Einrichten einer AD FS-Laborumgebung
In diesem Thema sind die Schritte für die Konfiguration einer Testumgebung aufgeführt, die für das Abschließen der exemplarischen Vorgehensweisen in den folgenden Handbüchern mit exemplarischer Vorgehensweise verwendet werden können:
Exemplarische Vorgehensweise: Arbeitsplatzbeitritt mit einem iOS-Gerät
Exemplarische Vorgehensweise: Arbeitsplatzbeitritt mit einem Windows-Gerät
Hinweis
Sie sollten den Webserver und den Verbundserver nicht auf demselben Computer installieren.
Führen Sie zum Einrichten dieser Testumgebung die folgenden Schritte durch:
Schritt 2: Konfigurieren des Verbundservers (ADFS1) mit dem Geräteregistrierungsdienst
Schritt 3: Konfigurieren des Webservers (WebServ1) und einer anspruchsbasierten Beispielanwendung
Schritt 1: Konfigurieren des Domänencontrollers (DC1)
Für die Zwecke dieser Testumgebung können Sie Ihre Active Directory-Stammdomäne contoso.com nennen und pass@word1 als Administratorkennwort.
- Installieren Sie den AD DS-Rollendienst, und installieren Sie Active Directory Domain Services (AD DS), um Ihren Computer zu einem Domänencontroller unter Windows Server 2012 R2 zu machen. Mit dieser Aktion wird Ihr AD DS-Schema als Teil der Domänencontrollererstellung geupgradet. Weitere Informationen und Schritt-für-Schritt-Anweisungen finden Sie unter https://technet.microsoft.com/ library/hh472162.aspx.
Erstellen von Active Directory-Testkonten
Nachdem der Domänencontroller funktionsfähig ist, können Sie eine Testgruppe und Testbenutzerkonten in dieser Domäne erstellen und das Benutzerkonto zum Gruppenkonto hinzufügen. Sie verwenden diese Konten, um die exemplarischen Vorgehensweisen in den Handbüchern mit exemplarischer Vorgehensweise abzuschließen, die zu Beginn dieses Themas aufgeführt sind.
Erstellen Sie die folgenden Konten:
Benutzer: Robert Hatley mit den folgenden Anmeldeinformationen: Benutzername: RobertH und Kennwort: P@ssword
Gruppe: Finance
Informationen zum Erstellen von Benutzer- und Gruppenkonten in Active Directory (AD) finden Sie unter https://technet.microsoft.com/library/cc783323%28v=ws.10%29.aspx.
Fügen Sie das Konto Robert Hatley zur Gruppe Finance hinzu. Informationen zum Hinzufügen eines Benutzers zu einer Gruppe in Active Directory finden Sie unter https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.
Erstellen eines GMSA-Kontos
Das gruppenverwaltete Dienstkonto (Group Managed Service Account, GMSA) ist während der Installation und Konfiguration der Active Directory-Verbunddienste (AD FS) erforderlich.
So erstellen Sie ein GMSA-Konto
Öffnen Sie ein Windows PowerShell-Befehlsfenster, und geben Sie Folgendes ein:
Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
Schritt 2: Konfigurieren des Verbundservers (ADFS1) mit dem Geräteregistrierungsdienst
Zum Installieren eines weiteren virtuellen Computers installieren Sie Windows Server 2012 R2 und verbinden ihn mit der Domäne contoso.com. Richten Sie den Computer ein, nachdem er der Domäne beigetreten ist, und fahren Sie dann mit der Installation und Konfiguration der AD FS-Rolle fort.
Installieren eines SSL-Zertifikats
Sie müssen ein Secure Socket Layer (SSL)-Serverzertifikat auf dem ADFS1-Server im lokalen Computerspeicher installieren. Das Zertifikat MUSS über die folgenden Attribute verfügen:
Antragstellername (CN): adfs1.contoso.com
Alternativer Antragstellername (DNS): adfs1.contoso.com
Alternativer Antragstellername (DNS): enterpriseregistration.contoso.com
Leitfaden für den Zertifikatregistrierungs-Webdienst (CES)
Active Directory-Verbunddienste – Videoreihe mit exemplarischer Vorgehensweise: Aktualisieren von Zertifikaten.
Installieren der AD FS-Serverrolle
So installieren Sie den Verbunddienst-Rollendienst
Melden Sie sich mit dem Domänenadministratorkonto administrator@contoso.com beim Server an.
