Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan cara mengelola dan menyesuaikan Layanan Federasi Direktori Aktif (AD FS) dengan menggunakan Microsoft Entra Connect.
Anda juga akan mempelajari tentang tugas AD FS umum lainnya yang mungkin perlu Anda lakukan untuk mengonfigurasi farm AD FS. Tugas-tugas ini tercantum dalam tabel berikut:
| Tugas | Deskripsi |
|---|---|
| Mengelola AD FS | |
| Memperbaiki kepercayaan | Pelajari cara memperbaiki kepercayaan federasi dengan Microsoft 365. |
| Menggabungkan dengan Microsoft Entra ID menggunakan ID masuk alternatif | Pelajari cara mengonfigurasi federasi dengan menggunakan ID masuk alternatif. |
| Tambahkan server AD FS | Pelajari cara memperluas farm AD FS dengan server AD FS tambahan. |
| Menambahkan server Proksi Aplikasi Web AD FS (AD FS WAP) | Pelajari cara memperluas farm AD FS (Layanan Federasi Direktori Aktif) dengan menambahkan server WAP. |
| Tambahkan domain terfederasi | Pelajari cara menambahkan domain federasi. |
| Memperbarui sertifikat TLS/SSL | Pelajari cara memperbarui sertifikat TLS/SSL untuk farm Active Directory Federation Services. |
| Kustomisasi AD FS | |
| Menambahkan logo atau ilustrasi perusahaan kustom | Pelajari cara menyesuaikan halaman masuk Layanan Federasi Direktori Aktif (AD FS) dengan logo dan ilustrasi perusahaan. |
| Menambahkan deskripsi masuk | Pelajari cara menambahkan deskripsi halaman masuk. |
| Memodifikasi aturan klaim AD FS | Pelajari cara memodifikasi klaim AD FS untuk berbagai skenario federasi. |
Mengelola AD FS
Anda dapat melakukan berbagai tugas terkait Layanan Federasi Aktif Directory (AD FS) di Microsoft Entra Connect dengan sedikit intervensi pengguna dengan menggunakan wizard Microsoft Entra Connect. Setelah selesai menginstal Microsoft Entra Connect dengan menjalankan wizard, Anda bisa menjalankannya lagi untuk melakukan tugas lain.
Penting
Harap dicatat bahwa jika Anda mengonfigurasi federasi dengan Layanan Federasi Direktori Aktif atau PingFederate, Anda akan memerlukan akun dengan peran administrator global atau akun yang memiliki peran administrator identitas hibrid dan serta peran administrator nama domain dan. Konfigurasi yang terkait dengan federasi memerlukan izin yang saat ini tidak dimiliki oleh administrator identitas gabungan , tetapi peran administrator nama domain memilikinya.
Memperbaiki kepercayaan
Anda dapat menggunakan Microsoft Entra Connect untuk memeriksa kesehatan kepercayaan AD FS dan MICROSOFT Entra ID saat ini lalu mengambil tindakan yang sesuai untuk memperbaiki kepercayaan. Untuk memperbaiki ID Microsoft Entra dan hubungan kepercayaan AD FS Anda, lakukan hal berikut:
Pilih Perbaiki Hubungan Kepercayaan Microsoft Entra ID dan ADFS dari daftar tugas.
Pada halaman Sambungkan ke ID Microsoft Entra, berikan kredensial Administrator Identitas Hibrid Anda untuk ID Microsoft Entra, lalu pilih Berikutnya.
Di halaman Info masuk akses jarak jauh, masukkan info masuk untuk admin domain.
Pilih Selanjutnya.
Microsoft Entra Connect memeriksa kesehatan sertifikat dan menampilkan masalah apa pun.
Halaman Siap dikonfigurasi menampilkan daftar tindakan yang akan dilakukan untuk memperbaiki kepercayaan.
Pilih Instal untuk memperbaiki kepercayaan.
Catatan
Microsoft Entra Connect hanya dapat memperbaiki atau bertindak berdasarkan sertifikat yang ditandatangani sendiri. Microsoft Entra Connect tidak dapat memperbaiki sertifikat pihak ketiga.
Bergabung dengan Microsoft Entra ID memakai alternateID
Kami menyarankan agar Anda menjaga Nama Prinsipal Pengguna (UPN) lokal dan Nama Prinsipal Pengguna cloud tetap sama. Jika UPN lokal menggunakan domain yang tidak dapat dirutekan (misalnya, Contoso.local) atau tidak dapat diubah karena dependensi aplikasi lokal, sebaiknya siapkan ID masuk alternatif. Dengan menggunakan ID masuk alternatif, Anda dapat mengonfigurasi pengalaman masuk di mana pengguna dapat masuk dengan atribut selain UPN mereka, seperti alamat email.
Pilihan UPN di Microsoft Entra Connect default ke atribut userPrincipalName di Direktori Aktif. Jika Anda memilih atribut lain untuk UPN dan melakukan federasi menggunakan AD FS, Microsoft Entra Connect mengonfigurasi AD FS untuk menggunakan ID masuk alternatif.
Contoh memilih atribut yang berbeda untuk UPN diperlihatkan dalam gambar berikut:
Mengonfigurasi identifikasi masuk alternatif untuk Layanan Federasi Direktori Aktif (AD FS) terdiri dari dua langkah utama:
Mengonfigurasi serangkaian klaim penerbitan yang sesuai: Aturan klaim penerbitan dalam kepercayaan pihak yang bergantung pada ID Microsoft Entra dimodifikasi untuk menggunakan atribut UserPrincipalName yang dipilih sebagai ID alternatif pengguna.
Aktifkan ID masuk alternatif dalam konfigurasi AD FS: Konfigurasi AD FS diperbarui sehingga AD FS dapat mencari pengguna di forest yang sesuai dengan menggunakan ID alternatif. Konfigurasi ini didukung untuk Active Directory Federation Services (AD FS) pada Windows Server 2012 R2 (dengan KB2919355) atau yang lebih baru. Jika server Layanan Federasi Direktori Aktif (AD FS) adalah 2012 R2, Microsoft Entra Connect memeriksa keberadaan pembaruan KB yang diperlukan. Jika KB tidak terdeteksi, peringatan ditampilkan setelah konfigurasi selesai, seperti yang ditunjukkan pada gambar berikut:
Jika ada KB yang hilang, Anda dapat memulihkan konfigurasi dengan menginstal KB2919355 yang diperlukan. Anda kemudian dapat mengikuti instruksi dalam memperbaiki kepercayaan.
Catatan
Untuk informasi selengkapnya tentang alternateID dan langkah-langkah untuk mengonfigurasinya secara manual, lihat Mengonfigurasi ID masuk alternatif.
Tambahkan server AD FS
Catatan
Untuk menambahkan server AD FS (Layanan Federasi Direktori Aktif), Microsoft Entra Connect memerlukan sertifikat PFX. Oleh karena itu, Anda dapat melakukan operasi ini hanya jika Anda mengonfigurasi farm AD FS menggunakan Microsoft Entra Connect.
Pilih Sebarkan Server Federasi tambahan, lalu pilih Berikutnya.
Pada halaman Sambungkan ke ID Microsoft Entra, masukkan kredensial Administrator Identitas Hibrid Anda untuk ID Microsoft Entra, lalu pilih Berikutnya.
Berikan info masuk admin domain.
Microsoft Entra Connect meminta kata sandi file PFX yang Anda berikan saat mengonfigurasi farm AD FS (Active Directory Federation Services) baru Anda dengan Microsoft Entra Connect. Pilih Masukkan Kata Sandi untuk menyediakan kata sandi untuk file PFX.
Pada halaman Server Layanan Federasi Direktori Aktif, masukkan nama server atau alamat IP untuk ditambahkan ke farm Layanan Federasi Direktori Aktif.
Pilih Berikutnya, lalu lanjutkan menyelesaikan halaman Konfigurasi akhir.
Setelah Microsoft Entra Connect selesai menambahkan server ke farm AD FS, Anda akan diberi opsi untuk memverifikasi konektivitas.
Tambahkan server WAP AD FS
Catatan
Untuk menambahkan server Web Proksi Aplikasi, Microsoft Entra Connect memerlukan sertifikat PFX. Oleh karena itu, Anda dapat melakukan operasi ini hanya setelah mengonfigurasi farm AD FS dengan menggunakan Microsoft Entra Connect.
Pilih Sebarkan Proksi Aplikasi Web dari daftar tugas yang tersedia.
Berikan kredensial Administrator Identitas Hibrid Azure.
Pada halaman Tentukan sertifikat SSL, berikan kata sandi untuk file PFX yang Anda gunakan saat mengonfigurasi farm AD FS dengan Microsoft Entra Connect.
Tambahkan server yang akan ditambahkan sebagai server WAP. Karena server WAP mungkin tidak bergabung ke domain, wizard meminta kredensial administratif pada server yang sedang ditambahkan.
Pada halaman Kredensial Kepercayaan Proksi, masukkan kredensial administratif untuk mengonfigurasi kepercayaan proksi dan mengakses server utama di farm AD FS.
Pada halaman Siap dikonfigurasi, wizard memperlihatkan daftar tindakan yang akan dilakukan.
Pilih Instal untuk menyelesaikan konfigurasi. Setelah konfigurasi selesai, wizard memberi Anda opsi untuk memverifikasi konektivitas ke server. Pilih Verifikasi untuk memeriksa konektivitas.
Menambahkan domain terfederasi
Sangat mudah untuk menambahkan domain yang akan digabungkan dengan ID Microsoft Entra dengan menggunakan Microsoft Entra Connect. Microsoft Entra Connect menambahkan domain untuk federasi dan memodifikasi aturan klaim untuk mencerminkan pengeluar sertifikat dengan benar saat Anda memiliki beberapa domain yang digabungkan dengan ID Microsoft Entra.
Untuk menambahkan domain federasi, pilih Tambahkan domain Microsoft Entra tambahan.
Pada halaman panduan berikutnya, berikan kredensial Administrator Hibrid untuk ID Microsoft Entra.
Pada halaman Info masuk akses jarak jauh, berikan info masuk admin domain.
Pada halaman berikutnya, wizard menyediakan daftar domain Microsoft Entra yang dapat Anda gabungkan dengan direktori lokal Anda. Pilih domain dari daftar.
Setelah Anda memilih domain, wizard memberi tahu Anda tentang tindakan lebih lanjut yang akan diambil dan dampak konfigurasi. Dalam beberapa kasus, jika Anda memilih domain yang belum diverifikasi di ID Microsoft Entra, wizard membantu Anda memverifikasi domain. Untuk informasi selengkapnya, lihat Menambahkan nama domain kustom Anda ke ID Microsoft Entra.
Pilih Selanjutnya.
Halaman Siap untuk mengonfigurasi mencantumkan tindakan yang akan dilakukan Microsoft Entra Connect.
Pilih Instal untuk menyelesaikan konfigurasi.
Catatan
Pengguna di domain federasi yang ditambahkan harus disinkronkan sebelum mereka dapat masuk ke ID Microsoft Entra.
Mengkustomisasi AD FS
Bagian berikut ini menyediakan detail tentang beberapa tugas umum yang mungkin harus Anda lakukan untuk menyesuaikan halaman masuk AD FS Anda.
Menambahkan logo atau ilustrasi perusahaan kustom
Untuk mengubah logo perusahaan yang ditampilkan di halaman Masuk , gunakan cmdlet dan sintaks PowerShell berikut.
Catatan
Dimensi yang disarankan untuk logo adalah 260 x 35 @ 96 dpi dengan ukuran file tidak lebih besar dari 10 KB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Catatan
Parameter TargetName diperlukan. Tema bawaan yang dirilis dengan AD FS disebut Default.
Tambahkan deskripsi untuk masuk
Untuk menambahkan deskripsi ke Halaman masuk, gunakan cmdlet PowerShell dan sintaks berikut.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Mengubah aturan klaim AD FS
Layanan Federasi Direktori Aktif mendukung bahasa klaim yang lengkap yang dapat Anda gunakan untuk membuat aturan klaim khusus. Untuk informasi selengkapnya, lihat Peran Bahasa Aturan Klaim.
Bagian berikut menjelaskan cara menulis aturan khusus untuk beberapa skenario yang terkait dengan Microsoft Entra ID dan federasi AD FS.
ID yang tidak dapat diubah bergantung pada nilai yang ada di atribut
Microsoft Entra Connect memungkinkan Anda menentukan atribut yang akan digunakan sebagai jangkar sumber saat objek disinkronkan ke ID Microsoft Entra. Jika nilai dalam atribut kustom tidak kosong, Anda mungkin ingin mengeluarkan klaim ID yang tidak dapat diubah.
Misalnya, Anda dapat memilih ms-ds-consistencyguid sebagai atribut untuk jangkar sumber dan menggunakan ImmutableID sebagai ms-ds-consistencyguid jika atribut memiliki nilai terhadapnya. Jika tidak ada nilai terhadap atribut, tetapkan objectGuid sebagai ID yang tidak dapat diubah. Anda dapat membuat set aturan klaim kustom seperti yang dijelaskan di bagian berikut.
Aturan 1: Atribut kueri
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
Dalam aturan ini, Anda mengkueri nilai ms-ds-consistencyguid dan objectGuid untuk pengguna dari Active Directory. Ubah nama toko menjadi nama toko yang sesuai dalam penyebaran Layanan Federasi Direktori Aktif (AD FS) Anda. Ubah juga jenis klaim menjadi jenis klaim yang tepat untuk federasi Anda, seperti yang didefinisikan untuk objectGuid dan ms-ds-consistencyguid.
Selain itu, dengan menggunakan add dan bukan issue, Anda menghindari penambahan masalah keluar untuk entitas, dan dapat menggunakan nilai sebagai nilai perantara. Anda akan mengeluarkan klaim dalam aturan selanjutnya setelah menetapkan nilai mana yang akan digunakan sebagai ID yang tidak dapat diubah.
Aturan 2: Periksa untuk melihat apakah ms-ds-consistencyguid ada untuk pengguna
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Aturan ini menentukan tanda sementara yang disebut idflag, yang diatur ke useguid jika tidak ada ms-ds-consistencyguid yang terisi untuk pengguna tersebut. Logika di balik ini adalah bahwa AD FS tidak mengizinkan klaim kosong. Saat Anda menambahkan klaim http://contoso.com/ws/2016/02/identity/claims/objectguid dan http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid di Aturan 1, Anda akan mendapatkan klaim msdsconsistencyguid hanya jika nilai tersebut terisi untuk pengguna. Jika tidak diisi, AD FS memperhatikan bahwa nilainya kosong dan langsung mengabaikannya. Semua objek akan memiliki objectGuid, sehingga klaim akan selalu ada setelah Aturan 1 dijalankan.
Aturan 3: Terbitkan ms-ds-consistencyguid sebagai ID yang tidak dapat diubah jika ada
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Ini adalah pemeriksaan implisit Exist. Jika nilai untuk klaim ada, terbitkan sebagai ID yang tidak bisa diubah. Contoh sebelumnya menggunakan nameidentifier klaim. Anda harus mengubahnya ke jenis klaim yang sesuai untuk ID yang tidak dapat diubah di lingkungan Anda.
Aturan 4: Menerbitkan objectGuid sebagai ID yang tidak dapat diubah jika ms-ds-consistencyGuid tidak ada
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Dengan aturan ini, Anda hanya memeriksa penanda sementara idflag. Anda memutuskan apakah akan menerbitkan klaim berdasarkan nilainya.
Catatan
Urutan aturan ini penting.
SSO dengan subdomain UPN
Anda dapat menambahkan lebih dari satu domain untuk difederasi dengan menggunakan Microsoft Entra Connect, seperti dijelaskan dalam Menambahkan Domain Federasi Baru. Microsoft Entra Connect versi 1.1.553.0 dan yang lebih baru membuat aturan klaim yang benar untuk issuerID secara otomatis.
Langkah berikutnya
Pelajari selengkapnya tentang opsi masuk pengguna.