Az AD FS üzembe helyezésének követelményei

Cikk
11/09/2015

A következőkre vonatkozik: Azure, Office 365, Power BI, Windows Intune

Ahhoz, hogy egy új AD FS-telepítés sikeresen létrehozhasson egy függő entitás megbízhatóságát Azure AD, először meg kell győződnie arról, hogy a vállalati hálózati infrastruktúra úgy van konfigurálva, hogy támogassa a fiókok, a névfeloldás és a tanúsítványok AD FS-követelményeit. Az AD FS a következő típusú követelményekkel rendelkezik:

Szoftverkövetelmények
Tanúsítványkövetelmények
A hálózatra vonatkozó követelmények

Szoftverkövetelmények

Az AD FS szoftvert minden olyan számítógépre telepíteni kell, amely az összevonási kiszolgáló vagy az összevonási kiszolgáló proxyszerepkörére készül. Ezt a szoftvert az AD FS telepítővarázslóval vagy egy csendes telepítés végrehajtásával telepítheti a parancssorban találhatóadfssetup.exe /quiet paraméterrel.

Alap telepítési platform esetén az AD FS-hez vagy a Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 vagy Windows Server 2012 R2 operációs rendszer szükséges. Az AD FS külön telepítési csomagtal rendelkezik a Windows Server 2008, Windows Server 2008 R2 operációsrendszer-platformokhoz (és ezt gyakran AD FS 2.0-nak is nevezik), vagy az összevonási szolgáltatás kiszolgálói szerepkörének hozzáadásával telepíthető az Windows Server 2012 vagy Windows Server 2012 R2 operációs rendszer részeként.

Ha az AD FS 2.0-t vagy az AD FS-t használja Windows Server 2012, az összevonási kiszolgálóproxykat az SSO-megoldás implementálásának részeként fogja üzembe helyezni és konfigurálni.

Ha az AD FS-t az Windows Server 2012 R2-ben használja, webalkalmazás-proxykat fog üzembe helyezni, hogy konfigurálja az AD FS üzembe helyezését az extranetes hozzáféréshez. Az Windows Server 2012 R2-ben egy webes alkalmazásproxy, amely a távelérési kiszolgálói szerepkör új szerepkör-szolgáltatása, lehetővé teszi az AD FS számára a vállalati hálózaton kívüli kisegítő lehetőségeket. További információt a Webes alkalmazásproxy áttekintésében talál.

Előfeltételek

Az AD FS telepítési folyamata során a telepítővarázsló megpróbálja automatikusan ellenőrizni és szükség esetén telepíteni az előfeltételként szolgáló alkalmazásokat és a függő gyorsjavításokat. A telepítővarázsló a legtöbb esetben telepíti az AD FS működéséhez és telepítéséhez szükséges összes előfeltételt.

Van azonban egy kivétel: amikor az AD FS-t a Windows Server 2008 platformra telepíti (az AD FS 2.0-nak nevezett különálló telepítési csomagként). Ha ez a helyzet az üzembe helyezési helyzetben, először meg kell győződnie arról, hogy a .NET 3.5 SP1 telepítve van a Windows Server 2008 rendszert futtató kiszolgálókra az AD FS 2.0 szoftver telepítése előtt, mivel ez az AD FS 2.0 előfeltétele, és az AD FS 2.0 telepítővarázslója nem telepíti automatikusan ezen a platformon. Ha a .NET 3.5 SP1 nincs telepítve, az AD FS 2.0 telepítővarázsló megakadályozza az AD FS 2.0 szoftver telepítését.

Gyorsjavítások

Az AD FS 2.0 telepítése után telepítenie kell az AD FS 2.0 gyorsjavításokat. További információ: A 2. kumulatív frissítés leírása a Active Directory összevonási szolgáltatások (AD FS) (AD FS) 2.0-s verziójához.

Virtualizáció

Az AD FS támogatja az összevonási kiszolgáló és az összevonási kiszolgáló proxyszerepköreinek szoftvervirtualizálását. A redundancia figyelembevétele érdekében javasoljuk, hogy minden AD FS virtuális gépet külön fizikai virtuális kiszolgálókon tároljon.

A virtuális kiszolgálói környezet Microsoft virtualizálási technológiával történő beállításáról a Hyper-V Első lépések útmutatójában talál további információt.

Tanúsítványkövetelmények

A tanúsítványok a legfontosabb szerepet játszanak az összevonási kiszolgálók, a webalkalmazás-proxyk, az összevonási kiszolgálóproxyk, a felhőszolgáltatás és a webes ügyfelek közötti kommunikáció biztosításában. A tanúsítványok követelményei attól függően változnak, hogy összevonási kiszolgálót, webes alkalmazásproxy vagy összevonási kiszolgálóproxyt állít be az alábbi táblázatokban leírtak szerint.

Összevonási kiszolgálók tanúsítványai

Összevonási kiszolgálókhoz az alábbi táblázatban látható tanúsítványokra van szükség.

Tanúsítvány típusa	Description	Fontos tudnivalók az üzembe helyezés előtt
SSL-tanúsítvány (más néven kiszolgálói hitelesítési tanúsítvány) az AD FS-hez az Windows Server 2012 R2-ben	Ez egy szabványos SSL-tanúsítvány, amely az összevonási kiszolgálók, az ügyfelek, a webes alkalmazásproxy és az összevonási kiszolgálóproxy-számítógépek közötti kommunikáció védelmére szolgál.	Az AD FS megköveteli az SSL-kiszolgáló hitelesítéséhez szükséges tanúsítványt az összevonási kiszolgálófarm összes összevonási kiszolgálóján. Ugyanazt a tanúsítványt kell használni a farm összes összevonási kiszolgálóján. A tanúsítvánnyal és a hozzá tartozó titkos kulccsal egyaránt rendelkeznie kell. Ha például a tanúsítványt és annak titkos kulcsát egy .pfx fájlban találja, a fájlt közvetlenül importálhatja a Active Directory összevonási szolgáltatások (AD FS) Konfiguráció varázslóba. Az SSL-tanúsítványnak a következőket kell tartalmaznia: A tulajdonos és a tulajdonos alternatív nevének tartalmaznia kell az összevonási szolgáltatás nevét, például fs.contoso.com A tulajdonos alternatív nevének tartalmaznia kell az enterpriseregistration értéket, amelyet a szervezet UPN-utótagja követ, például enterpriseregistration.corp.contoso.com
SSL-tanúsítvány (más néven kiszolgálói hitelesítési tanúsítvány) az AD FS örökölt verzióihoz	Ez egy standard Secure Sockets Layercertificate, amely az összevonási kiszolgálók, ügyfelek, webes alkalmazásproxy és összevonási kiszolgálóproxy-számítógépek közötti kommunikáció védelmére szolgál.	Az AD FS az összevonási kiszolgáló beállításainak konfigurálásakor SSL-tanúsítványt igényel. Az AD FS alapértelmezés szerint a Internet Information Services (IIS) alapértelmezett webhelyéhez konfigurált SSL-tanúsítványt használja. Ennek az SSL-tanúsítványnak a tulajdonosneve határozza meg az összevonási szolgáltatás nevét az AD FS minden üzembe helyezett példányához. Ezért érdemes lehet olyan tulajdonosnevet választani minden olyan új hitelesítésszolgáltató által kiadott tanúsítványon, amely a legjobban a vállalat vagy szervezet nevét jelöli a felhőszolgáltatásban, és ennek a névnek internetezhetőnek kell lennie. Például a cikk korábbi részében (lásd a "2. fázist" ismertető ábrán) a tanúsítvány tulajdonosának neve fs.fabrikam.com. Fontos Az AD FS megköveteli, hogy ez az SSL-tanúsítvány ne legyen pont nélküli (rövid névvel rendelkező) tulajdonosnév. Szükséges: Mivel ezt a tanúsítványt az AD FS és a Microsoft felhőszolgáltatásainak ügyfeleinek kell megbízhatónak lenniük, használjon nyilvános (külső) hitelesítésszolgáltató vagy nyilvánosan megbízható legfelső szintű hitelesítésszolgáltató által kiadott SSL-tanúsítványt; például VeriSign vagy Thawte.
Jogkivonat-aláíró tanúsítvány	Ez egy szabványos X.509-tanúsítvány, amely az összevonási kiszolgáló által problémás összes jogkivonat biztonságos aláírására szolgál, és amelyet a felhőszolgáltatás elfogad és érvényesít.	A jogkivonat-aláíró tanúsítványnak tartalmaznia kell egy titkos kulcsot, és a tanúsítványláncának egy megbízható főtanúsítványból kell indulnia az összevonási szolgáltatásban. Az AD FS alapértelmezés szerint létrehoz egy önaláírt tanúsítványt. A szervezet igényeitől függően azonban később az AD FS Management beépülő modullal módosíthatja ezt a hitelesítésszolgáltató által kiadott tanúsítványra. Ajánlás: Használja az AD FS által létrehozott önaláírt jogkivonat-aláíró tanúsítványt. Ezzel az AD FS alapértelmezés szerint kezeli ezt a tanúsítványt. Ha például ez a tanúsítvány lejár, az AD FS létrehoz egy új önaláírt tanúsítványt, amelyet előre használhat.

SSL-tanúsítvány (más néven kiszolgálói hitelesítési tanúsítvány) az AD FS-hez az Windows Server 2012 R2-ben

Ez egy szabványos SSL-tanúsítvány, amely az összevonási kiszolgálók, az ügyfelek, a webes alkalmazásproxy és az összevonási kiszolgálóproxy-számítógépek közötti kommunikáció védelmére szolgál.

Az AD FS megköveteli az SSL-kiszolgáló hitelesítéséhez szükséges tanúsítványt az összevonási kiszolgálófarm összes összevonási kiszolgálóján. Ugyanazt a tanúsítványt kell használni a farm összes összevonási kiszolgálóján. A tanúsítvánnyal és a hozzá tartozó titkos kulccsal egyaránt rendelkeznie kell. Ha például a tanúsítványt és annak titkos kulcsát egy .pfx fájlban találja, a fájlt közvetlenül importálhatja a Active Directory összevonási szolgáltatások (AD FS) Konfiguráció varázslóba. Az SSL-tanúsítványnak a következőket kell tartalmaznia:

A tulajdonos és a tulajdonos alternatív nevének tartalmaznia kell az összevonási szolgáltatás nevét, például fs.contoso.com
A tulajdonos alternatív nevének tartalmaznia kell az enterpriseregistration értéket, amelyet a szervezet UPN-utótagja követ, például enterpriseregistration.corp.contoso.com

SSL-tanúsítvány (más néven kiszolgálói hitelesítési tanúsítvány) az AD FS örökölt verzióihoz

Ez egy standard Secure Sockets Layercertificate, amely az összevonási kiszolgálók, ügyfelek, webes alkalmazásproxy és összevonási kiszolgálóproxy-számítógépek közötti kommunikáció védelmére szolgál.

Az AD FS az összevonási kiszolgáló beállításainak konfigurálásakor SSL-tanúsítványt igényel. Az AD FS alapértelmezés szerint a Internet Information Services (IIS) alapértelmezett webhelyéhez konfigurált SSL-tanúsítványt használja.

Ennek az SSL-tanúsítványnak a tulajdonosneve határozza meg az összevonási szolgáltatás nevét az AD FS minden üzembe helyezett példányához. Ezért érdemes lehet olyan tulajdonosnevet választani minden olyan új hitelesítésszolgáltató által kiadott tanúsítványon, amely a legjobban a vállalat vagy szervezet nevét jelöli a felhőszolgáltatásban, és ennek a névnek internetezhetőnek kell lennie. Például a cikk korábbi részében (lásd a "2. fázist" ismertető ábrán) a tanúsítvány tulajdonosának neve fs.fabrikam.com.

Fontos

Az AD FS megköveteli, hogy ez az SSL-tanúsítvány ne legyen pont nélküli (rövid névvel rendelkező) tulajdonosnév.

Szükséges: Mivel ezt a tanúsítványt az AD FS és a Microsoft felhőszolgáltatásainak ügyfeleinek kell megbízhatónak lenniük, használjon nyilvános (külső) hitelesítésszolgáltató vagy nyilvánosan megbízható legfelső szintű hitelesítésszolgáltató által kiadott SSL-tanúsítványt; például VeriSign vagy Thawte.

Jogkivonat-aláíró tanúsítvány

Ez egy szabványos X.509-tanúsítvány, amely az összevonási kiszolgáló által problémás összes jogkivonat biztonságos aláírására szolgál, és amelyet a felhőszolgáltatás elfogad és érvényesít.

