Gestire e personalizzare AD FS usando Azure AD Connect

  • Articolo
  • 10 minuti per la lettura

In questo articolo viene descritto come gestire e personalizzare Active Directory Federation Services (ADFS) tramite Azure Active Directory (Azure AD) Connect.

Verranno inoltre fornite informazioni su altre attività comuni di AD FS che potrebbe essere necessario eseguire per configurare completamente una farm AD FS. Queste attività sono elencate nella tabella seguente:

Attività Descrizione
Gestire AD FS
Ripristinare l'attendibilità Informazioni su come ripristinare il trust federativo con Microsoft 365.
Eseguire la federazione con Azure AD usando un ID di accesso alternativo Informazioni su come configurare la federazione usando un ID di accesso alternativo.
Aggiungere un server AD FS Informazioni su come espandere una farm AD FS con un server AD FS aggiuntivo.
Aggiungere un server WEB Application Proxy (WAP) AD FS Informazioni su come espandere una farm AD FS con un server WAP aggiuntivo.
Aggiunta di un dominio federato Informazioni su come aggiungere un dominio federato.
Aggiornare il certificato TLS/SSL Informazioni su come aggiornare il certificato TLS/SSL per una farm AD FS.
Personalizzare AD FS
Aggiungere un'illustrazione o il logo personalizzato della società Informazioni su come personalizzare una pagina di accesso di AD FS con un logo e un'illustrazione della società.
Aggiungere una descrizione di accesso Informazioni su come aggiungere una descrizione della pagina di accesso.
Modificare le regole attestazioni per AD FS Informazioni su come modificare le attestazioni DI AD FS per diversi scenari di federazione.

Gestire AD FS

È possibile eseguire diverse operazioni relative ad Azure AD Connect con la procedura guidata di Azure AD Connect con un intervento minimo dell'utente. Dopo aver completato l'installazione di Azure AD Connect eseguendo la procedura guidata, è possibile eseguirla di nuovo per eseguire altre attività.

Ripristinare il trust

È possibile usare Azure AD Connect per controllare l'integrità corrente dell'attendibilità di AD FS e Azure AD e quindi eseguire le azioni appropriate per ripristinare l'attendibilità. Per ripristinare l'attendibilità di Azure AD e AD FS, eseguire le operazioni seguenti:

  1. Selezionare Ripristina AAD e Attendibilità ADFS dall'elenco delle attività.

    Screenshot della pagina

  2. Nella pagina Connetti ad Azure AD specificare le credenziali di amministratore dell'identità ibrida per Azure AD e quindi selezionare Avanti.

    Screenshot che mostra la pagina

  3. Nella pagina Credenziali di accesso remoto specificare le credenziali dell'amministratore di dominio.

    Screenshot che mostra la pagina

  4. Selezionare Avanti.

    Azure AD Connect verifica l'integrità dei certificati e mostra eventuali problemi.

    Screenshot della pagina

    La pagina Pronto per la configurazione mostra l'elenco delle azioni che verranno eseguite per ripristinare il trust.

    Screenshot che mostra la pagina

  5. Selezionare Installa per ripristinare l'attendibilità.

Nota

Azure AD Connect può ripristinare o agire solo su certificati autofirmati. I certificati di terze parti non possono essere ripristinati da Azure AD Connect.

Eseguire la federazione con Azure AD usando alternateID

È consigliabile mantenere il nome dell'entità utente locale (UPN) e il nome dell'entità utente cloud uguali. Se l'UPN locale usa un dominio non instradabile (ad esempio, Contoso.local) o non può essere modificato a causa delle dipendenze dell'applicazione locale, è consigliabile configurare un ID di accesso alternativo. Usando un ID di accesso alternativo, è possibile configurare un'esperienza di accesso in cui gli utenti possono accedere con un attributo diverso dall'UPN, ad esempio un indirizzo di posta elettronica.

Per impostazione predefinita, la scelta dell'UPN in Azure AD Connect è l'attributo userPrincipalName in Active Directory. Se si sceglie un altro attributo per l'UPN e si esegue la federazione tramite AD FS, Azure AD Connect configura AD FS per un ID di accesso alternativo.

Un esempio di scelta di un attributo diverso per l'UPN è illustrato nell'immagine seguente:

Screenshot che mostra la pagina

La configurazione di un ID di accesso alternativo per AD FS è costituita da due passaggi principali:

  1. Configurare il set corretto di attestazioni di rilascio: le regole di attestazione di rilascio nel trust della relying party di Azure AD vengono modificate per usare l'attributo UserPrincipalName selezionato come ID alternativo dell'utente.

