Edit

Bagikan melalui

Tanya jawab umum (FAQ) tentang Layanan Federasi Direktori Aktif

  • FAQ

Artikel ini memberikan jawaban atas tanya jawab umum tentang Layanan Federasi Direktori Aktif (AD FS). Ini dibagi menjadi beberapa bagian yang didasarkan pada jenis pertanyaan.

Penyebaran

Bagaimana cara meningkatkan/memigrasikan dari versi Layanan Federasi Direktori Aktif sebelumnya?

Anda dapat meningkatkan/memigrasikan Layanan Federasi Direktori Aktif dengan menyelesaikan langkah-langkah di salah satu artikel tertaut berikut:

Jika Anda perlu meningkatkan dari Layanan Federasi Direktori Aktif 2.0 atau 2.1 (Windows Server 2008 R2 atau Windows Server 2012), gunakan skrip dalam kotak yang terletak di C:\Windows\ADFS.

Mengapa penginstalan Layanan Federasi Direktori Aktif memerlukan mulai ulang server?

Dukungan HTTP/2 ditambahkan di Windows Server 2016, tetapi HTTP/2 tidak dapat digunakan untuk autentikasi sertifikat klien. Banyak skenario Layanan Federasi Direktori Aktif menggunakan autentikasi sertifikat klien. Dan banyak klien tidak mendukung permintaan coba lagi dengan menggunakan HTTP/1.1. Jadi konfigurasi farm Layanan Federasi Direktori Aktif mengonfigurasi ulang pengaturan HTTP server lokal ke HTTP/1.1. Konfigurasi ulang ini memerlukan hidupkan ulang server.

Dapatkah saya menggunakan server Proksi Aplikasi Web Windows Server 2016 untuk menerbitkan farm Layanan Federasi Direktori Aktif ke internet tanpa meningkatkan farm LAYANAN Federasi Direktori Aktif back-end?

Konfigurasi ini didukung, tetapi tidak ada fitur AD FS 2016 baru yang akan didukung di dalamnya. Konfigurasi ini dimaksudkan untuk sementara selama migrasi dari LAYANAN Federasi Direktori Aktif 2012 R2 ke Layanan Federasi Direktori Aktif 2016. Ini tidak boleh digunakan untuk jangka waktu yang lama.

Bisakah saya menyebarkan Layanan Federasi Direktori Aktif untuk Office 365 tanpa menerbitkan proksi ke Office 365?

Ya, tetapi sebagai efek samping:

  • Anda harus mengelola pembaruan sertifikat penandatanganan token secara manual karena Azure AD tidak akan dapat mengakses metadata federasi. Untuk informasi selengkapnya tentang memperbarui sertifikat penandatanganan token secara manual, lihat Memperbarui sertifikat federasi untuk Office 365 dan Azure Active Directory.
  • Anda tidak akan dapat menggunakan alur autentikasi warisan (misalnya, alur autentikasi proksi ExO).

Apa itu persyaratan penyeimbangan beban untuk layanan federasi direktori aktif dan server Proksi Aplikasi Web?

Layanan Federasi Direktori Aktif adalah sistem stateless, sehingga penyeimbangan beban cukup sederhana untuk masuk. Berikut adalah beberapa rekomendasi utama untuk sistem penyeimbangan beban:

  • Load balancer tidak boleh dikonfigurasi dengan afinitas IP. Afinitas IP mungkin menempatkan beban yang tidak sempit pada subset server Anda dalam skenario Exchange Online tertentu.
  • Load balancer tidak boleh menghentikan koneksi HTTPS dan memulai koneksi baru ke server LAYANAN Federasi Direktori Aktif.
  • Load balancer harus memastikan bahwa alamat IP penghubung harus diterjemahkan sebagai IP sumber dalam paket HTTP saat dikirim ke Layanan Federasi Direktori Aktif. Jika load balancer tidak dapat mengirim IP sumber dalam paket HTTP, load balancer harus menambahkan alamat IP ke header X-Forwarded-For. Langkah ini diperlukan untuk penanganan fitur terkait IP tertentu yang benar (seperti IP Terlarang dan Penguncian Cerdas Ekstranet). Jika konfigurasi ini tidak diterapkan dengan benar, keamanan dapat dikurangi.
  • Load balancer harus mendukung SNI. Jika tidak, pastikan Layanan Federasi Direktori Aktif dikonfigurasi untuk membuat pengikatan HTTPS untuk menangani klien yang tidak mendukung SNI.
  • Load balancer harus menggunakan titik akhir pemeriksaan kesehatan HTTP LAYANAN Federasi Direktori Aktif untuk mendeteksi apakah layanan federasi direktori aktif atau server Proksi Aplikasi Web berjalan. Ini harus mengecualikannya jika 200 OK tidak dikembalikan.

Konfigurasi multiforest apa yang didukung Ad FS?

