Lampiran A: Meninjau Persyaratan Layanan Federasi Direktori Aktif
Sehingga mitra organisasi dalam penyebaran Layanan Federasi Direktori Aktif (AD FS) Anda dapat berkolaborasi dengan sukses, Anda harus terlebih dahulu memastikan bahwa infrastruktur jaringan perusahaan Anda dikonfigurasi untuk mendukung persyaratan LAYANAN Federasi Direktori Aktif untuk akun, resolusi nama, dan sertifikat. Layanan Federasi Direktori Aktif memiliki jenis persyaratan berikut:
Tip
Anda dapat menemukan tautan sumber daya Layanan Federasi Direktori Aktif tambahan di Memahami Konsep Ad FS Kunci.
Persyaratan perangkat keras
Persyaratan perangkat keras minimum dan yang direkomendasikan berikut berlaku untuk server federasi dan komputer proksi server federasi.
| Persyaratan perangkat keras | Persyaratan minimum | Persyaratan yang direkomendasikan |
|---|---|---|
| Kecepatan CPU | Inti tunggal, 1 gigahertz (GHz) | Quad-core, 2 GHz |
| RAM | 1 GB | 4 GB |
| Ruang disk | 50 MB | 100 MB |
Persyaratan perangkat lunak
Layanan Federasi Direktori Aktif bergantung pada fungsionalitas server yang dibangun ke dalam sistem operasi Windows ServerĀ® 2012.
Catatan
Layanan Federasi dan layanan peran Proksi Layanan Federasi tidak dapat hidup berdampingan pada komputer yang sama.
Persyaratan sertifikat
Sertifikat memainkan peran paling penting dalam mengamankan komunikasi antara server federasi, proksi server federasi, aplikasi yang sadar klaim, dan klien Web. Persyaratan untuk sertifikat bervariasi, tergantung pada apakah Anda menyiapkan server federasi atau komputer proksi server federasi, seperti yang dijelaskan di bagian ini.
Sertifikat server federasi
Server federasi memerlukan sertifikat dalam tabel berikut.
| Jenis sertifikat | Deskripsi | Apa yang perlu Anda ketahui sebelum menyebarkan |
|---|---|---|
| Sertifikat Secure Sockets Layer (SSL) | Ini adalah sertifikat Secure Sockets Layer (SSL) standar yang digunakan untuk mengamankan komunikasi antara server federasi dan klien. | Sertifikat ini harus terikat ke Situs Web Default di Layanan Informasi Internet (IIS) untuk Server Federasi atau Proksi Server Federasi. Untuk Proksi Server Federasi, pengikatan harus dikonfigurasi di IIS sebelum berhasil menjalankan Wizard Konfigurasi Proksi Server Federasi. Rekomendasi: Karena sertifikat ini harus dipercaya oleh klien Ad FS, gunakan sertifikat autentikasi server yang dikeluarkan oleh otoritas sertifikasi (CA) publik (pihak ketiga), misalnya, VeriSign. Tips: Nama subjek sertifikat ini digunakan untuk mewakili nama Layanan Federasi untuk setiap instans Layanan Federasi Direktori Aktif yang Anda sebarkan. Untuk alasan ini, Anda mungkin ingin mempertimbangkan untuk memilih Nama subjek pada sertifikat baru yang dikeluarkan CA yang paling mewakili nama perusahaan atau organisasi Anda kepada mitra. |
| Sertifikat komunikasi layanan | Sertifikat ini memungkinkan keamanan pesan WCF untuk mengamankan komunikasi antar server federasi. | Secara default, sertifikat SSL digunakan sebagai sertifikat komunikasi layanan. Ini dapat diubah menggunakan konsol Manajemen Layanan Federasi Direktori Aktif. |
| Sertifikat penandatanganan token | Ini adalah sertifikat X509 standar yang digunakan untuk menandatangani semua token dengan aman yang menjadi masalah server federasi. | Sertifikat penandatanganan token harus berisi kunci privat, dan harus ditautkan ke akar tepercaya di Layanan Federasi. Secara default, Layanan Federasi Direktori Aktif membuat sertifikat yang ditandatangani sendiri. Namun, Anda dapat mengubahnya nanti menjadi sertifikat yang dikeluarkan CA dengan menggunakan snap-in Manajemen Layanan Federasi Direktori Aktif, tergantung pada kebutuhan organisasi Anda. |
| Sertifikat dekripsi token | Ini adalah sertifikat SSL standar yang digunakan untuk mendekripsi token masuk yang dienkripsi oleh server federasi mitra. Ini juga diterbitkan dalam metadata federasi. | Secara default, Layanan Federasi Direktori Aktif membuat sertifikat yang ditandatangani sendiri. Namun, Anda dapat mengubahnya nanti menjadi sertifikat yang dikeluarkan CA dengan menggunakan snap-in Manajemen Layanan Federasi Direktori Aktif, tergantung pada kebutuhan organisasi Anda. |
Perhatian
Sertifikat yang digunakan untuk penandatanganan token dan dekripsi token sangat penting untuk stabilitas Layanan Federasi. Karena kehilangan atau penghapusan sertifikat apa pun yang tidak diencana yang dikonfigurasi untuk tujuan ini dapat mengganggu layanan, Anda harus mencadangkan sertifikat apa pun yang dikonfigurasi untuk tujuan ini.
Untuk informasi selengkapnya tentang sertifikat yang digunakan server federasi, lihat Persyaratan Sertifikat untuk Server Federasi.
Sertifikat proksi server federasi
Proksi server federasi memerlukan sertifikat dalam tabel berikut.
| Jenis sertifikat | Deskripsi | Apa yang perlu Anda ketahui sebelum menyebarkan |
|---|---|---|
| Sertifikat autentikasi server | Ini adalah sertifikat Secure Sockets Layer (SSL) standar yang digunakan untuk mengamankan komunikasi antara proksi server federasi dan komputer klien Internet. | Sertifikat ini harus terikat ke Situs Web Default di Layanan Informasi Internet (IIS) sebelum Anda berhasil menjalankan Wizard Konfigurasi Proksi Server Federasi Federasi Direktori Aktif. Rekomendasi: Karena sertifikat ini harus dipercaya oleh klien Ad FS, gunakan sertifikat autentikasi server yang dikeluarkan oleh otoritas sertifikasi (CA) publik (pihak ketiga), misalnya, VeriSign. Tips: Nama subjek sertifikat ini digunakan untuk mewakili nama Layanan Federasi untuk setiap instans Layanan Federasi Direktori Aktif yang Anda sebarkan. Untuk alasan ini, Anda mungkin ingin mempertimbangkan untuk memilih Nama subjek yang paling mewakili nama perusahaan atau organisasi Anda kepada mitra. |
Untuk informasi selengkapnya tentang sertifikat yang digunakan proksi server federasi, lihat Persyaratan Sertifikat untuk Proksi Server Federasi.
Persyaratan browser
Meskipun browser Web saat ini dengan kemampuan JavaScript dapat dibuat untuk bekerja sebagai klien Ad FS, halaman Web yang disediakan secara default telah diuji hanya terhadap Internet Explorer versi 7.0, 8.0 dan 9.0, Mozilla Firefox 3.0, dan Safari 3.1 di Windows. JavaScript harus diaktifkan, dan cookie harus diaktifkan agar masuk dan keluar berbasis browser berfungsi dengan benar.
Tim produk Layanan Federasi Direktori Aktif di Microsoft berhasil menguji konfigurasi browser dan sistem operasi dalam tabel berikut.
| Browser | Windows 7 | Windows Vista |
|---|---|---|
| Internet Explorer 7.0 | X | X |
| Internet Explorer 8.0 | X | X |
| Internet Explorer 9.0 | X | Tidak Diuji |
| FireFox 3.0 | X | X |
| Safari 3.1 | X | X |
Catatan
Layanan Federasi Direktori Aktif mendukung versi 32bit dan 64bit dari semua browser yang ditampilkan dalam tabel di atas.
Cookie
Layanan Federasi Direktori Aktif membuat cookie berbasis sesi dan persisten yang harus disimpan di komputer klien untuk menyediakan masuk, keluar, akses menyeluruh (SSO), dan fungsionalitas lainnya. Oleh karena itu, browser klien harus dikonfigurasi untuk menerima cookie. Cookie yang digunakan untuk autentikasi selalu cookie sesi Secure Hypertext Transfer Protocol (HTTPS) yang ditulis untuk server asal. Jika browser klien tidak dikonfigurasi untuk mengizinkan cookie ini, LAYANAN Federasi Direktori Aktif tidak dapat berfungsi dengan benar. Cookie persisten digunakan untuk mempertahankan pemilihan pengguna penyedia klaim. Anda dapat menonaktifkannya dengan menggunakan pengaturan konfigurasi dalam file konfigurasi untuk halaman masuk AD FS.
Dukungan untuk TLS/SSL diperlukan karena alasan keamanan.
Persyaratan jaringan
Mengonfigurasi layanan jaringan berikut dengan tepat sangat penting untuk keberhasilan penyebaran Layanan Federasi Direktori Aktif di organisasi Anda.
Konektivitas jaringan TCP/IP
Agar LAYANAN Federasi Direktori Aktif berfungsi, konektivitas jaringan TCP/IP harus ada di antara klien; pengendali domain; dan komputer yang menghosting Layanan Federasi, Proksi Layanan Federasi (saat digunakan), dan Agen Web Layanan Federasi Direktori Aktif.
DNS
Layanan jaringan utama yang sangat penting untuk pengoperasian LAYANAN Federasi Direktori Aktif, selain Active Directory Domain Services (AD DS), adalah Sistem Nama Domain (DNS). Ketika DNS disebarkan, pengguna dapat menggunakan nama komputer ramah yang mudah diingat untuk terhubung ke komputer dan sumber daya lain di jaringan IP.
Windows Server 2008 menggunakan DNS untuk resolusi nama alih-alih resolusi nama Windows Internet Name Service (WINS) NetBIOS yang digunakan di jaringan berbasis Windows NT 4.0. Masih dimungkinkan untuk menggunakan WINS untuk aplikasi yang memerlukannya. Namun, AD DS dan AD FS memerlukan resolusi nama DNS.
Proses mengonfigurasi DNS untuk mendukung Layanan Federasi Direktori Aktif bervariasi, tergantung pada apakah:
Organisasi Anda sudah memiliki infrastruktur DNS yang sudah ada. Dalam kebanyakan skenario, DNS sudah dikonfigurasi di seluruh jaringan Anda sehingga klien browser Web di jaringan perusahaan Anda memiliki akses ke Internet. Karena akses Internet dan resolusi nama adalah persyaratan Layanan Federasi Direktori Aktif, infrastruktur ini diasumsikan tersedia untuk penyebaran Layanan Federasi Direktori Aktif Anda.
Anda ingin menambahkan server federasi ke jaringan perusahaan Anda. Untuk tujuan mengautentikasi pengguna di jaringan perusahaan, server DNS internal di forest jaringan perusahaan harus dikonfigurasi untuk mengembalikan CNAME server internal yang menjalankan Layanan Federasi. Untuk informasi selengkapnya, lihat Persyaratan Resolusi Nama untuk Server Federasi.
Anda ingin menambahkan proksi server federasi ke jaringan perimeter Anda. Saat Anda ingin mengautentikasi akun pengguna yang terletak di jaringan perusahaan organisasi mitra identitas Anda, server DNS internal di forest jaringan perusahaan harus dikonfigurasi untuk mengembalikan CNAME proksi server federasi internal. Untuk informasi tentang cara mengonfigurasi DNS untuk mengakomodasi penambahan proksi server federasi, lihat Persyaratan Resolusi Nama untuk Proksi Server Federasi.
Anda menyiapkan DNS untuk lingkungan lab pengujian. Jika Anda berencana untuk menggunakan Layanan Federasi Direktori Aktif di lingkungan lab pengujian di mana tidak ada server DNS akar tunggal yang bersifat otoritatif, ada kemungkinan Anda harus menyiapkan penerus DNS sehingga kueri ke nama di antara dua atau beberapa forest akan diteruskan dengan tepat. Untuk informasi umum tentang cara menyiapkan lingkungan lab pengujian Layanan Federasi Direktori Aktif, lihat Panduan Langkah demi Langkah dan Cara Layanan Federasi Direktori Aktif.
Persyaratan penyimpanan atribut
Layanan Federasi Direktori Aktif mengharuskan setidaknya satu penyimpanan atribut digunakan untuk mengautentikasi pengguna dan mengekstrak klaim keamanan untuk pengguna tersebut. Untuk daftar penyimpanan atribut yang didukung AD FS, lihat Peran Penyimpanan Atribut di Panduan Desain Layanan Federasi Direktori Aktif.
Catatan
Layanan Federasi Direktori Aktif secara otomatis membuat penyimpanan atribut Direktori Aktif, secara default.
Persyaratan penyimpanan atribut bergantung pada apakah organisasi Anda bertindak sebagai mitra akun (menghosting pengguna federasi) atau mitra sumber daya (menghosting aplikasi federasi).
AD DS
Agar Layanan Federasi Direktori Aktif berhasil beroperasi, pengendali domain di organisasi mitra akun atau organisasi mitra sumber daya harus menjalankan Windows Server 2003 SP1, Windows Server 2003 R2, Windows Server 2008 , atau Windows Server 2012 .
Saat Layanan Federasi Direktori Aktif diinstal dan dikonfigurasi pada komputer yang bergabung dengan domain, penyimpanan akun pengguna Direktori Aktif untuk domain tersebut tersedia sebagai penyimpanan atribut yang dapat dipilih.
Penting
Karena Layanan Federasi Direktori Aktif memerlukan penginstalan Layanan Informasi Internet (IIS), kami sarankan Anda tidak menginstal perangkat lunak Layanan Federasi Direktori Aktif pada pengontrol domain di lingkungan produksi untuk tujuan keamanan. Namun, konfigurasi ini didukung oleh Dukungan Layanan Pelanggan Microsoft.
Persyaratan skema
Layanan Federasi Direktori Aktif tidak memerlukan perubahan skema atau modifikasi tingkat fungsional ke AD DS.
Persyaratan tingkat fungsi
Sebagian besar fitur Layanan Federasi Direktori Aktif tidak memerlukan modifikasi tingkat fungsional AD DS agar berhasil beroperasi. Namun, tingkat fungsional domain Windows Server 2008 atau yang lebih tinggi diperlukan agar autentikasi sertifikat klien berhasil beroperasi jika sertifikat secara eksplisit dipetakan ke akun pengguna di AD DS.
Persyaratan akun layanan
Jika Anda membuat farm server federasi, Anda harus terlebih dahulu membuat akun layanan berbasis domain khusus di AD DS yang dapat digunakan Oleh Layanan Federasi. Kemudian, Anda mengonfigurasi setiap server federasi di farm untuk menggunakan akun ini. Untuk informasi selengkapnya tentang cara melakukannya, lihat Mengonfigurasi Akun Layanan secara Manual untuk Farm Server Federasi di Panduan Penyebaran Layanan Federasi Direktori Aktif.
LDAP
Saat Anda bekerja dengan penyimpanan atribut berbasis Lightweight Directory Access Protocol (LDAP) lainnya, Anda harus tersambung ke server LDAP yang mendukung autentikasi Terintegrasi Windows. String koneksi LDAP juga harus ditulis dalam format URL LDAP, seperti yang dijelaskan dalam RFC 2255.
SQL Server
Agar Layanan Federasi Direktori Aktif berhasil beroperasi, komputer yang menghosting penyimpanan atribut server Bahasa Permintaan Terstruktur (SQL) harus menjalankan Microsoft SQL Server 2005 atau SQL Server 2008. Saat bekerja dengan penyimpanan atribut berbasis SQL, Anda juga harus mengonfigurasi string koneksi.
Penyimpanan atribut kustom
Anda dapat mengembangkan penyimpanan atribut kustom untuk mengaktifkan skenario tingkat lanjut. Bahasa kebijakan yang disertakan dalam LAYANAN Federasi Direktori Aktif dapat mereferensikan penyimpanan atribut kustom sehingga salah satu skenario berikut dapat ditingkatkan:
Membuat klaim untuk pengguna yang diautentikasi secara lokal
Melengkapi klaim untuk pengguna yang diautentikasi secara eksternal
Mengotorisasi pengguna untuk mendapatkan token
Mengotorisasi layanan untuk mendapatkan token tentang perilaku pengguna
Saat bekerja dengan penyimpanan atribut kustom, Anda mungkin juga harus mengonfigurasi string koneksi. Dalam situasi ini, Anda dapat memasukkan kode kustom apa pun yang Anda suka yang memungkinkan koneksi ke penyimpanan atribut kustom Anda. string koneksi dalam situasi ini adalah sekumpulan pasangan nama/nilai yang ditafsirkan seperti yang diimplementasikan oleh pengembang penyimpanan atribut kustom.
Untuk informasi selengkapnya tentang mengembangkan dan menggunakan penyimpanan atribut kustom, lihat Gambaran Umum Penyimpanan Atribut.
Persyaratan aplikasi
Server federasi dapat berkomunikasi dengan dan melindungi aplikasi federasi, seperti aplikasi yang sadar klaim.
Persyaratan autentikasi
Layanan Federasi Direktori Aktif terintegrasi secara alami dengan autentikasi Windows yang ada, misalnya, autentikasi Kerberos, NTLM, kartu pintar, dan sertifikat sisi klien X.509 v3. Server federasi menggunakan autentikasi Kerberos standar untuk mengautentikasi pengguna terhadap domain. Klien dapat mengautentikasi dengan menggunakan autentikasi berbasis formulir, autentikasi kartu pintar, dan autentikasi Terintegrasi Windows, tergantung pada cara Anda mengonfigurasi autentikasi.
Peran proksi server federasi Layanan Federasi Direktori Aktif memungkinkan skenario di mana pengguna mengautentikasi secara eksternal menggunakan autentikasi klien SSL. Anda juga dapat mengonfigurasi peran server federasi untuk memerlukan autentikasi klien SSL, meskipun biasanya pengalaman pengguna yang paling mulus dicapai dengan mengonfigurasi server federasi akun untuk autentikasi Windows Integrated. Dalam situasi ini, Layanan Federasi Direktori Aktif tidak memiliki kontrol atas kredensial apa yang digunakan pengguna untuk masuk desktop Windows.
Masuk kartu pintar
Meskipun LAYANAN Federasi Direktori Aktif dapat memberlakukan jenis kredensial yang digunakannya untuk autentikasi (kata sandi, autentikasi klien SSL, atau autentikasi Terintegrasi Windows), layanan ini tidak secara langsung menerapkan autentikasi dengan kartu pintar. Oleh karena itu, Layanan Federasi Direktori Aktif tidak menyediakan antarmuka pengguna sisi klien (UI) untuk mendapatkan kredensial nomor identifikasi pribadi (PIN) kartu pintar. Ini karena klien berbasis Windows sengaja tidak memberikan detail kredensial pengguna ke server federasi atau server Web.
Mengonfigurasi Autentikasi Kartu Pintar
Autentikasi kartu pintar menggunakan protokol Kerberos untuk mengautentikasi ke server federasi akun. Layanan Federasi Direktori Aktif tidak dapat diperluas untuk menambahkan metode autentikasi baru. Sertifikat dalam kartu pintar tidak diperlukan untuk menautkan ke akar tepercaya pada komputer klien. Penggunaan sertifikat berbasis kartu pintar dengan Layanan Federasi Direktori Aktif memerlukan kondisi berikut:
Pembaca dan penyedia layanan kriptografi (CSP) untuk kartu pintar harus bekerja di komputer tempat browser berada.
Sertifikat kartu pintar harus ditautkan ke akar tepercaya di server federasi akun dan proksi server federasi akun.
Sertifikat harus memetakan ke akun pengguna di AD DS dengan salah satu metode berikut:
Nama subjek sertifikat sesuai dengan nama khusus LDAP dari akun pengguna di AD DS.
Ekstensi altname subjek sertifikat memiliki nama prinsipal pengguna (UPN) akun pengguna di AD DS.
Untuk mendukung persyaratan kekuatan autentikasi tertentu dalam beberapa skenario, dimungkinkan juga untuk mengonfigurasi Layanan Federasi Direktori Aktif untuk membuat klaim yang menunjukkan bagaimana pengguna diautentikasi. Pihak yang mengandalkan kemudian dapat menggunakan klaim ini untuk membuat keputusan otorisasi.
Lihat Juga
Panduan Desain Layanan Federasi Direktori Aktif di Windows Server 2012
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk