Az AD FS kezelése és testreszabása a Microsoft Entra Connect használatával
Ez a cikk a Active Directory összevonási szolgáltatások (AD FS) (AD FS) Microsoft Entra Connect használatával történő kezelését és testreszabását ismerteti.
Megismerkedhet az AD FS-farmok teljes konfigurálásához szükséges egyéb gyakori AD FS-feladatokkal is. Ezek a tevékenységek a következő táblázatban találhatók:
| Feladatok | Leírás |
|---|---|
| AD FS kezelése | |
| A megbízhatóság javítása | Megtudhatja, hogyan javíthatja az összevonási megbízhatóságot a Microsoft 365-ben. |
| Microsoft Entra-azonosítóval való összevonás alternatív bejelentkezési azonosítóval | Megtudhatja, hogyan konfigurálhatja az összevonást egy alternatív bejelentkezési azonosító használatával. |
| AD FS-kiszolgáló hozzáadása | Megtudhatja, hogyan bővíthet egy AD FS-farmot egy további AD FS-kiszolgálóval. |
| AD FS webes alkalmazásproxy (WAP) kiszolgáló hozzáadása | Megtudhatja, hogyan bővíthet egy AD FS-farmot egy további WAP-kiszolgálóval. |
| Összevont tartomány hozzáadása | Megtudhatja, hogyan vehet fel összevont tartományt. |
| A TLS/SSL-tanúsítvány frissítése | Megtudhatja, hogyan frissítheti egy AD FS-farm TLS/SSL-tanúsítványát. |
| Az AD FS testreszabása | |
| Egyéni vállalati embléma vagy ábra hozzáadása | Megtudhatja, hogyan szabhat testre egy AD FS bejelentkezési oldalt céges emblémával és illusztrációval. |
| Bejelentkezési leírás hozzáadása | Megtudhatja, hogyan adhat hozzá bejelentkezési oldalleírást. |
| AD FS-jogcímszabályok módosítása | Megtudhatja, hogyan módosíthatja az AD FS-jogcímeket a különböző összevonási forgatókönyvekhez. |
AD FS kezelése
A Microsoft Entra Connectben a Microsoft Entra Connect varázslóval minimális felhasználói beavatkozással elvégezhet különböző AD FS-sel kapcsolatos feladatokat. Miután befejezte a Microsoft Entra Connect telepítését a varázsló futtatásával, újra futtathatja más feladatok végrehajtásához.
A megbízhatóság javítása
A Microsoft Entra Connect használatával ellenőrizheti az AD FS és a Microsoft Entra ID megbízhatóságának aktuális állapotát, majd megfelelő műveleteket végezhet a megbízhatóság helyreállításához. A Microsoft Entra-azonosító és az AD FS megbízhatóságának javításához tegye a következőket:
A feladatok listájában válassza a Microsoft Entra-azonosító és az ADFS-megbízhatóság javítása lehetőséget.
A Csatlakozás a Microsoft Entra-azonosítóhoz lapon adja meg a Hibrid identitásadminisztrátori hitelesítő adatait a Microsoft Entra-azonosítóhoz, majd válassza a Tovább gombot.
A Távelérés hitelesítő adatai lapon adja meg a tartományi rendszergazda hitelesítő adatait.
Válassza a Tovább lehetőséget.
A Microsoft Entra Connect ellenőrzi a tanúsítvány állapotát, és megjeleníti az esetleges problémákat.
A Konfigurálásra kész lapon láthatók a megbízhatóság javítása érdekében végrehajtandó műveletek.
Válassza a Telepítés lehetőséget a megbízhatóság helyreállításához.
Feljegyzés
A Microsoft Entra Connect csak önaláírt tanúsítványokat képes kijavítani vagy végrehajtani. A Microsoft Entra Connect nem tudja kijavítani a külső tanúsítványokat.