A jogkivonat-aláíró tanúsítványnak tartalmaznia kell egy titkos kulcsot, és a tanúsítványláncának egy megbízható főtanúsítványból kell indulnia az összevonási szolgáltatásban. Az AD FS alapértelmezés szerint létrehoz egy önaláírt tanúsítványt. A szervezet igényeitől függően azonban később az AD FS Management beépülő modullal módosíthatja ezt a hitelesítésszolgáltató által kiadott tanúsítványra.

Ajánlás: Használja az AD FS által létrehozott önaláírt jogkivonat-aláíró tanúsítványt. Ezzel az AD FS alapértelmezés szerint kezeli ezt a tanúsítványt. Ha például ez a tanúsítvány lejár, az AD FS létrehoz egy új önaláírt tanúsítványt, amelyet előre használhat.

Figyelmeztetés

A jogkivonat-aláíró tanúsítvány kritikus fontosságú az összevonási szolgáltatás stabilitása szempontjából. Ha módosul, a felhőszolgáltatást értesíteni kell erről a változásról. Ellenkező esetben a felhőszolgáltatásnak küldött kérések sikertelenek lesznek. Az AD FS összevonási kiszolgálófarm és a felhőszolgáltatás tanúsítványainak kezelésével kapcsolatos további információkért lásd: Megbízhatósági tulajdonságok frissítése.

Proxyszámítógép-tanúsítványok

Az összevonási kiszolgálóproxykhoz az alábbi táblázatban szereplő tanúsítványra van szükség.

Tanúsítvány típusa	Description	Fontos tudnivalók az üzembe helyezés előtt
SSL-tanúsítvány	Ez egy szabványos SSL-tanúsítvány, amely az összevonási kiszolgáló, az összevonási kiszolgálóproxy vagy a webes alkalmazásproxy és az internetes ügyfélszámítógépek közötti kommunikáció védelmére szolgál.	Ez ugyanaz a kiszolgálóhitelesítési tanúsítvány, mint amelyet a vállalati hálózat összevonási kiszolgálói használnak. Ennek a tanúsítványnak ugyanazzal a tulajdonosnévvel kell rendelkeznie, mint a vállalati hálózat összevonási kiszolgálóján konfigurált SSL-tanúsítványnak. Ha az AD FS-t Windows Server 2008-ban vagy Windows Server 2012 használja, telepítenie kell ezt a tanúsítványt az összevonási kiszolgálóproxy-számítógép alapértelmezett webhelyére. Ha az AD FS-t az Windows Server 2012 R2-ben használja, importálnia kell ezt a tanúsítványt a személyes tanúsítványok tárolójába azon a számítógépen, amely a webes alkalmazásproxy fog működni. Ajánlás: Használja ugyanazt a kiszolgálóhitelesítési tanúsítványt, amelyhez az összevonási kiszolgálóproxy vagy a webes alkalmazásproxy csatlakozni fog.

SSL-tanúsítvány

Ez egy szabványos SSL-tanúsítvány, amely az összevonási kiszolgáló, az összevonási kiszolgálóproxy vagy a webes alkalmazásproxy és az internetes ügyfélszámítógépek közötti kommunikáció védelmére szolgál.

Ez ugyanaz a kiszolgálóhitelesítési tanúsítvány, mint amelyet a vállalati hálózat összevonási kiszolgálói használnak. Ennek a tanúsítványnak ugyanazzal a tulajdonosnévvel kell rendelkeznie, mint a vállalati hálózat összevonási kiszolgálóján konfigurált SSL-tanúsítványnak.

Ha az AD FS-t Windows Server 2008-ban vagy Windows Server 2012 használja, telepítenie kell ezt a tanúsítványt az összevonási kiszolgálóproxy-számítógép alapértelmezett webhelyére.

Ha az AD FS-t az Windows Server 2012 R2-ben használja, importálnia kell ezt a tanúsítványt a személyes tanúsítványok tárolójába azon a számítógépen, amely a webes alkalmazásproxy fog működni.

Ajánlás: Használja ugyanazt a kiszolgálóhitelesítési tanúsítványt, amelyhez az összevonási kiszolgálóproxy vagy a webes alkalmazásproxy csatlakozni fog.

Az összevonási kiszolgálók és összevonási kiszolgálóproxyk által használt tanúsítványokkal kapcsolatos további információkért lásd az AD FS 2.0 tervezési útmutatójában vagy Windows Server 2012 AD FS tervezési útmutatójában.