  2. Abilitare un ID di accesso alternativo nella configurazione di AD FS: la configurazione di AD FS viene aggiornata in modo che AD FS possa cercare gli utenti nelle foreste appropriate usando l'ID alternativo. Questa configurazione è supportata per AD FS in Windows Server 2012 R2 (con KB2919355) o versioni successive. Se i server AD FS sono 2012 R2, Azure AD Connect controlla la presenza della KB richiesta. Se la knowledge base non viene rilevata, viene visualizzato un avviso al termine della configurazione, come illustrato nell'immagine seguente:

    Screenshot della pagina

    Se è presente una knowledge base mancante, è possibile risolvere la configurazione installando l'kb2919355 richiesto. È quindi possibile seguire le istruzioni riportate in Ripristinare l'attendibilità.

Nota

Per altre informazioni su alternateID e sulla procedura per configurarla manualmente, vedere Configurare un ID di accesso alternativo.

Aggiungere un server AD FS

Nota

Per aggiungere un server AD FS, Azure AD Connect richiede un certificato PFX. È quindi possibile eseguire questa operazione solo se la farm AD FS è stata configurata con Azure AD Connect.

  1. Selezionare Distribuisci un server federativo aggiuntivo e quindi selezionare Avanti.

    Screenshot del riquadro

  2. Nella pagina Connetti ad Azure AD immettere le credenziali di Amministratore identità ibride per Azure AD e quindi selezionare Avanti.

    Screenshot che mostra la pagina

  3. Specificare le credenziali di amministratore di dominio.

    Screenshot che mostra la pagina

  4. Azure AD Connect richiede la password del file PFX specificato durante la configurazione della nuova farm AD FS con Azure AD Connect. Selezionare Enter Password (Immetti password ) per specificare la password per il file PFX.

    Screenshot della pagina

    Screenshot che mostra la pagina

  5. Nella pagina Server ADFS immettere il nome del server o l'indirizzo IP da aggiungere alla farm ADFS.

    Screenshot che mostra la pagina

  6. Selezionare Avanti e quindi continuare a completare la pagina finale Configura .

    Al termine dell'aggiunta dei server alla farm AD FS, azure AD Connect avrà la possibilità di verificare la connettività.

    Screenshot che mostra la pagina

    Screenshot che mostra la pagina

Aggiungere un server WAP AD FS

Nota

Per aggiungere un server web Application Proxy, Azure AD Connect richiede il certificato PFX. È quindi possibile eseguire questa operazione solo dopo aver configurato la farm AD FS usando Azure AD Connect.

  1. Selezionare Distribuisci il proxy applicazione Web (nessuno attualmente configurato) nell'elenco delle attività disponibili.

    Distribuire il Proxy applicazione Web

  2. Specificare le credenziali di amministratore dell'identità ibrida di Azure.

    Screenshot che mostra la pagina

  3. Nella pagina Specificare il certificato SSL indicare la password per il file PFX specificato durante la configurazione della farm AD FS con Azure AD Connect. Password del certificato

    Specificare il certificato TLS/SSL

  4. Aggiungere il server da usare come server WAP. Dato che il server WAP potrebbe anche non essere aggiunto al dominio, la procedura guidata richiede le credenziali amministrative da aggiungere per il server.

    Credenziali amministrative del server

  5. Nella pagina Credenziali attendibilità proxy specificare le credenziali amministrative per configurare l'attendibilità del proxy e accedere al server primario nella farm AD FS.

    Credenziali di attendibilità del proxy

  6. La pagina Pronto per la configurazione della procedura guidata mostra l'elenco delle azioni che verranno eseguite.

    Screenshot che mostra la pagina

  7. Selezionare Installa per completare la configurazione. Al termine della configurazione, la procedura guidata offre la possibilità di verificare la connettività ai server. Selezionare Verifica per verificare la connettività.

    Installazione completata

Aggiunta di un dominio federato

Con Azure AD Connect è facile aggiungere un dominio per la federazione con Azure AD. Azure AD Connect aggiunge il dominio per la federazione e modifica le regole attestazioni per riflettere correttamente l'autorità di certificazione quando sono presenti più domini federati con Azure AD.

  1. Per aggiungere un dominio federato, selezionare Aggiungi un dominio azure AD aggiuntivo.

    Screenshot del riquadro

  2. Nella pagina successiva della procedura guidata specificare le credenziali di amministratore globale per Azure AD.

    Screenshot che mostra il riquadro

  3. Nella pagina Credenziali di accesso remoto specificare le credenziali di amministratore del dominio.

    Screenshot che mostra il riquadro

  4. Nella pagina successiva la procedura guidata mostra un elenco di domini di Azure AD con cui è possibile attuare la federazione della directory locale. Scegliere il dominio dall'elenco.

    Screenshot del riquadro

    Dopo aver scelto il dominio, la procedura guidata informa di ulteriori azioni che verranno eseguite e dell'impatto della configurazione. In alcuni casi, se si seleziona un dominio non ancora verificato in Azure AD, la procedura guidata consente di verificare il dominio. Per altre informazioni, vedere Aggiungere il nome di dominio personalizzato ad Azure Active Directory.

  5. Selezionare Avanti.

    La pagina Pronto per configurare elenca le azioni eseguite da Azure AD Connect.

    Screenshot del riquadro

  6. Selezionare Installa per completare la configurazione.

Nota

Gli utenti del dominio federato aggiunto devono essere sincronizzati prima di poter accedere ad Azure AD.

Personalizzare AD FS

Le sezioni seguenti forniscono informazioni dettagliate su alcune delle attività comuni che è possibile eseguire per personalizzare la pagina di accesso di AD FS.

Per modificare il logo della società visualizzato nella pagina Accesso , usare la sintassi e il cmdlet di Windows PowerShell seguenti.

Nota

Le dimensioni consigliate per il logo sono 260 x 35 a 96 DPI, con dimensioni del file non maggiori di 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Nota

Il parametro TargetName è obbligatorio. Il tema predefinito incluso in AD FS è denominato Predefinito.

Aggiungere una descrizione di accesso

Per aggiungere una descrizione alla Pagina di accessostessa, usare la sintassi e il cmdlet di Windows PowerShell seguenti.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modificare le regole attestazioni per AD FS

AD FS supporta un linguaggio di attestazione avanzato che può essere usato per creare regole attestazioni personalizzate. Per altre informazioni, vedere Ruolo del linguaggio delle regole attestazioni.

Le sezioni seguenti descrivono come scrivere regole personalizzate per alcuni scenari relativi alla federazione di AD FS e Azure AD.

ID non modificabile in base alla presenza di un valore nell'attributo

Azure AD Connect consente di specificare un attributo da usare come ancoraggio di origine durante la sincronizzazione degli oggetti con Azure AD. Se il valore nell'attributo personalizzato non è vuoto, potrebbe essere necessario emettere un'attestazione ID non modificabile.

Ad esempio, è possibile selezionare come attributo per l'ancoraggio di origine e rilasciare ms-ds-consistencyguidImmutableID , come ms-ds-consistencyguid nel caso in cui l'attributo abbia un valore su di esso. Se non è presente alcun valore rispetto all'attributo, eseguire il problema objectGuid come ID non modificabile. È possibile costruire il set di regole attestazioni personalizzate come descritto nella sezione seguente.

Regola 1: Attributi della query

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

In questa regola si esegue una query sui valori di ms-ds-consistencyguid e objectGuid per l'utente da Active Directory. Modificare il nome dell'archivio con un nome di archivio appropriato nella distribuzione di AD FS. Modificare anche il tipo di attestazioni in un tipo di attestazione appropriato per la federazione, come definito per objectGuid e ms-ds-consistencyguid.

Inoltre, usando add e non issue, si evita di aggiungere un problema in uscita per l'entità e può usare i valori come valori intermedi. L'attestazione verrà eseguita in una regola successiva dopo aver stabilito quale valore usare come ID non modificabile.

Regola 2: verificare se ms-ds-consistencyguid esiste per l'utente

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Questa regola definisce un flag temporaneo denominato idflag impostato su useguid se l'utente non ms-ds-consistencyguid è popolato. La logica sottostante è che AD FS non consente attestazioni vuote. Quando si aggiungono attestazioni http://contoso.com/ws/2016/02/identity/claims/objectguid e http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid nella regola 1, si finisce con un'attestazione msdsconsistencyguid solo se il valore viene popolato per l'utente. Se non è popolato, AD FS rileva che avrà un valore vuoto e lo rimuove immediatamente. Tutti gli oggetti avranno objectGuid, in modo che l'attestazione sia sempre presente dopo l'esecuzione della regola 1.

Regola 3: Rilasciare ms-ds-consistencyguid come ID non modificabile se presente

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Si tratta di un controllo implicito Exist . Se il valore per l'attestazione esiste, rilasciarlo come ID non modificabile. L'esempio precedente usa l'attestazione nameidentifier . Sarà necessario sostituirla con il tipo di attestazione appropriato per l'ID non modificabile nel proprio ambiente.

Regola 4: Problema objectGuid come ID non modificabile se ms-ds-consistencyGuid non è presente

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Con questa regola, si sta semplicemente controllando il flag idflagtemporaneo . Decidere se rilasciare l'attestazione in base al relativo valore.

Nota

La sequenza delle regole è importante.

SSO con un UPN di sottodominio

È possibile aggiungere più domini per la federazione usando Azure AD Connect, come descritto in Aggiungere un nuovo dominio federato. Azure AD Connect versione 1.1.553.0 e versioni successive creano automaticamente la regola issuerID attestazione corretta. Se non è possibile usare Azure AD Connect versione 1.1.553.0 o successiva, è consigliabile usare lo strumento Regole attestazioni RPT di Azure AD per generare e impostare regole di attestazione corrette per l'attendibilità della relying party di Azure AD.

Passaggi successivi

Altre informazioni sulle opzioni di accesso utente.