A Microsoft Entra-azonosítóval való összevonás alternatív AZONOSÍTÓ használatával
Javasoljuk, hogy a helyszíni felhasználónevet (UPN) és a felhőbeli egyszerű felhasználónevet tartsa ugyanazzal a névvel. Ha a helyszíni UPN nem módosítható tartományt használ (például Contoso.local), vagy a helyi alkalmazásfüggőségek miatt nem módosítható, javasoljuk egy alternatív bejelentkezési azonosító beállítását. Egy másik bejelentkezési azonosító használatával olyan bejelentkezési felületet konfigurálhat, amelyben a felhasználók az UPN-ükön kívül más attribútummal, például e-mail-címmel is bejelentkezhetnek.
A Microsoft Entra Connectben az UPN alapértelmezés szerint az Active Directory userPrincipalName attribútumának felel meg. Ha az UPN bármely más attribútumát választja, és az AD FS használatával összevont, a Microsoft Entra Connect konfigurálja az AD FS-t egy alternatív bejelentkezési azonosítóhoz.
Az UPN másik attribútumának kiválasztására az alábbi képen látható példa:
Az alternatív bejelentkezési azonosító konfigurálása az AD FS-hez két fő lépésből áll:
A kiállítási jogcímek megfelelő halmazának konfigurálása: A Microsoft Entra ID függő entitás megbízhatóságának kiállítási jogcímszabályai úgy módosulnak, hogy a kiválasztott UserPrincipalName attribútumot használják a felhasználó alternatív azonosítójaként.
Alternatív bejelentkezési azonosító engedélyezése az AD FS-konfigurációban: Az AD FS konfigurációja frissül, hogy az AD FS az alternatív azonosítóval megkereshesse a megfelelő erdők felhasználóit. Ez a konfiguráció támogatott a Windows Server 2012 R2 AD FS-ben (KB2919355) vagy újabb verzióiban. Ha az AD FS-kiszolgálók 2012 R2-nek számítanak, a Microsoft Entra Connect ellenőrzi a szükséges kb meglétét. Ha a rendszer nem észleli a tudásbázist, a konfiguráció befejezése után figyelmeztetés jelenik meg, ahogy az alábbi képen látható:
Ha hiányzik a tudásbázis, a konfigurációt a szükséges KB2919355 telepítésével orvosolhatja. Ezután a megbízhatóság javításához kövesse az utasításokat.
Feljegyzés
Az alternatív azonosítóról és a manuális konfigurálás lépéseiről további információt az alternatív bejelentkezési azonosító konfigurálása című témakörben talál.
AD FS-kiszolgáló hozzáadása
Feljegyzés
AD FS-kiszolgáló hozzáadásához a Microsoft Entra Connectnek PFX-tanúsítványra van szüksége. Ezért ezt a műveletet csak akkor hajthatja végre, ha az AD FS-farmot a Microsoft Entra Connect használatával konfigurálta.
Válassza a További összevonási kiszolgáló üzembe helyezése, majd a Tovább gombot.
A Csatlakozás a Microsoft Entra-azonosítóhoz lapon adja meg a Microsoft Entra ID hibrid identitásadminisztrátori hitelesítő adatait, majd válassza a Tovább gombot.
Adja meg a tartományi rendszergazda hitelesítő adatait.
A Microsoft Entra Connect az új AD FS-farm Microsoft Entra Connecttel való konfigurálásakor megadott PFX-fájl jelszavát kéri. A PFX-fájl jelszavának megadásához válassza az Enter Password (Jelszó megadása) lehetőséget.
Az AD FS-kiszolgálók lapon adja meg az AD FS-farmhoz hozzáadni kívánt kiszolgálónevet vagy IP-címet.
Válassza a Tovább lehetőséget, majd folytassa a végleges Konfigurálás lap befejezését.
Miután a Microsoft Entra Connect befejezte a kiszolgálók AD FS-farmhoz való hozzáadását, lehetősége lesz ellenőrizni a kapcsolatot.
AD FS WAP-kiszolgáló hozzáadása
Feljegyzés
Webes alkalmazásproxy-kiszolgáló hozzáadásához a Microsoft Entra Connectnek PFX-tanúsítványra van szüksége. Ezért ezt a műveletet csak akkor hajthatja végre, ha konfigurálta az AD FS-farmot a Microsoft Entra Connect használatával.
Válassza a Webes alkalmazásproxy üzembe helyezése lehetőséget az elérhető feladatok listájából.
