Mengelola dan menyesuaikan Layanan Federasi Direktori Aktif dengan menggunakan Microsoft Entra Koneksi
Artikel ini menjelaskan cara mengelola dan menyesuaikan Layanan Federasi Direktori Aktif (AD FS) dengan menggunakan Microsoft Entra Koneksi.
Anda juga akan mempelajari tentang tugas AD FS umum lainnya yang mungkin perlu Anda lakukan untuk mengonfigurasi farm Layanan Federasi Direktori Aktif sepenuhnya. Tugas-tugas ini tercantum dalam tabel berikut:
Tugas | Deskripsi |
---|---|
Mangelola Layanan Federasi Direktori Aktif | |
Memperbaiki kepercayaan | Pelajari cara memperbaiki kepercayaan federasi dengan Microsoft 365. |
Federasi dengan ID Microsoft Entra dengan menggunakan ID masuk alternatif | Pelajari cara mengonfigurasi federasi dengan menggunakan ID masuk alternatif. |
Menambahkan server Layanan Federasi Direktori Aktif | Pelajari cara memperluas farm Layanan Federasi Direktori Aktif dengan server LAYANAN Federasi Direktori Aktif tambahan. |
Menambahkan server Proksi Aplikasi Web Layanan Federasi Direktori Aktif (WAP) | Pelajari cara memperluas farm Layanan Federasi Direktori Aktif dengan server WAP tambahan. |
Menambahkan domain federasi | Pelajari cara menambahkan domain federasi. |
Memperbarui sertifikat TLS/SSL | Pelajari cara memperbarui sertifikat TLS/SSL untuk farm Layanan Federasi Direktori Aktif. |
Mengkustomisasi Layanan Federasi Direktori Aktif | |
Menambahkan logo atau ilustrasi perusahaan kustom | Pelajari cara mengkustomisasi halaman masuk Layanan Federasi Direktori Aktif dengan logo dan ilustrasi perusahaan. |
Menambahkan deskripsi masuk | Pelajari cara menambahkan deskripsi halaman masuk. |
Memodifikasi aturan klaim AD FS | Pelajari cara memodifikasi klaim Layanan Federasi Direktori Aktif untuk berbagai skenario federasi. |
Mengelola Layanan Federasi Direktori Aktif
Anda dapat melakukan berbagai tugas terkait Layanan Federasi Direktori Aktif di Microsoft Entra Koneksi dengan intervensi pengguna minimal dengan menggunakan wizard Microsoft Entra Koneksi. Setelah selesai menginstal Microsoft Entra Koneksi dengan menjalankan wizard, Anda bisa menjalankannya lagi untuk melakukan tugas lain.
Memperbaiki kepercayaan
Anda dapat menggunakan Microsoft Entra Koneksi untuk memeriksa kesehatan layanan federasi direktori aktif dan kepercayaan ID Microsoft Entra saat ini lalu mengambil tindakan yang sesuai untuk memperbaiki kepercayaan. Untuk memperbaiki ID Microsoft Entra dan kepercayaan LAYANAN Federasi Direktori Aktif Anda, lakukan hal berikut:
Pilih Perbaiki ID Microsoft Entra dan Kepercayaan ADFS dari daftar tugas.
Pada halaman Koneksi ke ID Microsoft Entra, berikan kredensial Administrator Identitas Hibrid Anda untuk ID Microsoft Entra, lalu pilih Berikutnya.
Di halaman Info masuk akses jarak jauh, masukkan info masuk untuk admin domain.
Pilih Selanjutnya.
Microsoft Entra Koneksi memeriksa kesehatan sertifikat dan menunjukkan masalah apa pun.
Halaman Siap dikonfigurasi menampilkan daftar tindakan yang akan dilakukan untuk memperbaiki kepercayaan.
Pilih Instal untuk memperbaiki kepercayaan.
Catatan
Microsoft Entra Koneksi hanya dapat memperbaiki atau bertindak berdasarkan sertifikat yang ditandatangani sendiri. Microsoft Entra Koneksi tidak dapat memperbaiki sertifikat pihak ketiga.
Federasi dengan MICROSOFT Entra ID dengan menggunakan alternateID
Kami menyarankan agar Anda menjaga Nama Prinsipal Pengguna (UPN) lokal dan Nama Prinsipal Pengguna cloud tetap sama. Jika UPN lokal menggunakan domain yang tidak dapat dirutekan (misalnya, Contoso.local) atau tidak dapat diubah karena dependensi aplikasi lokal, sebaiknya siapkan ID masuk alternatif. Dengan menggunakan ID masuk alternatif, Anda dapat mengonfigurasi pengalaman masuk di mana pengguna dapat masuk dengan atribut selain UPN mereka, seperti alamat email.
Pilihan UPN di Microsoft Entra Koneksi default ke atribut userPrincipalName di Direktori Aktif. Jika Anda memilih atribut lain untuk UPN dan melakukan federasi dengan menggunakan Layanan Federasi Direktori Aktif, Microsoft Entra Koneksi mengonfigurasi LAYANAN Federasi Direktori Aktif untuk ID masuk alternatif.
Contoh memilih atribut yang berbeda untuk UPN diperlihatkan dalam gambar berikut:
Mengonfigurasi ID masuk alternatif untuk Layanan Federasi Direktori Aktif terdiri dari dua langkah utama:
Mengonfigurasi serangkaian klaim penerbitan yang tepat: Aturan klaim penerbitan dalam kepercayaan pihak yang mengandalkan ID Microsoft Entra dimodifikasi untuk menggunakan atribut UserPrincipalName yang dipilih sebagai ID alternatif pengguna.
Aktifkan ID masuk alternatif dalam konfigurasi Layanan Federasi Direktori Aktif: Konfigurasi Layanan Federasi Direktori Aktif diperbarui sehingga Layanan Federasi Direktori Aktif dapat mencari pengguna di forest yang sesuai dengan menggunakan ID alternatif. Konfigurasi ini didukung untuk Layanan Federasi Direktori Aktif pada Windows Server 2012 R2 (dengan KB2919355) atau yang lebih baru. Jika server Layanan Federasi Direktori Aktif adalah 2012 R2, Microsoft Entra Koneksi memeriksa keberadaan KB yang diperlukan. Jika KB tidak terdeteksi, peringatan ditampilkan setelah konfigurasi selesai, seperti yang ditunjukkan pada gambar berikut:
Jika ada KB yang hilang, Anda dapat memulihkan konfigurasi dengan menginstal KB2919355 yang diperlukan. Anda kemudian dapat mengikuti instruksi dalam memperbaiki kepercayaan.
Catatan
Untuk informasi selengkapnya tentang alternateID dan langkah-langkah untuk mengonfigurasinya secara manual, lihat Mengonfigurasi ID masuk alternatif.
Menambahkan server Layanan Federasi Direktori Aktif
Catatan
Untuk menambahkan server LAYANAN Federasi Direktori Aktif, Microsoft Entra Koneksi memerlukan sertifikat PFX. Oleh karena itu, Anda dapat melakukan operasi ini hanya jika Mengonfigurasi farm Layanan Federasi Direktori Aktif dengan menggunakan Microsoft Entra Koneksi.
Pilih Sebarkan Server Federasi tambahan, lalu pilih Berikutnya.
Pada halaman Koneksi ke ID Microsoft Entra, masukkan kredensial Administrator Identitas Hibrid Anda untuk ID Microsoft Entra, lalu pilih Berikutnya.
Berikan info masuk admin domain.
Microsoft Entra Koneksi meminta kata sandi file PFX yang Anda berikan saat mengonfigurasi farm Layanan Federasi Direktori Aktif baru Anda dengan Microsoft Entra Koneksi. Pilih Masukkan Kata Sandi untuk menyediakan kata sandi untuk file PFX.
Pada halaman Server Layanan Federasi Direktori Aktif, masukkan nama server atau alamat IP untuk ditambahkan ke farm Layanan Federasi Direktori Aktif.
Pilih Berikutnya, lalu lanjutkan menyelesaikan halaman Konfigurasi akhir.
Setelah Microsoft Entra Koneksi selesai menambahkan server ke farm Layanan Federasi Direktori Aktif, Anda akan diberi opsi untuk memverifikasi konektivitas.
Menambahkan server WAP Layanan Federasi Direktori Aktif
Catatan
Untuk menambahkan server Web Proksi Aplikasi, Microsoft Entra Koneksi memerlukan sertifikat PFX. Oleh karena itu, Anda dapat melakukan operasi ini hanya setelah mengonfigurasi farm Layanan Federasi Direktori Aktif dengan menggunakan Microsoft Entra Koneksi.
Pilih Sebarkan Proksi Aplikasi Web dari daftar tugas yang tersedia.
Berikan kredensial Administrator Identitas Hibrid Azure.
Pada halaman Tentukan sertifikat SSL, berikan kata sandi untuk file PFX yang Anda berikan saat mengonfigurasi farm Layanan Federasi Direktori Aktif dengan Microsoft Entra Koneksi.
Tambahkan server yang akan ditambahkan sebagai server WAP. Karena server WAP mungkin tidak bergabung ke domain, wizard meminta info masuk administratif ke server yang sedang ditambahkan.
Pada halaman Info masuk kepercayaan proksi, berikan info masuk administratif untuk mengonfigurasi kepercayaan proksi dan mengakses server utama di farm Layanan Federasi Direktori Aktif.
Pada halaman Siap dikonfigurasi, wizard memperlihatkan daftar tindakan yang akan dilakukan.
Pilih Instal untuk menyelesaikan konfigurasi. Setelah konfigurasi selesai, wizard memberi Anda opsi untuk memverifikasi konektivitas ke server. Pilih Verifikasi untuk memeriksa konektivitas.
Menambahkan domain federasi
Sangat mudah untuk menambahkan domain yang akan digabungkan dengan ID Microsoft Entra dengan menggunakan Microsoft Entra Koneksi. Microsoft Entra Koneksi menambahkan domain untuk federasi dan memodifikasi aturan klaim untuk mencerminkan pengeluar sertifikat dengan benar saat Anda memiliki beberapa domain yang digabungkan dengan ID Microsoft Entra.
Untuk menambahkan domain federasi, pilih Tambahkan domain Microsoft Entra tambahan.
Pada halaman panduan berikutnya, berikan kredensial administrator global untuk ID Microsoft Entra.
Pada halaman Info masuk akses jarak jauh, berikan info masuk admin domain.
Pada halaman berikutnya, wizard menyediakan daftar domain Microsoft Entra yang dapat Anda gabungkan dengan direktori lokal Anda. Pilih domain dari daftar.
Setelah Anda memilih domain, wizard memberi tahu Anda tentang tindakan lebih lanjut yang akan diambil dan dampak konfigurasi. Dalam beberapa kasus, jika Anda memilih domain yang belum diverifikasi di ID Microsoft Entra, wizard membantu Anda memverifikasi domain. Untuk informasi selengkapnya, lihat Menambahkan nama domain kustom Anda ke ID Microsoft Entra.
Pilih Selanjutnya.
Halaman Siap untuk mengonfigurasi mencantumkan tindakan yang akan dilakukan microsoft Entra Koneksi.
Pilih Instal untuk menyelesaikan konfigurasi.
Catatan
Pengguna di domain federasi yang ditambahkan harus disinkronkan sebelum mereka dapat masuk ke ID Microsoft Entra.
Mengkustomisasi Layanan Federasi Direktori Aktif
Bagian berikut ini menyediakan detail tentang beberapa tugas umum yang mungkin harus Anda lakukan untuk mengkustomisasi halaman masuk Layanan Federasi Direktori Aktif Anda.
Menambahkan logo atau ilustrasi perusahaan kustom
Untuk mengubah logo perusahaan yang ditampilkan di halaman Masuk , gunakan cmdlet dan sintaks PowerShell berikut.
Catatan
Dimensi yang disarankan untuk logo adalah 260 x 35 @ 96 dpi dengan ukuran file tidak lebih besar dari 10 KB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Catatan
Parameter TargetName diperlukan. Tema default yang dirilis dengan Layanan Federasi Direktori Aktif diberi nama Default.
Menambahkan deskripsi masuk
Untuk menambahkan deskripsi halaman masuk ke halaman Masuk, gunakan cmdlet dan sintaks PowerShell berikut ini.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Mengubah aturan klaim Layanan Federasi Direktori Aktif
Layanan Federasi Direktori Aktif mendukung bahasa klaim yang kaya yang dapat Anda gunakan untuk membuat aturan klaim kustom. Untuk informasi selengkapnya, lihat Peran Bahasa Aturan Klaim.
Bagian berikut ini menjelaskan cara menulis aturan kustom untuk beberapa skenario yang terkait dengan ID Microsoft Entra dan federasi LAYANAN Federasi Direktori Aktif.
ID yang tidak dapat diubah bergantung pada nilai yang ada di atribut
Microsoft Entra Koneksi memungkinkan Anda menentukan atribut yang akan digunakan sebagai jangkar sumber saat objek disinkronkan ke ID Microsoft Entra. Jika nilai dalam atribut kustom tidak kosong, Anda mungkin ingin mengeluarkan klaim ID yang tidak dapat diubah.
Misalnya, Anda dapat memilih ms-ds-consistencyguid
sebagai atribut untuk jangkar sumber dan menerbitkan ImmutableID karena ms-ds-consistencyguid
jika atribut memiliki nilai terhadapnya. Jika tidak ada nilai terhadap atribut , masalah objectGuid
sebagai ID yang tidak dapat diubah. Anda dapat membuat set aturan klaim kustom seperti yang dijelaskan di bagian berikut.
Aturan 1: Atribut kueri
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
Dalam aturan ini, Anda mengkueri ms-ds-consistencyguid
nilai dan objectGuid
untuk pengguna dari Direktori Aktif. Ubah nama penyimpanan menjadi nama penyimpanan yang sesuai di penyebaran Layanan Federasi Direktori Aktif Anda. Ubah juga jenis klaim menjadi jenis klaim yang tepat untuk federasi Anda, seperti yang didefinisikan untuk objectGuid
dan ms-ds-consistencyguid
.
Selain itu, dengan menggunakan add
dan bukan issue
, Anda menghindari penambahan masalah keluar untuk entitas, dan dapat menggunakan nilai sebagai nilai perantara. Anda akan mengeluarkan klaim dalam aturan selanjutnya setelah menetapkan nilai mana yang akan digunakan sebagai ID yang tidak dapat diubah.
Aturan 2: Periksa untuk melihat apakah ms-ds-consistencyguid ada untuk pengguna
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Aturan ini menentukan bendera sementara yang disebut idflag
yang diatur ke useguid
jika tidak ms-ds-consistencyguid
ada yang diisi untuk pengguna. Logika di balik ini adalah bahwa Layanan Federasi Direktori Aktif tidak mengizinkan klaim kosong. Saat Anda menambahkan klaim http://contoso.com/ws/2016/02/identity/claims/objectguid
dan http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid
di Aturan 1, Anda berakhir dengan klaim msdsconsistencyguid hanya jika nilai diisi untuk pengguna. Jika tidak diisi, Layanan Federasi Direktori Aktif melihat bahwa AD FS akan memiliki nilai kosong dan segera menghapusnya. Semua objek akan memiliki objectGuid
, sehingga klaim akan selalu ada setelah Aturan 1 dijalankan.
Aturan 3: Terbitkan ms-ds-consistencyguid sebagai ID yang tidak dapat diubah jika ada
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Ini adalah pemeriksaan implisit Exist
. Jika nilai untuk klaim ada, terbitkan sebagai ID yang tidak dapat diubah. Contoh sebelumnya menggunakan nameidentifier
klaim. Anda harus mengubahnya ke jenis klaim yang sesuai untuk ID yang tidak dapat diubah di lingkungan Anda.
Aturan 4: Menerbitkan objectGuid sebagai ID yang tidak dapat diubah jika ms-ds-consistencyGuid tidak ada
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Dengan aturan ini, Anda hanya memeriksa bendera idflag
sementara . Anda memutuskan apakah akan menerbitkan klaim berdasarkan nilainya.
Catatan
Urutan aturan ini penting.
SSO dengan UPN subdomain
Anda dapat menambahkan lebih dari satu domain untuk digabungkan dengan menggunakan Microsoft Entra Koneksi, seperti yang dijelaskan dalam Menambahkan domain federasi baru. Microsoft Entra Koneksi versi 1.1.553.0 dan yang lebih baru membuat aturan klaim yang benar untuk issuerID
secara otomatis. Jika Anda tidak dapat menggunakan Microsoft Entra Koneksi versi 1.1.553.0 atau yang lebih baru, kami sarankan Anda menggunakan alat Aturan Klaim Microsoft Entra RPT untuk menghasilkan dan menetapkan aturan klaim yang benar untuk kepercayaan pihak yang mengandalkan ID Microsoft Entra.
Langkah berikutnya
Pelajari selengkapnya tentang opsi masuk pengguna.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk