Freigeben über


AD FS-Anforderungen

Im Folgenden sind die Anforderungen für die Bereitstellung von Active Directory-Verbunddiensten (AD FS) aufgeführt:

Zertifikatanforderungen

TLS/SSL-Zertifikate

Jeder AD FS- und Webanwendungsproxyserver verfügt über ein TLS/SSL-Zertifikat für HTTPS-Anforderungen an den Verbunddienst. Der Webanwendungsproxy kann zusätzliche Zertifikate für Dienstanforderungen an veröffentlichte Anwendungen haben.

Empfehlungen für TLS/SSL-Zertifikate

Verwenden Sie dasselbe TLS/SSL-Zertifikat für alle AD FS-Verbundserver und Webanwendungsproxys.

Anforderungen für TLS/SSL-Zertifikate

TLS/SSL-Zertifikate auf Verbundservern müssen die folgenden Anforderungen erfüllen:

  • Das Zertifikat ist allgemein anerkannt (für Produktionsumgebungen).
  • Das Zertifikat muss den EKU-Wert (Enhanced Key Usage, erweiterte Schlüsselverwendung) für die Serverauthentifizierung enthalten.
  • Das Zertifikat muss im Betreff oder im alternativen Antragstellernamen (Subject Alternative Name, SAN) den Namen des Verbunddiensts enthalten (beispielsweise fs.contoso.com).
  • Für die Benutzerzertifikatauthentifizierung am Port 443 enthält das Zertifikat certauth.\<federation service name\>, zum Beispiel certauth.fs.contoso.com im SAN.
  • Für die Geräteregistrierung oder für die moderne Authentifizierung bei lokalen Ressourcen unter Verwendung von Clients vor Windows 10 muss der alternative Antragstellername enterpriseregistration.\<upn suffix\> für jedes in der Organisation verwendete UPN-Suffix (User Principal Name, Benutzerprinzipalname) enthalten.

TLS/SSL-Zertifikate im Webanwendungsproxy müssen die folgenden Anforderungen erfüllen:

  • Wenn der Proxy für AD FS-Anforderungen verwendet wird, die die integrierte Windows-Authentifizierung verwenden, muss das TLS/SSL-Proxyzertifikat identisch sein (denselben Schlüssel verwenden) wie das TLS/SSL-Zertifikat des Verbundservers.
  • Wenn die AD FS-Eigenschaft ExtendedProtectionTokenCheck aktiviert ist (die Standardeinstellung in AD FS), muss das TLS/SSL-Proxyzertifikat identisch sein (denselben Schlüssel verwenden) wie das TLS/SSL-Zertifikat des Verbundservers.
  • Andernfalls entsprechen die Anforderungen für das Proxy-TLS/SSL-Zertifikat den Anforderungen für das TLS/SSL-Zertifikat des Verbundservers.

Dienstkommunikationszertifikat

Dieses Zertifikat ist für die meisten AD FS-Szenarien, einschließlich Microsoft Entra ID und Office 365, nicht erforderlich. Standardmäßig konfiguriert AD FS das TLS/SSL-Zertifikat, das bei der Erstkonfiguration als Dienstkommunikationszertifikat bereitgestellt wird.

Empfehlung für Dienstkommunikationszertifikat

  • Verwenden Sie dasselbe Zertifikat wie für TLS/SSL.

Tokensignaturzertifikat

Dieses Zertifikat wird verwendet, um ausgestellte Token für vertrauende Parteien zu signieren, sodass Anwendungen der vertrauenden Seite das Zertifikat und den zugehörigen Schlüssel als bekannt und vertrauenswürdig erkennen müssen. Wenn sich das Tokensignaturzertifikat ändert, z. B. wenn es abläuft und Sie ein neues Zertifikat konfigurieren, müssen alle vertrauenden Parteien aktualisiert werden.

Empfehlung für Tokensignaturzertifikat

Verwenden Sie die standardmäßigen, intern erzeugten, selbstsignierten Tokensignierungszertifikate von AD FS.

Anforderungen für Token-Signaturzertifikat

  • Wenn Ihre Organisation erfordert, dass Zertifikate aus der Public Key-Infrastruktur des Unternehmens (Public Key Infrastructure, PKI) für die Tokensignierung verwendet werden, können Sie diese Anforderung mithilfe des SigningCertificateThumbprint-Parameters des Cmdlets Install-AdfsFarm erfüllen.
  • Unabhängig davon, ob Sie die intern generierten Standardzertifikate oder extern registrierten Zertifikate verwenden, wenn das Tokensignaturzertifikat geändert wird, müssen Sie sicherstellen, dass alle vertrauenden Parteien mit den neuen Zertifikatinformationen aktualisiert werden. Andernfalls können sich diese vertrauenden Parteien nicht anmelden.

Tokenverschlüsselungs-/Entschlüsselungszertifikat

Dieses Zertifikat wird von Anspruchsanbietern verwendet, die token verschlüsseln, die an AD FS ausgestellt wurden.

Empfehlung für Tokenverschlüsselungs-/Entschlüsselungszertifikat

Verwende die standardmäßigen, intern generierten, selbstsignierten AD FS-Tokenentschlüsselungszertifikate.

Anforderungen für tokenverschlüsselungs-/Entschlüsselungszertifikat

  • Wenn Ihre Organisation erfordert, dass Zertifikate aus der Unternehmens-PKI für die Tokensignierung verwendet werden, können Sie diese Anforderung mithilfe des DecryptingCertificateThumbprint-Parameters des Cmdlets Install-AdfsFarm erfüllen.
  • Unabhängig davon, ob du die intern generierten Standardzertifikate oder extern registrierte Zertifikate verwendest, musst du bei einer Änderung des Tokenentschlüsselungszertifikats sicherstellen, dass alle Anspruchanbieter mit den neuen Zertifikatsinformationen aktualisiert werden. Andernfalls schlägt die Anmeldung mit allen Anspruchsanbietern fehl, die nicht aktualisiert wurden.

Vorsicht

Zertifikate, die für die Tokensignierung und die Verschlüsselung von Token verwendet werden, sind für die Stabilität des Verbunddiensts von entscheidender Bedeutung. Kunden, die ihre eigenen Zertifikate zur Tokensignierung und Tokenentschlüsselung/-verschlüsselung verwalten, sollten sicherstellen, dass diese Zertifikate gesichert und während eines Wiederherstellungsvorgangs unabhängig verfügbar sind.

Benutzerzertifikate

  • Bei Verwendung der X.509-Benutzerzertifikatauthentifizierung mit AD FS müssen alle Benutzerzertifikate zu einer Stammzertifizierungsstelle führen, der AD FS- und Webanwendungsproxy-Server vertrauen.

Hardwareanforderungen

Die Hardwareanforderungen für AD FS und Webanwendungs-Proxy (physisch oder virtuell) hängen von der CPU ab, daher sollten Sie die Größe Ihrer Farm basierend auf der Verarbeitungskapazität anpassen.

Die Speicher- und Datenträgeranforderungen für AD FS sind ziemlich statisch. Die Anforderungen sind in der folgenden Tabelle dargestellt:

Hardwareanforderungen Mindestanforderung Empfohlene Anforderung
Arbeitsspeicher 2 GB 4 GB
Speicherplatz 32 GB 100 GB

SQL Server-Hardwareanforderungen

Wenn Sie Azure SQL für Ihre AD FS-Konfigurationsdatenbank verwenden, sollten Sie die SQL Server-Größe entsprechend den grundlegenden SQL Server-Empfehlungen anpassen. Die Größe der AD FS-Datenbank ist klein, und AD FS belastet die Datenbankinstanz nicht erheblich. AD FS stellt jedoch während einer Authentifizierung mehrmals eine Verbindung mit der Datenbank her, sodass die Netzwerkverbindung robust sein sollte. Leider wird SQL Azure für die AD FS-Konfigurationsdatenbank nicht unterstützt.

Proxyanforderungen

  • Für den Extranetzugriff muss der Webanwendungsproxy-Rollendienst als Teil der Remotezugriffs-Serverrolle bereitgestellt werden.

  • Proxys von Drittanbietern müssen das MS-ADFSPIP Protokoll unterstützen, um als AD FS-Proxy genutzt werden zu können. Eine Liste der Drittanbieter finden Sie in den häufig gestellten Fragen (FAQ) zu AD FS.

  • AD FS 2016 erfordert Webanwendungsproxyserver unter Windows Server 2016. Ein Downlevel-Proxy kann nicht für eine AD FS 2016-Farm konfiguriert werden, die auf der Verhaltensebene der Farm von 2016 läuft.

  • Ein Verbundserver und der Webanwendungsproxy-Rollendienst können nicht auf demselben Computer installiert werden.

AD DS-Anforderungen

Domänencontrolleranforderungen

  • AD FS erfordert Domänencontroller unter Windows Server 2008 oder höher.

  • Für Windows Hello for Business ist mindestens ein Windows Server 2016-Domänencontroller erforderlich.

Hinweis

Alle Unterstützung für Umgebungen mit Windows Server 2003-Domänencontrollern wurde beendet. Weitere Informationen finden Sie in den Microsoft-Lebenszyklusinformationen.

Anforderungen auf Domänenfunktionsebene

  • Alle Benutzerkontodomänen und die Domäne, zu der die AD FS-Server beigetreten sind, müssen auf Domänenfunktionsebene von Windows Server 2003 oder höher ausgeführt werden.

  • Eine Windows Server 2008-Domänenfunktionsebene oder höher ist für die Clientzertifikatauthentifizierung erforderlich, wenn das Zertifikat explizit dem Konto eines Benutzers in AD DS zugeordnet ist.

Schemaanforderungen

  • Neue Installationen von AD FS 2016 erfordern das Active Directory 2016-Schema (Mindestversion 85).

  • Das Erhöhen der AD FS-Farmverhaltensebene (FBL) auf die Ebene 2016 erfordert das Active Directory 2016-Schema (Mindestversion 85).

Dienstkontoanforderungen

  • Jedes Standarddomänenkonto kann als Dienstkonto für AD FS verwendet werden. Gruppenverwaltete Dienstkonten werden ebenfalls unterstützt. Die zur Laufzeit erforderlichen Berechtigungen werden automatisch wieder hinzugefügt, wenn Sie AD FS konfigurieren.

  • Die für das AD-Dienstkonto erforderliche Zuweisung von Benutzerrechten lautet Als Dienst anmelden.

  • Die für NT Service\adfssrv und NT Service\drs erforderlichen Zuweisungen von Benutzerrechten lauten Sicherheitsaudits generieren und Als Dienst anmelden.

  • Gruppenverwaltete Dienstkonten erfordern mindestens einen Domänencontroller unter Windows Server 2012 oder höher. Das gruppenverwaltete Dienstkonto gMSA muss sich unter dem Standardcontainer CN=Managed Service Accounts befinden.

  • Bei der Kerberos-Authentifizierung muss der Dienstprinzipalname "HOST/<adfs\_service\_name>" im AD FS-Dienstkonto registriert werden. Standardmäßig konfiguriert AD FS diese Anforderung beim Erstellen einer neuen AD FS-Farm. Wenn dieser Vorgang fehlschlägt, z. B. wenn es eine Kollision oder unzureichende Berechtigungen gibt, wird eine Warnung angezeigt, und Sie sollten ihn manuell hinzufügen.

Domänenanforderungen

  • Alle AD FS-Server müssen einer AD DS-Domäne beigetreten sein.

  • Alle AD FS-Server innerhalb einer Farm müssen in derselben Domäne bereitgestellt werden.

  • Die Installation des ersten Knotens einer AD FS-Farm hängt davon ab, dass die PDC verfügbar ist.

Anforderungen für mehrere Wälder

  • Die Domäne, der die AD FS-Server beigetreten sind, muss jeder Domäne oder Gesamtstruktur vertrauen, die Benutzer enthält, die sich gegenüber dem AD FS-Dienst authentifizieren.

  • Die Gesamtstruktur, der das AD FS-Dienstkonto angehört, muss allen Gesamtstrukturen für die Benutzeranmeldung vertrauen.

  • Das AD FS-Dienstkonto muss über Berechtigungen zum Lesen von Benutzerattributen in jeder Domäne verfügen, die Benutzer enthält, die sich für den AD FS-Dienst authentifizieren.

Anforderungen an die Konfigurationsdatenbank

In diesem Abschnitt werden die Anforderungen und Einschränkungen für AD FS-Farmen beschrieben, die die Windows Internal Database (WID) oder SQL Server als Datenbank verwenden:

WID

  • Das Artefaktauflösungsprofil von SAML 2.0 wird in einer WID-Farm nicht unterstützt.

  • Die Tokenwiederholungserkennung wird in einer WID-Farm nicht unterstützt. Diese Funktionalität wird nur in Szenarien verwendet, in denen AD FS als Verbundanbieter fungiert und Sicherheitstoken von externen Anspruchsanbietern verwendet.

Die folgende Tabelle enthält eine Zusammenfassung der Anzahl der AD FS-Server, die in einer WID- und einer SQL Server-Farm unterstützt werden.

1–100 Vertrauensstellungen der vertrauenden Seite (RP) Mehr als 100 RP-Stiftungen
1–30 AD FS-Knoten: Von WID unterstützt 1-30 AD FS-Knoten: Nicht unterstützt bei Verwendung von WID – SQL erforderlich
Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich Mehr als 30 AD FS-Knoten: Bei Verwendung von WID nicht unterstützt – SQL erforderlich

SQL Server

  • Für AD FS in Windows Server 2016 werden SQL Server 2008 und höhere Versionen unterstützt.

  • Sowohl die SAML-Artefaktauflösung als auch die Erkennung von Token replay werden in einer SQL Server-Farm unterstützt.

Browseranforderungen

Wenn die AD FS-Authentifizierung über ein Browser- oder Browsersteuerelement ausgeführt wird, muss Ihr Browser die folgenden Anforderungen erfüllen:

  • JavaScript muss aktiviert sein.

  • Für einmaliges Anmelden muss der Clientbrowser so konfiguriert werden, dass Cookies zugelassen werden.

  • Server Name Indication (SNI) muss unterstützt werden.

  • Für die Benutzerzertifikat- und Gerätezertifikatauthentifizierung muss der Browser die TLS/SSL-Clientzertifikatauthentifizierung unterstützen.

  • Für eine nahtlose Anmeldung unter Verwendung der integrierten Windows-Authentifizierung muss der Name des Verbunddiensts (z. B. https:\/\/fs.contoso.com) in der lokalen Intranetzone oder in der Zone vertrauenswürdiger Websites konfiguriert werden.

Netzwerkanforderungen

Firewallanforderungen

Sowohl die Firewalls, die sich zwischen dem Webanwendungsproxy und der Verbundserverfarm befinden, als auch zwischen den Clients und dem Webanwendungsproxy, müssen für eingehenden Datenverkehr auf TCP-Port 443 aktiviert sein.

Außerdem gilt: Wenn eine Clientauthentifizierung mit Benutzerzertifikat (clientTLS-Authentifizierung mit X.509-Benutzerzertifikaten) erforderlich und der Port 443 am Endpunkt für die Zertifikatauthentifizierung nicht aktiviert ist, erfordert AD FS 2016 die Aktivierung des TCP-Ports 49443 für eingehenden Datenverkehr in der Firewall zwischen den Clients und dem Webanwendungsproxy. Diese Anforderung gilt nicht für die Firewall zwischen dem Webanwendungsproxy und den Verbundservern.

Weitere Informationen zu hybriden Portanforderungen finden Sie unter "Erforderliche Hybrididentitätsports und Protokolle".

Weitere Informationen finden Sie unter Bewährte Methoden zum Sichern von Active Directory-Verbunddiensten

DNS-Anforderungen

  • Für den Intranetzugriff müssen alle Clients, die innerhalb des internen Unternehmensnetzwerks (Intranet) auf den AD FS-Dienst zugreifen, dazu in der Lage sein, den Namen des AD FS-Diensts in den Lastenausgleich für die AD FS-Server oder in den AD FS-Server aufzulösen.

  • Für den Extranetzugriff müssen alle Clients, die von außerhalb des Unternehmensnetzwerks (Extranet/Internet) auf den AD FS-Dienst zugreifen, den AD FS-Dienstnamen in den Load Balancer für die Webanwendungs-Proxyserver oder den Webanwendungs-Proxyserver auflösen können.

  • Jeder Webanwendungsproxy-Server in der demilitarisierten Zone (DMZ) muss in der Lage sein, den AD FS-Dienstnamen in das Lastenausgleichsmodul für die bzw. für den AD FS-Server aufzulösen. Sie können diese Konfiguration mithilfe eines alternativen DNS-Servers (Domain Name System) im DMZ-Netzwerk erstellen oder die lokale Serverauflösung mithilfe der HOSTS-Datei ändern.

  • Für die integrierte Windows-Authentifizierung müssen Sie einen DNS-A-Eintrag (nicht CNAME) für den Verbunddienstnamen verwenden.

  • Für die Benutzerzertifikatauthentifizierung am Port 443 muss „certauth.<Verbunddienstname>“ im DNS konfiguriert werden, um die Auflösung in den Verbundserver oder Webanwendungsproxy zu ermöglichen.

  • Für die Geräteregistrierung oder für die moderne Authentifizierung bei lokalen Ressourcen unter Verwendung von Clients vor Windows 10 muss enterpriseregistration.\<upn suffix\> für jedes in der Organisation verwendete UPN-Suffix so konfiguriert werden, dass es in den Verbundserver oder Webanwendungsproxy aufgelöst wird.

Anforderungen an den Lastenausgleich

  • Das Lastenausgleichsmodul darf TLS/SSL nicht beenden. AD FS unterstützt mehrere Anwendungsfälle mit Zertifikatauthentifizierung, die beim Beenden von TLS/SSL unterbrochen werden. Das Beenden von TLS/SSL beim Lastenausgleich wird für jeden Anwendungsfall nicht unterstützt.
  • Verwenden Sie einen Load Balancer, der SNI unterstützt. Andernfalls sollte die Verwendung der Fallbackbindung 0.0.0.0.0 auf Ihrem AD FS- oder Webanwendungsproxy-Server als Problemumgehung funktionieren.
  • Verwenden Sie die HTTP-Integritätstestendpunkte (nicht HTTPS), um Lastenausgleichs-Integritätsprüfungen zum Weiterleiten des Datenverkehrs durchzuführen. Diese Anforderung vermeidet alle Probleme im Zusammenhang mit SNI. Die Antwort auf diese Probeendpunkte ist ein HTTP 200 OK und wird lokal ohne Abhängigkeit von Back-End-Diensten bereitgestellt. Auf den HTTP-Prüfpunkt kann über HTTP über den Pfad "/adfs/probe" zugegriffen werden.
    • http://<Web Application Proxy name>/adfs/probe
    • http://<AD FS server name>/adfs/probe
    • http://<Web Application Proxy IP address>/adfs/probe
    • http://<AD FS IP address>/adfs/probe
  • Es wird nicht empfohlen, DNS-Roundrobin als Methode zum Lastenausgleich zu verwenden. Die Verwendung dieser Art des Lastenausgleichs bietet keine automatische Möglichkeit, einen Knoten mithilfe von Integritätstests aus dem Lastenausgleich zu entfernen.
  • Es wird nicht empfohlen, innerhalb des Lastenausgleichs die IP-basierte Sitzungsaffinität oder persistente Sitzungen für den Authentifizierungsdatenverkehr an AD FS zu verwenden. Sie können eine Überladung bestimmter Knoten verursachen, wenn Sie das Legacyauthentifizierungsprotokoll für E-Mail-Clients verwenden, um eine Verbindung mit Office 365-E-Mail-Diensten (Exchange Online) herzustellen.

Berechtigungsanforderungen

Der Administrator, der die Installation durchführt, und die anfängliche Konfiguration von AD FS muss über lokale Administratorberechtigungen auf dem AD FS-Server verfügen. Wenn der lokale Administrator nicht über berechtigungen zum Erstellen von Objekten in Active Directory verfügt, muss er zuerst über einen Domänenadministrator verfügen, um die erforderlichen AD-Objekte zu erstellen, und konfigurieren Sie dann die AD FS-Farm mit dem Parameter "AdminConfiguration ".