Starten Sie den Server-Manager. Klicken Sie zum Starten des Server-Managers auf dem Windows-Startbildschirm auf Server-Manager, oder klicken Sie in der Windows-Taskleiste auf dem Windows-Desktop auf Server-Manager. Klicken Sie auf der Seite Dashboard auf der Kachel Willkommen in der Registerkarte Schnellstart auf Rollen und Features hinzufügen. Alternativ können Sie im Menü Verwalten auf Rollen und Features hinzufügen klicken.
Klicken Sie auf der Seite Vorbereitung auf Weiter.
Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation, und klicken Sie anschließend auf Weiter.
Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, überprüfen Sie, ob der Zielcomputer ausgewählt ist, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Verbunddienste, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Features auswählen auf Weiter.
Klicken Sie auf der Seite Active Directory-Verbunddienst (AD FS) auf Weiter.
Nachdem Sie die Informationen auf der Seite Installationsauswahl bestätigen geprüft haben, aktivieren Sie das Kontrollkästchen Zielserver bei Bedarf automatisch neu starten, und klicken Sie dann auf Installieren.
Überprüfen Sie auf der Seite Installationsfortschritt, ob alles ordnungsgemäß installiert wurden, und klicken Sie dann auf Schließen.
Konfigurieren des Verbundservers
Der nächste Schritt ist die Konfiguration des Verbundservers.
So konfigurieren Sie den Verbundserver
Klicken Sie im Server-Manager auf der Seite Dashboard auf das Benachrichtigungs-Flag und dann auf Konfigurieren Sie den Verbunddienst auf diesem Server.
Der Konfigurations-Assistent für Active Directory-Verbunddienste wird geöffnet.
Wählen Sie auf der Seite WillkommenErstellen des ersten Verbundservers in einer Verbundserverfarm aus, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Verbinden mit AD DS ein Konto mit Domänenadministratorrechten für die Active Directory-Domäne contoso.com an, der dieser Computer angehört, und klicken Sie dann auf Weiter.
Führen Sie auf der Seite Diensteigenschaften angeben die folgenden Schritte aus, und klicken Sie dann auf Weiter:
Importieren Sie das SSL-Zertifikat, das Sie zuvor erhalten haben. Dieses Zertifikat ist das erforderliche Dienstauthentifizierungszertifikat. Navigieren Sie zum Speicherort Ihres SSL-Zertifikats.
Zum Bereitstellen eines Namens für Ihren Verbunddienst geben Sie adfs1.contoso.com ein. Das ist derselbe Wert, den Sie beim Registrieren eines SSL-Zertifikats bei den Active Directory-Zertifikatdiensten (AD CS) angegeben haben.
Zum Bereitstellen eines Anzeigenamens für Ihren Verbunddienst geben Sie Contoso Corporation ein.
Wählen Sie auf der Seite Angeben eines Dienstkontos die Option Vorhandenes Domänenbenutzerkonto oder gruppenverwaltetes Dienstkonto verwenden aus, und geben Sie dann das GMSA-Konto fsgmsa an, das Sie beim Erstellen des Domänencontrollers erstellt haben.
Wählen Sie auf der Seite Angeben der Konfigurationsdatenbank die Option Erstellen einer Datenbank auf diesem Server mit der internen Windows-Datenbank aus, und klicken Sie dann auf Weiter.
Überprüfen Sie Ihre Konfigurationsauswahl auf der Seite Optionen prüfen, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Voraussetzungsprüfungen, ob alle Voraussetzungsprüfungen erfolgreich abgeschlossen wurden, und klicken Sie dann auf Konfigurieren.
Überprüfen Sie die Ergebnisse auf der Seite Ergebnisse, prüfen Sie, ob die Konfiguration erfolgreich abgeschlossen wurden, und klicken Sie dann auf Weitere Schritte, die zum Abschluss der Bereitstellung des Verbunddiensts erforderlich sind.
Konfigurieren des Geräteregistrierungsdiensts
Der nächste Schritt ist die Konfiguration des Geräteregistrierungsdiensts auf dem ADFS1-Server. Ein Video hierzu finden Sie unter Active Directory-Verbunddienste – Videoreihe mit exemplarischer Vorgehensweise: Aktivieren des Geräteregistrierungsdiensts.
So konfigurieren Sie den Geräteregistrierungsdienst für Windows Server 2012 RTM
-
Wichtig
Der folgende Schritt gilt für den Windows Server 2012 R2 RTM Build.
Öffnen Sie ein Windows PowerShell-Befehlsfenster, und geben Sie Folgendes ein:
Initialize-ADDeviceRegistration
Wenn Sie zur Eingabe eines Dienstkontos aufgefordert werden, geben Sie contoso\fsgmsa$ein.
Führen Sie nun das Windows PowerShell-Cmdlet aus.
Enable-AdfsDeviceRegistration
Navigieren Sie auf dem ADFS1-Server in der AD FS-Verwaltungskonsole zu Authentifizierungsrichtlinien. Wählen Sie Globale primäre Authentifizierung bearbeiten aus. Aktivieren Sie das Kontrollkästchen neben Geräteauthentifizierung aktivieren, und klicken Sie dann auf OK.
Hinzufügen von Host- (A) und Aliasressourcendatensätzen (CNAME) zu DNS
Auf DC1 müssen Sie sicherstellen, dass die folgenden DNS-Datensätze für den Geräteregistrierungsdienst erstellt werden.
Eingabe | type | Adresse |
---|---|---|
adfs1 | Host (A) | IP-Adresse des AD FS-Servers |
enterpriseregistration | Alias (CNAME) | adfs1.contoso.com |
Sie können wie folgt vorgehen, um einen Hostressourcendatensatz (A) zu DNS-Unternehmensnamenservern für den Verbundserver und den Geräteregistrierungsdienst hinzuzufügen.
Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren ausführen können. Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter dem LINK „https://go.microsoft.com/fwlink/?LinkId=83477“ Lokale und Domänenstandardgruppen (https://go.microsoft.com/fwlink/p/?LinkId=83477).
So fügen Sie einen Host (A) und Aliasressourcendatensätze (CNAME) zu DNS für Ihren Verbundserver hinzu
Klicken Sie auf DC1 im Server-Manager im Menü Extras auf DNS, um das DNS-Snap-In zu öffnen.
Erweitern Sie in der Konsolenstruktur DC1 und Forward-Lookupzonen, klicken Sie mit der rechten Maustaste auf contoso.com, und klicken Sie dann auf Neuer Host (A oder AAAA).
Geben Sie unter Name den gewünschten Namen für Ihre AD FS-Farm ein. Verwenden Sie für die exemplarische Vorgehensweise adfs1.
Geben Sie im Feld IP-Adresse die IP-Adresse des ADFS1-Servers ein. Klicken Sie auf Host hinzufügen.
Klicken Sie mit der rechten Maustaste auf contoso.com, und klicken Sie dann auf Neuer Alias (CNAME).
Geben Sie im Dialogfeld Neuer Ressourcendatensatzenterpriseregistration in das Feld Aliasname ein.
Geben Sie das Feld für den vollqualifizierten Domänennamen (FQDN) auf dem Zielhost adfs1.contoso.com ein, und klicken Sie dann auf OK.
Wichtig
Wenn Ihr Unternehmen in einer realen Bereitstellung über mehrere Benutzerprinzipalnamen-Suffixe (User Principal Name, UPN) verfügt, müssen Sie mehrere CNAME-Datensätze erstellen, jeweils einen für die UPN-Suffixe in DNS.
Schritt 3: Konfigurieren des Webservers (WebServ1) und einer anspruchsbasierten Beispielanwendung
Richten Sie einen virtuellen Computer (WebServ1) ein, indem Sie das Betriebssystem Windows Server 2012 R2 installieren und ihn mit der Domäne contoso.com verbinden. Nachdem der Computer der Domäne hinzugefügt ist, können Sie mit der Installation und Konfiguration der Webserverrolle fortfahren.
Zum Abschließen der zu Beginn dieses Themas aufgeführten exemplarischen Vorgehensweisen müssen Sie eine Beispielanwendung haben, die von Ihrem Verbundserver (ADFS1) gesichert wird.
Sie müssen die folgenden Schritte durchführen, um einen Webserver mit dieser anspruchsbasierten Beispielanwendung einzurichten.
Hinweis
Die Schritte wurden auf einem Webserver getestet, auf dem das Betriebssystem Windows Server 2012 R2 ausgeführt wird.
Installieren der Webserverrolle und von Windows Identity Foundation
Erstellen einer Vertrauensstellung der vertrauenden Seite auf dem Verbundserver
Installieren der Webserverrole und von Windows Identity Foundation
-
Hinweis
Sie müssen Zugriff auf die Windows Server 2012 R2-Installationsmedien haben.
Melden Sie sich mit administrator@contoso.com und dem Kennwort pass@word1 bei WebServ1 an.
Klicken Sie im Server-Manager auf der Seite Dashboard auf der Kachel Willkommen in der Registerkarte Schnellstart auf Rollen und Features hinzufügen. Alternativ können Sie im Menü Verwalten auf Rollen und Features hinzufügen klicken.
Klicken Sie auf der Seite Vorbereitung auf Weiter.
Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation, und klicken Sie anschließend auf Weiter.
Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, überprüfen Sie, ob der Zielcomputer ausgewählt ist, und klicken Sie dann auf Weiter.
Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen neben Webserver (IIS), und klicken Sie auf Features hinzufügen und dann auf Weiter.
Wählen Sie auf der Seite Features auswählen die Option Windows Identity Foundation 3.5 aus, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Webserverrolle (IIS) auf Weiter.
Wählen Sie auf der Seite Rollendienste auswählenAnwendungsentwicklung aus, und erweitern Sie die Option. Wählen Sie ASP.NET 3.5 aus, und klicken Sie auf Features hinzufügen und dann auf Weiter.
Klicken Sie auf der Seite Installationsauswahl bestätigen auf Alternativen Quellpfad angeben. Geben Sie den Pfad zum Sxs-Verzeichnis an, das sich auf den Windows Server 2012 R2-Installationsmedien befindet. Beispiel: D:\Sources\Sxs. Klicken Sie auf OK und dann auf Installieren.
Installieren des Windows Identity Foundation SDK
- Führen Sie „WindowsIdentityFoundation-SDK-3.5.msi“ aus, um Windows Identity Foundation SDK 3.5 zu installieren. Wählen Sie alle Standardoptionen aus.
Konfigurieren der einfachen Anspruchsanwendung in IIS
Installieren Sie ein gültiges SSL-Zertifikat im Zertifikatspeicher des Computers. Das Zertifikat sollte den Namen Ihres Webservers, webserv1.contoso.com, enthalten.
Kopieren Sie die Inhalte von C:Program Files (x86)Windows Identity Foundation \SDKv3.5Samples\QuickStart\Web Application\PassiveRedirectBasedClaimsAwareWebApp nach C:\Inetpub\Claimapp.
Bearbeiten Sie die Datei Default.aspx.cs, damit keine Anspruchsfilterung stattfindet. Mit diesem Schritt wird sichergestellt, dass die Beispielanwendung alle Ansprüche anzeigt, die vom Verbundserver ausgegeben werden. Gehen Sie folgendermaßen vor:
Öffenen Sie Default.aspx.cs in einem Text-Editor.
Durchsuchen Sie die Datei nach der zweiten Instanz von
ExpectedClaims
.Kommentieren Sie die gesamte
IF
-Anweisung einschließlich der Klammern aus. Kennzeichnen Sie Kommentare, indem Sie am Anfang einer Zeile „//“ (ohne Anführungszeichen) eingeben.Ihre
FOREACH
-Anweisung sollte jetzt wie im folgenden Codebeispiel aussehen.Foreach (claim claim in claimsIdentity.Claims) { //Before showing the claims validate that this is an expected claim //If it is not in the expected claims list then don't show it //if (ExpectedClaims.Contains( claim.ClaimType ) ) // { writeClaim( claim, table ); //} }
Speichern und schließen Sie Default.aspx.cs.
Öffenen Sie web.config in einem Text-Editor.
Entfernen Sie den gesamten Abschnitt
<microsoft.identityModel>
. Entfernen Sie alles abincluding <microsoft.identityModel>
bis einschließlich</microsoft.identityModel>
.Speichern und schließen Sie web.config.
Konfigurieren des IIS-Managers
Öffnen Sie das Dialogfeld Internetinformationsdienste-Manager.
Navigieren Sie zu Anwendungspools, und klicken Sie mit der rechten Maustasge auf DefaultAppPool, um Erweiterte Einstellungen auszuwählen. Setzen Sie Benutzerprofil laden auf True, und klicken Sie dann auf OK.
Klicken Sie mit der rechten Maustaste auf DefaultAppPool, um Grundeinstellungen auszuwählen. Ändern Sie .NET CLR-Version in .NET CLR Version v2.0.50727.
Klicken Sie mit der rechten Maustaste auf Standardwebsite, um Bindungen bearbeiten auszuwählen.
Fügen Sie eine HTTPS-Bindung zu Port 443 mit dem von Ihnen installierten SSL-Zertifikat hinzu.
Klicken Sie mit der rechten Maustaste auf Standardwebsite, um Anwendung hinzufügen auszuwählen.
Legen Sie den Alias auf claimapp und den physischen Pfad auf c:\inetpub\claimappfest.
Gehen Sie wie folgt vor, um claimapp für die Zusammenarbeit mit Ihrem Verbundserver zu konfigurieren:
Führen Sie das Tool „FedUtil.exe“ aus, das sich in C:\Program Files (x86)\Windows Identity Foundation SDK\SDKv3.5befindet.
Legen Sie den Speicherort für die Anwendungskonfiguration auf C:\inetput\claimapp\web.config fest und setzen Sie die Anwendungs-URI auf die URL Ihrer Website, https://webserv1.contoso.com /claimapp/. Klicke auf Weiter.
Wählen Sie Vorhandenen STS verwenden aus, und navigieren Sie zur Metadaten-URL Ihres AD FS-Servers (https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml). Klicke auf Weiter.
Wählen Sie Überprüfung der Zertifikatkette deaktivieren aus, und klicken Sie dann auf Weiter.
Wählen Sie Keine Verschlüsselung aus, und klicken Sie auf Weiter. Klicken Sie auf der Seite Angebotene Ansprüche auf Weiter.
Aktivieren Sie das Kontrollkästchen neben Planen einer Aufgabe zur Durchführung täglicher WS-Verbundmetadatenupdates. Klicke auf Fertig stellen.
Ihre Beispielanwendung ist jetzt konfiguriert. Wenn Sie die Anwendungs-URL https://webserv1.contoso.com/claimapp testen, sollte diese Sie direkt zu Ihrem Verbundserver umleiten. Der Verbundserver sollte eine Fehlerseite anzeigen, da Sie die Vertrauensstellung der vertrauenden Seite noch nicht konfiguriert haben. Anders gesagt, haben Sie diese Testanwendung nicht durch AD FS gesichert.
Sie müssen jetzt Ihre Beispielanwendung, die auf dem Webserver ausgeführt wird, mit AD FS sichern. Dies erreichen Sie, indem Sie eine Vertrauensstellung der vertrauenden Seite auf Ihrem Verbundserver (ADFS1) hinzufügen.
Erstellen einer Vertrauensstellung der vertrauenden Seite auf dem Verbundserver
Navigieren Sie auf Ihrem Verbundserver (ADFS1) in der AD FS-Verwaltungskonsole zu Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf Vertrauensstellung der vertrauenden Seite hinzufügen.
Wählen Sie auf der Seite Auswählen einer Datenquelle die Option Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren aus, geben Sie die Metadaten-URL für claimapp ein, und klicken Sie dann auf Weiter. Bei der Ausführung von FedUtil.exe wurde eine Metadaten-XML-Datei erstellt. Sie befindet sich unter https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.
Geben Sie auf der Seite Angeben des Anzeigenamens den Anzeigenamen für Ihre Vertrauensstellung der vertrauenden Seite, claimapp, ein, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Jetzt mehrstufige Authentifizierung konfigurieren? die Option Ich möchte jetzt keine mehrstufige Authentifizierungseinstellung für diese Vertrauensstellung der vertrauenden Seite angeben, und klicken Sie auf Weiter.
Wählen Sie auf der Seite Auswählen von Ausstellungsautorisierungsregeln die Option Allen Benutzern Zugriff auf diese vertrauende Seite gewähren, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung auf Weiter.
Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf Regel hinzufügen.
Wählen Sie auf der Seite Auswählen eines Regeltyps die Option Senden von Ansprüchen mit benutzerdefinierter Regel aus, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Konfigurieren einer Anspruchsregel in das Feld Name der AnspruchsregelAll Claims ein. Geben Sie im Feld Benutzerdefinierte Regel die folgende Anspruchsregel ein.
c:[ ] => issue(claim = c);
Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK.
Schritt 4: Konfigurieren des Clientcomputers (Client1)
Richten Sie einen weiteren virtuellen Computer ein, und installieren Sie Windows 8.1. Dieser virtuelle Computer muss sich im selben virtuellen Netzwerk befinden wie die anderen Computer. Dieser Computer sollte NICHT zur Contoso-Domäne hinzugefügt werden.
Der Client MUSS dem SSL-Zertifikat vertrauen, das für den in Step 2: Configure the federation server (ADFS1) with Device Registration Serviceeingerichteten Verbundserver (ADFS1) verwendet wird. Darüber hinaus muss er die Zertifikatsperrinformationen für das Zertifikat validieren können.
Sie müssen außerdem ein Microsoft-Konto einrichten und verwenden, um sich bei Client1 anzumelden.
Weitere Informationen
Active Directory-Verbunddienste (AD FS) How-To Videoreihe: Installieren einer AD FS-Serverfarm Active Directory-Verbunddienste How-To Videoreihe: Aktualisieren von Zertifikaten Active Directory-Verbunddienste How-To Videoreihe: Hinzufügen einer Vertrauensstellung der vertrauenden Seite Active Directory-Verbunddienste How-To Videoreihe: Aktivieren des Geräteregistrierungsdienstes Active Directory-Verbunddienste How-To Videoreihe: Installieren des Webanwendungsproxys