Layanan Federasi Direktori Aktif mendukung beberapa konfigurasi multiforest. Ini bergantung pada jaringan kepercayaan AD DS yang mendasar untuk mengautentikasi pengguna di beberapa realm tepercaya. Kami sangat merekomendasikan kepercayaan hutan dua arah karena lebih mudah disiapkan, yang membantu memastikan sistem kepercayaan berfungsi dengan benar.

Selain itu:

  • Jika Anda memiliki kepercayaan hutan satu arah, seperti forest jaringan perimeter (juga dikenal sebagai DMZ) yang berisi identitas mitra, kami sarankan Anda menyebarkan Layanan Federasi Direktori Aktif di forest perusahaan. Perlakukan forest jaringan perimeter sebagai kepercayaan penyedia klaim lokal lain yang terhubung melalui LDAP. Dalam hal ini, Autentikasi Terintegrasi Windows tidak akan berfungsi untuk pengguna forest jaringan perimeter. Mereka harus menggunakan autentikasi kata sandi karena ini adalah satu-satunya mekanisme yang didukung untuk LDAP.

    Jika Anda tidak dapat menggunakan opsi ini, Anda perlu menyiapkan server LAYANAN Federasi Direktori Aktif lain di forest jaringan perimeter. Tambahkan sebagai kepercayaan penyedia klaim di server LAYANAN Federasi Direktori Aktif di forest perusahaan. Pengguna harus melakukan Home Realm Discovery, tetapi Autentikasi Terintegrasi Windows dan autentikasi kata sandi akan berfungsi. Buat perubahan yang sesuai dalam aturan penerbitan di Layanan Federasi Direktori Aktif di forest jaringan perimeter karena Layanan Federasi Direktori Aktif di forest perusahaan tidak akan dapat mendapatkan informasi lebih lanjut tentang pengguna dari forest jaringan sekitar.

  • Kepercayaan tingkat domain didukung dan dapat berfungsi. Tetapi kami sangat menyarankan Anda pindah ke model kepercayaan tingkat hutan. Anda juga perlu memastikan perutean UPN dan resolusi nama NetBIOS berfungsi dengan benar.

Catatan

Jika Anda menggunakan autentikasi pilihan dengan konfigurasi kepercayaan dua arah, pastikan pengguna penelepon diberikan izin Diizinkan untuk Mengautentikasi pada akun layanan target.

Apakah Ad FS Extranet Smart Lockout mendukung IPv6?

Ya, alamat IPv6 dipertimbangkan untuk lokasi yang akrab dan tidak diketahui.

Desain

Penyedia autentikasi multifaktor pihak ketiga apa yang tersedia untuk LAYANAN Federasi Direktori Aktif?

Layanan Federasi Direktori Aktif menyediakan mekanisme yang dapat diperluas bagi penyedia autentikasi multifaktor pihak ketiga untuk diintegrasikan. Tidak ada program sertifikasi yang ditetapkan untuk ini. Diasumsikan bahwa vendor telah melakukan validasi yang diperlukan sebelum rilis.

Daftar vendor yang telah memberi tahu Microsoft tersedia di sini: Penyedia autentikasi multifaktor untuk Layanan Federasi Direktori Aktif. Mungkin ada penyedia yang tersedia yang tidak kami ketahui. Kami akan memperbarui daftar saat menemukan daftar baru.

Apakah proksi pihak ketiga didukung dengan LAYANAN Federasi Direktori Aktif?

Ya, proksi pihak ketiga dapat ditempatkan di depan Layanan Federasi Direktori Aktif, tetapi proksi pihak ketiga apa pun harus mendukung protokol MS-ADFSPIP yang akan digunakan sebagai pengganti Proksi Aplikasi Web.

Saat ini kami mengetahui penyedia pihak ketiga berikut. Mungkin ada penyedia yang tersedia yang tidak kami ketahui. Kami akan memperbarui daftar ini saat menemukan daftar baru.

Di mana spreadsheet ukuran perencanaan kapasitas untuk Ad FS 2016?

Anda dapat mengunduh spreadsheet versi AD FS 2016. Anda juga dapat menggunakan spreadsheet ini untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2.

Bagaimana cara memastikan layanan federasi direktori aktif dan server Proksi Aplikasi Web saya mendukung persyaratan ATP Apple?

Apple telah merilis serangkaian persyaratan yang disebut App Transport Security (ATS) yang mungkin memengaruhi panggilan dari aplikasi iOS yang mengautentikasi ke Layanan Federasi Direktori Aktif. Anda dapat memastikan layanan federasi direktori aktif dan server Proksi Aplikasi Web Anda mematuhi dengan memastikan mereka mendukung persyaratan untuk menyambungkan dengan menggunakan ATS. Secara khusus, Anda harus memverifikasi bahwa:

  • Layanan Federasi Direktori Aktif dan server Proksi Aplikasi Web Anda mendukung TLS 1.2.
  • Rangkaian sandi yang dinegosiasikan koneksi TLS akan mendukung ketahanan penerusan yang sempurna.

Untuk informasi tentang mengaktifkan dan menonaktifkan SSL 2.0 dan 3.0 dan TLS 1.0, 1.1, dan 1.2, lihat Mengelola Protokol SSL di Layanan Federasi Direktori Aktif.

Untuk memastikan layanan federasi direktori aktif dan server Proksi Aplikasi Web Anda hanya menegosiasikan suite sandi TLS yang mendukung ATP, Anda dapat menonaktifkan semua suite sandi yang tidak ada dalam daftar suite sandi yang mematuhi ATP. Untuk menonaktifkannya, gunakan cmdlet Windows TLS PowerShell.

Pengembang

Saat Ad FS menghasilkan id_token untuk pengguna yang diautentikasi terhadap Direktori Aktif, bagaimana klaim "sub" yang dihasilkan dalam id_token?

Nilai klaim "sub" adalah hash ID klien dan nilai klaim jangkar.

Berapa masa pakai token refresh dan token akses ketika pengguna masuk melalui kepercayaan penyedia klaim jarak jauh atas WS-Fed/SAML-P?

Masa pakai token refresh akan menjadi masa pakai token yang didapat ad FS dari kepercayaan penyedia klaim jarak jauh. Masa pakai token akses akan menjadi masa pakai token pihak yang mengandalkan tempat token akses dikeluarkan.

Saya perlu mengembalikan cakupan profil dan email selain cakupan openid. Dapatkah saya mendapatkan informasi lebih lanjut dengan menggunakan cakupan? Bagaimana cara melakukannya di Layanan Federasi Direktori Aktif?

Anda dapat menggunakan id_token yang disesuaikan untuk menambahkan informasi yang relevan di id_token itu sendiri. Untuk informasi selengkapnya, lihat Menyesuaikan klaim yang akan dipancarkan dalam id_token.

Bagaimana cara mengeluarkan blob JSON dalam token JWT?

ValueType khusus (http://www.w3.org/2001/XMLSchema#json) dan karakter escape (\x22) ditambahkan untuk skenario ini di AD FS 2016. Gunakan sampel berikut untuk aturan penerbitan dan untuk output akhir dari token akses.

Contoh aturan penerbitan:

=> issue(Type = "array_in_json", ValueType = "http://www.w3.org/2001/XMLSchema#json", Value = "{\x22Items\x22:[{\x22Name\x22:\x22Apple\x22,\x22Price\x22:12.3},{\x22Name\x22:\x22Grape\x22,\x22Price\x22:3.21}],\x22Date\x22:\x2221/11/2010\x22}");

Klaim yang dikeluarkan dalam token akses:

"array_in_json":{"Items":[{"Name":"Apple","Price":12.3},{"Name":"Grape","Price":3.21}],"Date":"21/11/2010"}

Dapatkah saya meneruskan nilai sumber daya sebagai bagian dari nilai cakupan, dengan cara yang sama seperti permintaan dibuat terhadap Microsoft Azure AD?

Dengan Layanan Federasi Direktori Aktif di Windows Server 2019, Anda sekarang dapat meneruskan nilai sumber daya yang disematkan dalam parameter cakupan. Parameter cakupan dapat diatur sebagai daftar yang dipisahkan spasi di mana setiap entri disusun sebagai sumber daya/cakupan.

Apakah Layanan Federasi Direktori Aktif mendukung ekstensi PKCE?

Layanan Federasi Direktori Aktif di Windows Server 2019 mendukung Proof Key for Code Exchange (PKCE) untuk alur Pemberian Kode Otorisasi OAuth.

Cakupan apa yang diizinkan yang didukung oleh Layanan Federasi Direktori Aktif?

Didukung:

  • Aza. Jika Anda menggunakan Ekstensi Protokol OAuth 2.0 untuk Klien Broker dan parameter cakupan berisi aza cakupan, server mengeluarkan token refresh utama baru dan mengaturnya di bidang refresh_token respons. Ini juga mengatur bidang refresh_token_expires_in ke masa pakai token refresh utama baru, jika diberlakukan.
  • Openid. Memungkinkan aplikasi untuk meminta penggunaan protokol otorisasi OpenID Connect.
  • logon_cert. Memungkinkan aplikasi untuk meminta sertifikat masuk, yang dapat digunakan untuk memasukkan pengguna yang diautentikasi secara interaktif. Server AD FS menghilangkan parameter access_token dari respons dan sebaliknya menyediakan rantai sertifikat CMS yang dikodekan Base64 atau respons PKI penuh CMC. Untuk informasi selengkapnya, lihat Detail pemrosesan.
  • user_impersonation. Diperlukan jika Anda ingin meminta token akses atas nama dari Layanan Federasi Direktori Aktif. Untuk informasi selengkapnya tentang cara menggunakan cakupan ini, lihat Membangun aplikasi multi-tingkat menggunakan On-Behalf-Of (OBO) menggunakan OAuth dengan LAYANAN Federasi Direktori Aktif 2016.

Tidak didukung:

  • vpn_cert. Memungkinkan aplikasi untuk meminta sertifikat VPN, yang dapat digunakan untuk membuat koneksi VPN dengan menggunakan autentikasi EAP-TLS. Cakupan ini tidak lagi didukung.
  • email. Memungkinkan aplikasi untuk meminta klaim email untuk pengguna yang masuk. Cakupan ini tidak lagi didukung.
  • Profil. Memungkinkan aplikasi meminta klaim terkait profil untuk pengguna yang masuk. Cakupan ini tidak lagi didukung.

Operasional

Bagaimana cara mengganti sertifikat SSL untuk Layanan Federasi Direktori Aktif?

Sertifikat AD FS SSL tidak sama dengan Sertifikat Komunikasi Layanan Federasi Direktori Aktif dalam snap-in Manajemen Layanan Federasi Direktori Aktif. Untuk mengubah sertifikat SSL Layanan Federasi Direktori Aktif, Anda perlu menggunakan PowerShell. Ikuti panduan dalam Mengelola sertifikat SSL di Layanan Federasi Direktori Aktif dan WAP 2016.

Bagaimana cara mengaktifkan atau menonaktifkan pengaturan TLS/SSL untuk Layanan Federasi Direktori Aktif?

Untuk informasi tentang menonaktifkan dan mengaktifkan protokol SSL dan cipher suite, lihat Mengelola protokol SSL di Layanan Federasi Direktori Aktif.

Apakah sertifikat SSL proksi harus sama dengan sertifikat AD FS SSL?

  • Jika proksi digunakan untuk mem-proksi permintaan LAYANAN Federasi Direktori Aktif yang menggunakan Autentikasi Terintegrasi Windows, sertifikat SSL proksi harus menggunakan kunci yang sama dengan sertifikat SSL server federasi.
  • Jika properti ExtendedProtectionTokenCheck Layanan Federasi Direktori Aktif diaktifkan (pengaturan default di Layanan Federasi Direktori Aktif), sertifikat SSL proksi harus menggunakan kunci yang sama dengan sertifikat SSL server federasi.
  • Jika tidak, sertifikat SSL proksi dapat memiliki kunci yang berbeda dari sertifikat AD FS SSL. Ini harus memenuhi persyaratan yang sama.

Mengapa saya hanya melihat masuk kata sandi di Layanan Federasi Direktori Aktif dan bukan metode autentikasi lain yang telah saya konfigurasi?

Layanan Federasi Direktori Aktif hanya menampilkan satu metode autentikasi pada layar masuk saat aplikasi secara eksplisit memerlukan URI autentikasi tertentu yang memetakan ke metode autentikasi yang dikonfigurasi dan diaktifkan. Metode ini disampaikan dalam parameter wauth dalam permintaan WS-Federation. Ini disampaikan dalam parameter RequestedAuthnCtxRef dalam permintaan protokol SAML. Hanya metode autentikasi yang diminta yang ditampilkan. (Misalnya, masuk kata sandi.)

Saat Anda menggunakan Layanan Federasi Direktori Aktif dengan Microsoft Azure AD, umum bagi aplikasi untuk mengirim parameter prompt=login ke Microsoft Azure AD. Azure AD secara default menerjemahkan parameter ini untuk meminta masuk berbasis kata sandi baru ke Layanan Federasi Direktori Aktif. Skenario ini adalah alasan paling umum Anda mungkin melihat masuk kata sandi di Layanan Federasi Direktori Aktif di jaringan Anda atau tidak melihat opsi untuk masuk dengan sertifikat Anda. Anda dapat dengan mudah mengatasi masalah ini dengan membuat perubahan pada pengaturan domain federasi di Azure ACTIVE Directory.

Untuk informasi selengkapnya, lihat Dukungan parameter prompt=login Active Directory Federation Services.

Bagaimana cara mengubah akun layanan Layanan Federasi Direktori Aktif?

Untuk mengubah akun layanan Layanan Federasi Direktori Aktif, gunakan modul Ad FS Toolbox Service Account PowerShell. Untuk petunjuknya, lihat Mengubah Akun Layanan Ad FS.

Bagaimana cara mengonfigurasi browser untuk menggunakan Autentikasi Terintegrasi Windows (WIA) dengan Layanan Federasi Direktori Aktif?

Lihat Mengonfigurasi browser untuk menggunakan Autentikasi Terintegrasi Windows (WIA) dengan Layanan Federasi Direktori Aktif.

Dapatkah saya menonaktifkan BrowserSsoEnabled?

Jika Anda tidak memiliki kebijakan kontrol akses berdasarkan perangkat pada Layanan Federasi Direktori Aktif atau pendaftaran sertifikat Windows Hello for Business melalui Layanan Federasi Direktori Aktif, Anda dapat menonaktifkan BrowserSsoEnabled. BrowserSsoEnabled memungkinkan Layanan Federasi Direktori Aktif mengumpulkan Token Refresh Utama (PRT) dari klien yang berisi informasi perangkat. Tanpa token itu, autentikasi perangkat Ad FS tidak akan berfungsi pada perangkat Windows 10.

Berapa lama token Layanan Federasi Direktori Aktif valid?

Admin sering bertanya-tanya berapa lama pengguna mendapatkan akses menyeluruh (SSO) tanpa harus memasukkan kredensial baru, dan bagaimana admin dapat mengontrol perilaku tersebut. Perilaku tersebut, dan pengaturan konfigurasi yang mengontrolnya, dijelaskan dalam pengaturan akses menyeluruh Layanan Federasi Direktori Aktif.

Masa pakai default dari berbagai cookie dan token tercantum di sini (bersama dengan parameter yang mengatur masa pakai):

Perangkat terdaftar

  • Cookie PRT dan SSO: Maksimum 90 hari, diatur oleh PSSOLifeTimeMins. (Jika perangkat digunakan setidaknya setiap 14 hari. Jendela waktu ini dikendalikan oleh DeviceUsageWindow.)

  • Token refresh: Dihitung berdasarkan parameter sebelumnya untuk memberikan perilaku yang konsisten.

  • access_token: Satu jam secara default, berdasarkan pihak yang mengandalkan.

  • id_token: Sama seperti access_token.

Perangkat yang tidak terdaftar

  • Cookie SSO: Delapan jam secara default, diatur oleh SSOLifetimeMins. Ketika Biarkan saya tetap masuk (KMSI) diaktifkan, defaultnya adalah 24 jam. Default ini dapat dikonfigurasi melalui KMSILifetimeMins.

  • Refresh token: Delapan jam secara default. 24 jam jika KMSI diaktifkan.

  • access_token: Satu jam secara default, berdasarkan pihak yang mengandalkan.

  • id_token: Sama seperti access_token.

Apakah Layanan Federasi Direktori Aktif mendukung alur implisit untuk klien rahasia?

Layanan Federasi Direktori Aktif tidak mendukung alur implisit untuk klien rahasia. Autentikasi klien diaktifkan hanya untuk titik akhir token, dan AD FS tidak akan mengeluarkan token akses tanpa autentikasi klien. Jika klien rahasia memerlukan token akses dan juga memerlukan autentikasi pengguna, klien perlu menggunakan alur kode otorisasi.

Apakah Layanan Federasi Direktori Aktif mendukung HTTP Strict Transport Security (HSTS)?

HSTS adalah mekanisme kebijakan keamanan web. Ini membantu mengurangi serangan penurunan protokol dan pembajakan cookie untuk layanan yang memiliki titik akhir HTTP dan HTTPS. Ini memungkinkan server web untuk menyatakan bahwa browser web (atau agen pengguna lain yang mematuhi) harus berinteraksi dengan mereka hanya dengan menggunakan HTTPS dan tidak pernah melalui protokol HTTP.

Semua titik akhir Layanan Federasi Direktori Aktif untuk lalu lintas autentikasi web dibuka secara eksklusif melalui HTTPS. Jadi Layanan Federasi Direktori Aktif mengurangi ancaman yang dibuat mekanisme kebijakan HSTS. (Secara desain, tidak ada penurunan ke HTTP karena tidak ada pendengar di HTTP.) Layanan Federasi Direktori Aktif juga mencegah cookie dikirim ke server lain yang memiliki titik akhir protokol HTTP dengan menandai semua cookie dengan bendera aman.

Jadi Anda tidak memerlukan HSTS di server Layanan Federasi Direktori Aktif karena HSTS tidak dapat diturunkan tingkatnya. Server Layanan Federasi Direktori Aktif memenuhi persyaratan kepatuhan karena tidak dapat menggunakan HTTP dan karena cookie ditandai aman.

Terakhir, Ad FS 2016 (dengan patch terbaru) dan AD FS 2019 mendukung pemancaran header HSTS. Untuk mengonfigurasi perilaku ini, lihat Menyesuaikan header respons keamanan HTTP dengan Layanan Federasi Direktori Aktif.

X-MS-Forwarded-Client-IP tidak berisi IP klien. Ini berisi IP firewall di depan proksi. Di mana saya bisa mendapatkan IP klien?

Kami tidak menyarankan Agar Anda melakukan penghentian SSL sebelum server Proksi Aplikasi Web. Jika dilakukan di depan server Proksi Aplikasi Web, X-MS-Forwarded-Client-IP akan berisi IP perangkat jaringan di depan server Proksi Aplikasi Web. Berikut adalah deskripsi singkat tentang berbagai klaim terkait IP yang didukung oleh Layanan Federasi Direktori Aktif:

  • X-MS-Client-IP. IP jaringan perangkat yang terhubung ke STS. Untuk permintaan ekstranet, klaim ini selalu berisi IP server Proksi Aplikasi Web.
  • X-MS-Forwarded-Client-IP. Klaim multinilai yang berisi nilai apa pun yang diteruskan ke Layanan Federasi Direktori Aktif oleh Exchange Online. Ini juga berisi alamat IP perangkat yang terhubung ke server Proksi Aplikasi Web.
  • Userip. Untuk permintaan ekstranet, klaim ini berisi nilai X-MS-Forwarded-Client-IP. Untuk permintaan intranet, klaim ini berisi nilai yang sama dengan X-MS-Client-IP.