Adja meg az Azure Hybrid Identity Administrator hitelesítő adatait.
Az SSL-tanúsítvány megadása lapon adja meg az AD FS-farm Microsoft Entra Connecttel való konfigurálásakor megadott PFX-fájl jelszavát.
Adja hozzá a WAP-kiszolgálóként hozzáadni kívánt kiszolgálót. Mivel előfordulhat, hogy a WAP-kiszolgáló nem csatlakozik a tartományhoz, a varázsló rendszergazdai hitelesítő adatokat kér a hozzáadandó kiszolgálóhoz.
A Proxy megbízhatósági hitelesítő adatai lapon adjon meg rendszergazdai hitelesítő adatokat a proxy megbízhatóságának konfigurálásához és az elsődleges kiszolgáló eléréséhez az AD FS-farmban.
A konfigurálásra kész lapon a varázsló megjeleníti a végrehajtandó műveletek listáját.
A konfiguráció befejezéséhez válassza a Telepítés lehetőséget. A konfiguráció befejezése után a varázsló lehetővé teszi a kiszolgálókhoz való kapcsolódás ellenőrzését. Válassza az Ellenőrzés lehetőséget a kapcsolat ellenőrzéséhez.
Összevont tartomány hozzáadása
A Microsoft Entra Connect használatával egyszerűen felvehet egy, a Microsoft Entra ID-val összevonandó tartományt. A Microsoft Entra Connect hozzáadja az összevonási tartományt, és módosítja a jogcímszabályokat, hogy megfelelően tükrözzék a kiállítót, ha több tartományt összevont a Microsoft Entra-azonosítóval.
Összevont tartomány hozzáadásához válassza a További Microsoft Entra-tartomány hozzáadása lehetőséget.
A varázsló következő lapján adja meg a Microsoft Entra-azonosító hibrid rendszergazdai hitelesítő adatait.
A Távelérés hitelesítő adatai lapon adja meg a tartományi rendszergazda hitelesítő adatait.
A következő lapon a varázsló felsorolja azokat a Microsoft Entra-tartományokat, amelyekkel összevonhatja a helyszíni címtárat. Válassza ki a tartományt a listában.
A tartomány kiválasztása után a varázsló tájékoztatja a további műveletekről, valamint a konfiguráció hatásáról. Bizonyos esetekben, ha olyan tartományt választ ki, amely még nincs ellenőrizve a Microsoft Entra-azonosítóban, a varázsló segít ellenőrizni a tartományt. További információ: Egyéni tartománynév hozzáadása a Microsoft Entra-azonosítóhoz.
Válassza a Tovább lehetőséget.
A Konfigurálásra kész lap felsorolja a Microsoft Entra Connect által végrehajtandó műveleteket.
A konfiguráció befejezéséhez válassza a Telepítés lehetőséget.
Feljegyzés
A hozzáadott összevont tartományban lévő felhasználókat szinkronizálni kell, mielőtt bejelentkezhetnek a Microsoft Entra-azonosítóba.
Az AD FS testreszabása
Az alábbi szakaszok részletesen ismertetik az AD FS bejelentkezési oldal testreszabásához esetleg végrehajtandó gyakori feladatokat.
Egyéni vállalati embléma vagy ábra hozzáadása
A bejelentkezési lapon megjelenő vállalat emblémájának módosításához használja az alábbi PowerShell-parancsmagot és szintaxist.
Feljegyzés
Az embléma ajánlott méretei 260 x 35 @ 96 dpi méretűek, fájlmérete nem nagyobb, mint 10 KB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Feljegyzés
A TargetName paraméter megadása kötelező. Az AD FS-ben kiadott alapértelmezett téma neve Alapértelmezett.
Bejelentkezési leírás hozzáadása
A bejelentkezési oldal leírásának a bejelentkezési laphoz való hozzáadásához használja az alábbi PowerShell-parancsmagot és szintaxist.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
AD FS-jogcímszabályok módosítása
Az AD FS támogatja az egyéni jogcímszabályok létrehozásához használható, gazdag jogcímnyelvet. További információ: A jogcímszabály nyelvének szerepe.
