvěryhodný vztah s místním poskytovatelem deklarací s názvem "Dodavatelé". Zadáváte informace pro připojení AD FS k adresáři LDAP, který představuje tato důvěryhodnost místního poskytovatele deklarací, přiřazením
ke < c1 /> parametru. Všimněte si, že v kroku 1 jste při připojování ke konkrétnímu adresáři LDAP přiřadili $vendorDirectorypřipojovací řetězec, který se má použít. Nakonec určíte, že atributy$GivenName,$Surnamea$CommonNameLDAP (které jste namapovali na deklarace identity služby AD FS) se použijí pro řízení podmíněného přístupu, včetně zásad pro vícefaktorové ověřování a pravidel autorizace vydávání, a také pro vydávání prostřednictvím deklarací identity v tokenech zabezpečení vydaných službou AD FS. Pokud chcete používat aktivní protokoly, jako je Ws-Trust se službou AD FS, musíte zadat parametr OrganizationalAccountSuffix, který službě AD FS umožňuje při vyřizování aktivní žádosti o autorizaci vyřešit nejednoznačnost mezi důvěrami místních zprostředkovatelů deklarací.