Layanan Federasi Direktori Aktif 2016 (dengan patch terbaru) dan versi yang lebih baru juga mendukung pengambilan header X-Forwarded-For. Setiap load balancer atau perangkat jaringan yang tidak maju pada lapisan 3 (IP dipertahankan) harus menambahkan IP klien masuk ke header X-Forwarded-For standar industri.

Saya mencoba untuk mendapatkan lebih banyak klaim pada titik akhir UserInfo, tetapi itu hanya mengembalikan subjek. Bagaimana cara mendapatkan lebih banyak klaim?

Titik akhir UserInfo Layanan Federasi Direktori Aktif selalu mengembalikan klaim subjek seperti yang ditentukan dalam standar OpenID. Layanan Federasi Direktori Aktif tidak mendukung klaim tambahan yang diminta melalui titik akhir UserInfo. Jika Anda memerlukan lebih banyak klaim dalam token ID, lihat Token ID kustom di Layanan Federasi Direktori Aktif.

Mengapa saya melihat peringatan kegagalan untuk menambahkan akun layanan Layanan Federasi Direktori Aktif ke grup Admin Kunci Perusahaan?

Grup ini dibuat hanya ketika pengendali domain Windows Server 2016 dengan peran FSMO PDC ada di domain. Untuk mengatasi kesalahan, Anda dapat membuat grup secara manual. Lakukan langkah-langkah ini untuk menambahkan izin yang diperlukan setelah Anda menambahkan akun layanan sebagai anggota grup:

  1. Buka Pengguna Active Directory dan Komputer.
  2. Klik kanan nama domain Anda di panel kiri lalu pilih Properti.
  3. Pilih Keamanan. (Jika Tab Keamanan hilang, aktifkan Fitur Tingkat Lanjut pada menu Tampilan .)
  4. Pilih Tingkat Lanjut, Tambahkan, lalu Pilih prinsipal.
  5. Dialog Pilih Pengguna, Komputer, Akun Layanan, atau Grup muncul. Dalam kotak Masukkan nama objek untuk dipilih , masukkan Grup Admin Kunci. PilihOK.
  6. Dalam kotak Berlaku untuk , pilih Objek Pengguna Turunan.
  7. Gulir ke bagian bawah halaman dan pilih Hapus semua.
  8. Di bagian Properti , pilih Baca msDS-KeyCredentialLink dan Tulis msDS-KeyCredentialLink.

Mengapa autentikasi modern dari perangkat Android gagal jika server tidak mengirim semua sertifikat menengah dalam rantai dengan sertifikasi SSL?

Untuk aplikasi yang menggunakan pustaka ADAL Android, autentikasi ke Microsoft Azure AD mungkin gagal untuk pengguna federasi. Aplikasi ini akan mendapatkan AuthenticationException saat mencoba menampilkan halaman masuk. Di browser Chrome, halaman masuk LAYANAN Federasi Direktori Aktif mungkin digambarkan sebagai tidak aman.

Untuk semua versi dan semua perangkat, Android tidak mendukung pengunduhan sertifikat tambahan dari bidang authorityInformationAccess sertifikat. Batasan ini juga berlaku untuk browser Chrome. Sertifikat autentikasi server apa pun yang tidak memiliki sertifikat perantara akan menyebabkan kesalahan ini jika seluruh rantai sertifikat tidak diteruskan dari Layanan Federasi Direktori Aktif.

Anda dapat menyelesaikan masalah ini dengan mengonfigurasi server Ad FS dan Proksi Aplikasi Web untuk mengirim sertifikat perantara yang diperlukan bersama dengan sertifikat SSL.

Saat Anda mengekspor sertifikat SSL dari satu komputer untuk diimpor ke penyimpanan pribadi komputer dari server Ad FS dan Proksi Aplikasi Web, pastikan untuk mengekspor kunci privat dan pilih Pertukaran Informasi Pribadi - PKCS #12.

Selain itu, pastikan untuk memilih Sertakan semua sertifikat di jalur sertifikat jika memungkinkan dan Ekspor semua properti yang diperluas.

Jalankan certlm.msc di server Windows dan impor *.pfx ke penyimpanan sertifikat pribadi komputer. Melakukannya akan menyebabkan server meneruskan seluruh rantai sertifikat ke pustaka ADAL.

Catatan

Penyimpanan sertifikat penyeimbang beban jaringan juga harus diperbarui untuk menyertakan seluruh rantai sertifikat, jika ada.

Apakah LAYANAN Federasi Direktori Aktif mendukung permintaan HEAD?

Layanan Federasi Direktori Aktif tidak mendukung permintaan HEAD. Aplikasi tidak boleh menggunakan permintaan HEAD terhadap titik akhir AD FS. Menggunakan permintaan ini dapat menyebabkan respons kesalahan HTTP yang tidak terduga atau tertunda. Anda mungkin juga melihat peristiwa kesalahan tak terduga di log peristiwa Layanan Federasi Direktori Aktif.

Mengapa saya tidak melihat token refresh saat masuk dengan IdP jarak jauh?

Token refresh tidak dikeluarkan jika token yang dikeluarkan oleh IdP memiliki validitas kurang dari satu jam. Untuk memastikan token refresh dikeluarkan, tingkatkan validitas token yang dikeluarkan oleh IdP menjadi lebih dari satu jam.

Apakah ada cara untuk mengubah algoritma enkripsi token RP?

Enkripsi token RP diatur ke AES256. Anda tidak dapat mengubahnya ke nilai lain.

Pada farm mode campuran, saya mendapatkan kesalahan ketika saya mencoba mengatur sertifikat SSL baru dengan menggunakan Set-AdfsSslCertificate -Thumbprint. Bagaimana cara memperbarui sertifikat SSL di farm AD FS mode campuran?

Farm Layanan Federasi Direktori Aktif mode campuran dimaksudkan untuk sementara. Kami menyarankan agar selama perencanaan Anda, Anda menggulirkan sertifikat SSL sebelum proses peningkatan atau menyelesaikan proses dan meningkatkan tingkat perilaku farm sebelum Anda memperbarui sertifikat SSL. Jika rekomendasi tersebut tidak diikuti, gunakan instruksi berikut untuk memperbarui sertifikat SSL.

Di server Proksi Aplikasi Web, Anda masih dapat menggunakan Set-WebApplicationProxySslCertificate. Di server Layanan Federasi Direktori Aktif, Anda perlu menggunakan netsh. Selesaikan langkah-langkah berikut:

  1. Pilih subset server AD FS 2016 untuk pemeliharaan.

  2. Pada server yang dipilih di langkah sebelumnya, impor sertifikat baru melalui MMC.

  3. Hapus sertifikat yang ada:

    a. netsh http delete sslcert hostnameport=fs.contoso.com:443

    b. netsh http delete sslcert hostnameport=localhost:443

    c. netsh http delete sslcert hostnameport=fs.contoso.com:49443

  4. Tambahkan sertifikat baru:

    a. netsh http add sslcert hostnameport=fs.contoso.com:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable sslctlstorename=AdfsTrustedDevices

    b. netsh http add sslcert hostnameport=localhost:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable

    c. netsh http add sslcert hostnameport=fs.contoso.com:49443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable clientcertnegotiation=Enable

  5. Mulai ulang layanan Layanan Federasi Direktori Aktif pada server yang dipilih.

  6. Hapus subset server Proksi Aplikasi Web untuk pemeliharaan.

  7. Pada server Proksi Aplikasi Web yang dipilih, impor sertifikat baru melalui MMC.

  8. Atur sertifikat baru pada server Proksi Aplikasi Web dengan menggunakan cmdlet ini:

    • Set-WebApplicationProxySslCertificate -Thumbprint " CERTTHUMBPRINT"

  9. Mulai ulang layanan pada server Proksi Aplikasi Web yang dipilih.

  10. Letakkan kembali Server Proksi Aplikasi Web dan LAYANAN Federasi Direktori Aktif yang dipilih di lingkungan produksi.

Perbarui server Ad FS dan Proksi Aplikasi Web lainnya dengan cara yang sama.

Apakah LAYANAN Federasi Direktori Aktif didukung saat server Proksi Aplikasi Web berada di belakang Azure Web Application Firewall (WAF)?

Layanan Federasi Direktori Aktif dan server Aplikasi Web mendukung firewall apa pun yang tidak melakukan penghentian SSL di titik akhir. Selain itu, server Ad FS / Web Application Proxy memiliki mekanisme bawaan untuk:

  • Membantu mencegah serangan web umum seperti pembuatan skrip lintas situs.
  • Lakukan proksi Layanan Federasi Direktori Aktif.
  • Memenuhi semua persyaratan yang ditentukan oleh protokol MS-ADFSPIP.

Saya mendapatkan "Peristiwa 441: Token dengan kunci pengikatan token yang buruk ditemukan." Apa yang harus saya lakukan untuk mengatasi kejadian ini?

Dalam Layanan Federasi Direktori Aktif 2016, pengikatan token diaktifkan secara otomatis dan menyebabkan beberapa masalah yang diketahui dengan skenario proksi dan federasi. Masalah ini menyebabkan peristiwa ini. Untuk mengatasi kejadian ini, jalankan perintah PowerShell berikut untuk menghapus dukungan pengikatan token:

Set-AdfsProperties -IgnoreTokenBinding $true

Saya meningkatkan farm saya dari Layanan Federasi Direktori Aktif di Windows Server 2016 ke Layanan Federasi Direktori Aktif di Windows Server 2019. Tingkat perilaku farm untuk farm Layanan Federasi Direktori Aktif telah dinaikkan ke Windows Server 2019, tetapi konfigurasi Proksi Aplikasi Web masih ditampilkan sebagai Windows Server 2016.

Setelah peningkatan ke Windows Server 2019, versi konfigurasi Proksi Aplikasi Web akan terus ditampilkan sebagai Windows Server 2016. Proksi Aplikasi Web tidak memiliki fitur khusus versi baru untuk Windows Server 2019. Jika tingkat perilaku farm telah dinaikkan pada Layanan Federasi Direktori Aktif, Proksi Aplikasi Web akan terus ditampilkan sebagai Windows Server 2016. Perilaku ini secara desain.

Dapatkah saya memperkirakan ukuran ADFSArtifactStore sebelum saya mengaktifkan ESL?

Saat ESL diaktifkan, Layanan Federasi Direktori Aktif melacak aktivitas akun dan lokasi yang diketahui untuk pengguna di database ADFSArtifactStore. Database ini menskalakan relatif terhadap jumlah pengguna dan lokasi yang diketahui yang dilacak. Saat Anda berencana mengaktifkan ESL, Anda dapat memperkirakan bahwa database ADFSArtifactStore akan tumbuh pada tingkat hingga 1 GB per 100.000 pengguna.

Jika farm Layanan Federasi Direktori Aktif menggunakan Database Internal Windows, lokasi default untuk file database adalah C:\Windows\WID\Data. Untuk mencegah pengisian drive ini, pastikan untuk memiliki setidaknya 5 GB penyimpanan gratis sebelum Anda mengaktifkan ESL. Selain penyimpanan disk, rencanakan total memori proses bertambah setelah Anda mengaktifkan ESL hingga RAM 1 GB lain untuk populasi pengguna sebesar 500.000 atau kurang.

Saya mendapatkan Event ID 570 di Layanan Federasi Direktori Aktif 2019. Bagaimana cara mengurangi kejadian ini?

Berikut adalah teks peristiwa:

Active Directory trust enumeration was unable to enumerate one of more domains due to the following error. Enumeration will continue but the Active Directory identifier list may not be correct. Validate that all expected Active Directory identifiers are present by running Get-ADFSDirectoryProperties.

Peristiwa ini terjadi ketika forest tidak dipercaya ketika Layanan Federasi Direktori Aktif mencoba menghitung semua hutan dalam rantai hutan tepercaya dan terhubung di semua hutan. Misalnya, asumsikan Ad FS Forest A dan Forest B tepercaya dan hutan B dan Forest C tepercaya. Layanan Federasi Direktori Aktif akan menghitung ketiga forest dan mencoba menemukan kepercayaan antara Forest A dan Forest C. Jika pengguna dari forest yang gagal harus diautentikasi oleh Layanan Federasi Direktori Aktif, siapkan kepercayaan antara forest Layanan Federasi Direktori Aktif dan forest yang gagal. Jika pengguna dari forest yang gagal tidak boleh diautentikasi oleh Layanan Federasi Direktori Aktif, abaikan peristiwa ini.

Saya mendapatkan ID Peristiwa 364. Apa yang harus saya lakukan untuk mengatasi masalah ini?

Berikut adalah teks peristiwa:

Microsoft.IdentityServer.AuthenticationFailedException: MSIS5015: Authentication of the presented token failed. Token Binding claim in token must match the binding provided by the channel.

Dalam Layanan Federasi Direktori Aktif 2016, pengikatan token diaktifkan secara otomatis dan menyebabkan beberapa masalah yang diketahui dengan skenario proksi dan federasi. Masalah ini menyebabkan peristiwa ini. Untuk mengatasi peristiwa tersebut, jalankan perintah PowerShell berikut untuk menghapus dukungan pengikatan token:

Set-AdfsProperties -IgnoreTokenBinding $true

Saya mendapatkan ID Peristiwa 543. Bagaimana cara mengurangi kejadian ini?

Berikut adalah teks peristiwa:

System.ServiceModel.FaultException: The formatter threw an error while trying to deserialize the message: There was an error while trying to deserialize parameter schemas.microsoft.com/ws/2009/12/identityserver/protocols/policystore:maxBehaviorLevel". The InnerException message was "Invalid enum value 'Win2019' cannot be deserialized into type 'Microsoft.IdentityServer.FarmBehavior'. Ensure that the necessary enum values are present and are marked with EnumMemberAttribute attribute if the type has DataContractAttribute attribute.

Kejadian ini diharapkan ketika kedua pernyataan ini benar:

  • Anda memiliki farm mode campuran.
  • Layanan Federasi Direktori Aktif 2019 menyediakan informasi tingkat perilaku maks farm ke server federasi utama dan tidak dikenali oleh server federasi versi 2016.

Layanan Federasi Direktori Aktif 2019 terus mencoba berbagi di farm, nilai Win2019 MaxBehaviorLevel hingga menjadi basi setelah dua bulan dan secara otomatis dihapus dari farm. Untuk menghindari mendapatkan peristiwa ini, migrasikan peran federasi utama ke server federasi dengan versi terbaru. Ikuti instruksi di Untuk meningkatkan farm Layanan Federasi Direktori Aktif Anda ke Tingkat Perilaku Farm Windows Server 2019.