A következő szakaszok bemutatják, hogyan írhat egyéni szabályokat bizonyos, a Microsoft Entra ID és az AD FS összevonásához kapcsolódó forgatókönyvekhez.
Nem módosítható azonosító feltétele az attribútumban lévő értékhez
A Microsoft Entra Connect lehetővé teszi egy attribútum megadását, amely forráshorgonyként használható az objektumok Microsoft Entra-azonosítóval való szinkronizálásakor. Ha az egyéni attribútum értéke nem üres, előfordulhat, hogy nem módosítható azonosító jogcímet szeretne kibocsátani.
Választhat például a forráshorgony attribútumaként, ms-ds-consistencyguid és az ImmutableID-et is kiadhatja, mintha ms-ds-consistencyguid az attribútum értéke lenne ellene. Ha nincs érték az attribútummal szemben, akkor a probléma objectGuid nem módosítható azonosító. Az egyéni jogcímszabályok készletét az alábbi szakaszban leírtak szerint hozhatja létre.
1. szabály: Lekérdezési attribútumok
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
Ebben a szabályban a felhasználó és a felhasználó értékeit ms-ds-consistencyguid objectGuid kérdezi le az Active Directoryból. Módosítsa az áruház nevét egy megfelelő tárolónévre az AD FS-példányban. Módosítsa a jogcímtípust az összevonás megfelelő jogcímtípusára is, a megadott objectGuid és ms-ds-consistencyguida .
Emellett elkerülheti, add issuehogy kimenő problémát adjon hozzá az entitáshoz, és köztes értékként is használhatja az értékeket. A jogcímet egy későbbi szabályban fogja kiadni, miután meghatározta, hogy melyik értéket használja megváltoztathatatlan azonosítóként.
2. szabály: Ellenőrizze, hogy létezik-e ms-ds-konzisztenciaguid a felhasználó számára
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Ez a szabály egy ideiglenes jelzőt határoz meg, amelynek az a beállítása idflag useguid , hogy nincs-e ms-ds-consistencyguid feltöltve a felhasználó számára. Ennek logikája az, hogy az AD FS nem engedélyezi az üres jogcímeket. Amikor jogcímeket http://contoso.com/ws/2016/02/identity/claims/objectguid ad hozzá, és http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid az 1. szabályban csak akkor lesz msdsconsistencyguid jogcím, ha az érték fel van töltve a felhasználó számára. Ha nincs feltöltve, az AD FS azt látja, hogy üres értéket fog kapni, és azonnal elveti. Minden objektum rendelkezik objectGuid, így a jogcím mindig ott lesz az 1. szabály végrehajtása után.
3. szabály: Az ms-ds-konzisztencia nem módosítható azonosítóként való kiadása, ha az jelen van
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Ez egy implicit Exist ellenőrzés. Ha a jogcím értéke létezik, adja ki nem módosítható azonosítóként. Az előző példa a jogcímet nameidentifier használja. Ezt a környezet nem módosítható azonosítójának megfelelő jogcímtípusra kell módosítania.
4. szabály: Az objectGuid nem módosítható azonosítóként való kiadása, ha az ms-ds-consistencyGuid nincs jelen
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Ezzel a szabálysal egyszerűen az ideiglenes jelzőt idflagellenőrzi. Ön dönti el, hogy az érték alapján adja-e ki a jogcímet.
Feljegyzés
A szabályok sorrendje fontos.
Egyszeri bejelentkezés egy altartomány UPN-jével
Egynél több összevont tartományt is hozzáadhat a Microsoft Entra Connect használatával, az Új összevont tartomány hozzáadása című cikkben leírtak szerint. A Microsoft Entra Connect 1.1.553.0-s és újabb verziói automatikusan létrehozzák a megfelelő jogcímszabályt issuerID . Ha nem tudja használni a Microsoft Entra Connect 1.1.553.0-s vagy újabb verzióját, javasoljuk, hogy a Microsoft Entra RPT jogcímszabályok eszközzel hozzon létre és állítson be helyes jogcímszabályokat a Microsoft Entra ID függő entitás megbízhatóságához.
Következő lépések
További információ a felhasználói bejelentkezési lehetőségekről.