A hálózatra vonatkozó követelmények

A következő hálózati szolgáltatások megfelelő konfigurálása kritikus fontosságú az AD FS sikeres üzembe helyezéséhez a szervezetben.

TCP-/IP-hálózati kapcsolat

Ahhoz, hogy az AD FS működjön, TCP/IP hálózati kapcsolatnak kell lennie az ügyfél, a tartományvezérlők, az összevonási kiszolgálók és az összevonási kiszolgálóproxyk között.

DNS

Az Active Directory kivételével az AD FS működéséhez kritikus fontosságú elsődleges hálózati szolgáltatás a tartománynévrendszer (DNS). Ha a DNS üzembe van helyezve, a felhasználók rövid, könnyen megjegyezhető számítógépneveket használhatnak ahhoz, hogy számítógépekhez vagy más erőforrásokhoz csatlakozzanak IP-hálózatokon.

A DNS AD FS-t támogató frissítésének folyamata a következők konfigurálását foglalja magában:

A vállalati hálózat belső DNS-kiszolgálói a fürt DNS-nevének a vállalati hálózati terheléselosztási gazdagépen konfigurált hálózati terheléselosztási fürt ip-címére való feloldásához. Például a fs.fabrikam.com feloldása a 172.16.1.3-ra.
Szegélyhálózati DNS-kiszolgálók a fürt DNS-nevének a szegélyhálózati hálózati terheléselosztási gazdagépen konfigurált hálózati terheléselosztási fürt IP-címére való feloldásához. Például a fs.fabrikam.com feloldása a 192.0.2.3-ra.

Hálózati terheléselosztási követelmények

A hálózati terheléselosztás szükséges a hibatűrés, a magas rendelkezésre állás és a terheléselosztás biztosításához több csomópont között. Hardverrel, szoftverrel vagy mindkettő kombinációjával implementálható. Konfigurálnia kell a DNS-erőforrásrekordokat az NLB-fürt összevonási szolgáltatásneve alapján, hogy a fürt teljes tartományneve (a jelen cikkben fürt DNS-neve ) a fürt IP-címére legyen feloldva.

A hálózati terheléselosztási fürt IP-címével vagy a fürt teljes tartománynevével kapcsolatos általános információkért lásd a fürtparaméterek megadását ismertető témakört.

Kiterjesztett védelem használata hitelesítéshez

Ha a számítógépei kiterjesztett hitelesítési védelemmel rendelkeznek, és Firefoxot, Chrome-ot vagy Safarit használ, előfordulhat, hogy nem tud bejelentkezni a felhőszolgáltatásba integrált Windows hitelesítéssel a vállalati hálózaton belülről. Ilyen esetben előfordulhat, hogy a felhasználók rendszeresen bejelentkezési kéréseket kapnak. Ennek oka az AD FS alapértelmezett konfigurációja (Windows 7-en és javított ügyféloldali operációs rendszereken) és a kiterjesztett hitelesítési védelem.

Amíg a Firefox, a Chrome és a Safari nem támogatja a kiterjesztett hitelesítés védelmét, az ajánlott beállítás, hogy a felhőszolgáltatást elérő összes ügyfél telepítse és használja Windows Internet Explorer 8-t. Ha egyszeri bejelentkezést szeretne használni a felhőszolgáltatáshoz a Firefox, a Chrome vagy a Safari böngészővel, két további megoldást is figyelembe kell vennie. A fenti megközelítések bármelyikének figyelembe vétele azonban biztonsági aggályokat vethet fel. További információ: Microsoft Security Advisory: Kiterjesztett védelem a hitelesítéshez. A megoldások a következők:

A kiterjesztett hitelesítési védelmi javítások eltávolítása a számítógépről.
A kiterjesztett hitelesítési védelem beállításának módosítása az AD FS-kiszolgálón. További információ: Az AD FS 2.0 speciális beállításainak konfigurálása.
Az AD FS-weblap hitelesítési beállításainak újrakonfigurálása az egyes összevonási kiszolgálókon integrált Windows hitelesítésről űrlapalapú hitelesítésre.

Következő lépés

Most, hogy áttekintette az AD FS üzembe helyezésének követelményeit, a következő lépés a hálózati infrastruktúra előkészítése az összevonási kiszolgálók számára.

Lásd még:

Alapelvek

Ellenőrzőlista: Az AD FS használata egyszeri bejelentkezés implementálásához és kezeléséhez

Megosztás a következőn keresztül: