Eventi
9 apr, 15 - 10 apr, 12
Code the Future with AI and connect with Java peers and experts at JDConf 2025 (Code the Future with AI and connect with Java peers and experts at JDConf 2025).
Registrati adessoGestire e personalizzare AD FS tramite Microsoft Entra Connect
Questo articolo descrive come gestire e personalizzare Active Directory Federation Services (AD FS) tramite Microsoft Entra Connect.
Verranno inoltre fornite informazioni su altre attività comuni di AD FS che potrebbe essere necessario eseguire per configurare completamente una farm AD FS. Queste attività sono elencate nella tabella seguente:
| Attività | Descrizione |
|---|---|
| Gestire AD FS | |
| Ripristinare il trust | Informazioni su come ripristinare la relazione di trust federativa con Microsoft 365. |
| Eseguire la federazione con Microsoft Entra ID usando un ID di accesso alternativo | Informazioni su come configurare la federazione usando un ID di accesso alternativo. |
| Aggiungere un server AD FS | Informazioni su come espandere una farm AD FS con un server AD FS aggiuntivo. |
| Aggiungere un server proxy applicazione web AD FS (WAP) | Informazioni su come espandere una farm AD FS con un server WAP aggiuntivo. |
| Aggiungi un dominio federato | Informazioni su come aggiungere un dominio federato. |
| Aggiornare il certificato TLS/SSL | Informazioni su come aggiornare il certificato TLS/SSL per una farm AD FS. |
| Personalizzare AD FS | |
| Aggiungere un'illustrazione o il logo personalizzato della società | Informazioni su come personalizzare una pagina di accesso di AD FS con un logo e un'illustrazione aziendali. |
| Aggiungere una descrizione di accesso | Informazioni su come aggiungere una descrizione della pagina di accesso. |
| Modificare le regole delle attestazioni per AD FS | Informazioni su come modificare le attestazioni AD FS per diversi scenari di federazione. |
È possibile eseguire varie attività correlate ad AD FS in Microsoft Entra Connect con un intervento minimo dell'utente tramite la procedura guidata Microsoft Entra Connect. Dopo aver completato l'installazione di Microsoft Entra Connect eseguendo la procedura guidata, è possibile eseguirla di nuovo per eseguire altre attività.
Importante
Si noti che se si sta configurando la federazione con AD FS o PingFederate, sarà necessario un account con il ruolo di amministratore globale o un account con il amministratore delle identità ibride e amministratore dei nomi di dominio ruoli. Le configurazioni correlate alla federazione richiedono autorizzazioni di cui l'amministratore delle identità ibride non dispone attualmente, ma che sono incluse nel ruolo di amministratore del nome di dominio .
È possibile usare Microsoft Entra Connect per controllare l'integrità corrente dell'attendibilità di AD FS e Microsoft Entra ID e quindi intraprendere azioni appropriate per ripristinare l'attendibilità. Per ripristinare l'ID Microsoft Entra e l'attendibilità di AD FS, eseguire le operazioni seguenti:
Selezionare Ripara ID Microsoft Entra e Attendibilità di ADFS dall'elenco delle attività.
Nella pagina Connetti a Microsoft Entra ID specificare le credenziali di amministratore delle identità ibride per Microsoft Entra ID e quindi selezionare Avanti.
Nella pagina Credenziali di accesso remoto specificare le credenziali dell'amministratore di dominio.
Selezionare Avanti.
Microsoft Entra Connect controlla l'integrità del certificato e mostra eventuali problemi.
La pagina Pronto per la configurazione mostra l'elenco delle azioni che verranno eseguite per ripristinare il trust.
Selezionare Installa per ripristinare l'attendibilità.
Nota
Microsoft Entra Connect può riparare o agire solo su certificati autofirmati. Microsoft Entra Connect non è in grado di ripristinare i certificati di terze parti.
È consigliabile mantenere il nome dell'entità utente locale (UPN) e il nome dell'entità utente cloud uguali. Se l'UPN locale usa un dominio non instradabile (ad esempio, Contoso.local) o non può essere modificato a causa delle dipendenze dell'applicazione locale, è consigliabile configurare un ID di accesso alternativo. Usando un ID di accesso alternativo, è possibile configurare un'esperienza di accesso in cui gli utenti possono accedere con un attributo diverso dal proprio UPN, ad esempio un indirizzo di posta elettronica.
Per impostazione predefinita, la scelta dell'UPN in Microsoft Entra Connect viene impostata sull'attributo userPrincipalName in Active Directory. Se si sceglie un altro attributo per l'UPN e si esegue la federazione tramite AD FS, Microsoft Entra Connect configura AD FS per un ID di accesso alternativo.
Un esempio di scelta di un attributo diverso per l'UPN è illustrato nell'immagine seguente:
La configurazione di un ID di accesso alternativo per AD FS è costituita da due passaggi principali:
Configurare il set corretto di attestazioni di rilascio: le regole di attestazioni di rilascio nella fiducia della parte fidata dell'ID Microsoft Entra sono modificate per utilizzare l'attributo UserPrincipalName selezionato come ID alternativo per l'utente.
Abilitare un ID di accesso alternativo nella configurazione di AD FS: la configurazione di AD FS viene aggiornata in modo che AD FS possa cercare gli utenti nelle foreste appropriate usando l'ID alternativo. Questa configurazione è supportata per AD FS in Windows Server 2012 R2 (con KB2919355) o versioni successive. Se i server AD FS sono 2012 R2, Microsoft Entra Connect verifica la presenza della Knowledge Base necessaria. Se la knowledge base non viene rilevata, viene visualizzato un avviso al termine della configurazione, come illustrato nell'immagine seguente:
Se c'è un KB mancante, è possibile risolvere la configurazione installando il richiesto KB2919355. È quindi possibile seguire le istruzioni riportate in Ripristinare l'attendibilità.
Nota
Per altre informazioni su alternateID e passaggi per configurarlo manualmente, vedere Configurare un ID di accesso alternativo.
Nota
Per aggiungere un server AD FS, Microsoft Entra Connect richiede un certificato PFX. Pertanto, è possibile eseguire questa operazione solo se è stata configurata la farm AD FS utilizzando Microsoft Entra Connect.
Selezionare Distribuisci un server federativo aggiuntivo e quindi selezionare Avanti.
Nella pagina Connetti a Microsoft Entra ID immettere le credenziali di amministratore dell'identità ibrida per Microsoft Entra ID e quindi selezionare Avanti.
Specificare le credenziali di amministratore di dominio.
Microsoft Entra Connect richiede la password del file PFX fornito quando è stata configurata la nuova farm AD FS con Microsoft Entra Connect. Selezionare Immetti password per specificare la password per il file PFX.
Nella pagina Server ADFS immettere il nome del server o l'indirizzo IP da aggiungere alla farm ADFS.
Selezionare Avanti e quindi continuare a completare la pagina finale Configura .
Dopo che Microsoft Entra Connect ha completato l'aggiunta dei server alla farm AD FS, si avrà la possibilità di verificare la connettività.
Nota
Per aggiungere un server Proxy applicazione Web, Microsoft Entra Connect richiede il certificato PFX. Pertanto, è possibile eseguire questa operazione solo dopo aver configurato la farm AD FS usando Microsoft Entra Connect.
Selezionare Distribuisci Proxy Applicazione Web nell'elenco delle attività disponibili.
Specificare le credenziali di amministratore delle identità ibride di Azure.
Nella pagina Configurazione certificato SSL, inserisci la password per il file PFX fornita durante la configurazione della farm AD FS con Microsoft Entra Connect.
Aggiungere il server da usare come server WAP. Dato che il server WAP potrebbe non essere collegato al dominio, la procedura guidata richiede le credenziali amministrative per il server da aggiungere.
Nella pagina Credenziali attendibilità proxy specificare le credenziali amministrative per configurare l'attendibilità del proxy e accedere al server primario nella farm AD FS.
La pagina Pronto per la configurazione della procedura guidata mostra l'elenco delle azioni che verranno eseguite.
Selezionare Installa per completare la configurazione. Al termine della configurazione, la procedura guidata offre la possibilità di verificare la connettività ai server. Selezionare Verifica per verificare la connettività.
È facile aggiungere un dominio da federato con Microsoft Entra ID usando Microsoft Entra Connect. Microsoft Entra Connect aggiunge il dominio per la federazione e modifica le regole di attestazione per riflettere correttamente l'emittente quando si dispone di più domini federati con Microsoft Entra ID.
Per aggiungere un dominio federato, selezionare Aggiungi un altro dominio Microsoft Entra.
Nella pagina successiva della procedura guidata specificare le credenziali di amministratore ibrido per Microsoft Entra ID.
Nella pagina Credenziali di accesso remoto specificare le credenziali di amministratore di dominio.
Nella pagina successiva la procedura guidata fornisce un elenco di domini Microsoft Entra con cui è possibile eseguire la federazione della directory locale. Scegliere il dominio dall'elenco.
Dopo aver scelto il dominio, la procedura guidata ti informa delle ulteriori azioni che verranno eseguite e dell'impatto della configurazione. In alcuni casi, se si seleziona un dominio non ancora verificato in Microsoft Entra ID, la procedura guidata consente di verificare il dominio. Per altre informazioni, vedere Aggiungere il nome di dominio personalizzato a Microsoft Entra ID.
Selezionare Avanti.
Nella pagina Pronto per la configurazione sono elencate le azioni che verranno eseguite da Microsoft Entra Connect.
Selezionare Installa per completare la configurazione.
Nota
Gli utenti nel dominio federato aggiunto devono essere sincronizzati prima di poter accedere all'ID Microsoft Entra.
Le sezioni seguenti forniscono informazioni dettagliate su alcune delle attività comuni che potrebbe essere necessario eseguire per personalizzare la pagina di accesso di AD FS.
Per modificare il logo dell'azienda visualizzato nella pagina di accesso, usare il cmdlet e la sintassi di PowerShell seguenti.
Nota
Le dimensioni consigliate per il logo sono 260 x 35 a 96 DPI, con dimensioni del file non maggiori di 10 KB.
Azure PowerShell
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Nota
Il parametro TargetName è obbligatorio. Il tema predefinito incluso in AD FS è denominato Predefinito.
Per aggiungere una descrizione alla pagina di accesso, usare il cmdlet e la sintassi di PowerShell seguenti.
Azure PowerShell
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
AD FS supporta un linguaggio di attestazione avanzato che può essere usato per creare regole attestazioni personalizzate. Per altre informazioni, vedere Ruolo del linguaggio delle regole di attestazione.
Le sezioni seguenti descrivono come scrivere regole personalizzate per alcuni scenari correlati a Microsoft Entra ID e federazione AD FS.
Microsoft Entra Connect consente di specificare un attributo da usare come ancoraggio di origine quando gli oggetti vengono sincronizzati con Microsoft Entra ID. Se il valore nell'attributo personalizzato non è vuoto, potrebbe essere necessario emettere un'attestazione ID non modificabile.
Ad esempio, è possibile selezionare ms-ds-consistencyguid come attributo per l'ancoraggio di origine e rilasciare ImmutableID come ms-ds-consistencyguid nel caso in cui l'attributo abbia un valore su di esso. Se non esiste alcun valore rispetto all'attributo, rilasciare objectGuid come ID non modificabile. È possibile costruire l'insieme di regole di attestazioni personalizzate come indicato nella sezione seguente.
Regola 1: Attributi della query
claim-rule-language
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
In questa regola si eseguono query sui valori di ms-ds-consistencyguid e objectGuid per l'utente da Active Directory. Modificare il nome dell'archivio con un nome di archivio appropriato nella distribuzione di AD FS. Modificare anche il tipo di attestazioni in un tipo di attestazione appropriato per la federazione, come definito per objectGuid e ms-ds-consistencyguid.
Inoltre, usando add e non issue, si evita di aggiungere un problema in uscita per l'entità e può usare i valori come valori intermedi. Emetterai il reclamo in una regola successiva dopo aver stabilito quale valore utilizzare come ID immutabile.
Regola 2: Verificare se ms-ds-consistencyguid esiste per l'utente
claim-rule-language
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Questa regola definisce un flag temporaneo chiamato idflag che viene impostato su useguid se non è presente alcun ms-ds-consistencyguid per l'utente. La logica sottostante è che AD FS non consente attestazioni vuote. Quando si aggiungono le attestazioni http://contoso.com/ws/2016/02/identity/claims/objectguid e http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid nella Regola 1, si ottiene un'attestazione msdsconsistencyguid solo se il valore è presente per l'utente. Se non è popolato, AD FS rileva che avrà un valore vuoto e lo rimuove immediatamente. Tutti gli oggetti avranno objectGuid, in modo che l'attestazione sia sempre presente dopo l'esecuzione della regola 1.
Regola 3: Utilizzare ms-ds-consistencyguid come ID non modificabile se presente
claim-rule-language
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Si tratta di un controllo implicito Exist . Se il valore per la dichiarazione esiste, emetterlo come ID immutabile. Nell'esempio precedente viene usata l'attestazione nameidentifier . Sarà necessario sostituire il tipo di attestazione con quello appropriato per l'ID immutabile nel vostro contesto.
Regola 4: Rilasciare objectGuid come ID non modificabile se ms-ds-consistencyGuid non è presente
claim-rule-language
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Con questa regola, è sufficiente controllare il flag temporaneo idflag. Tu decidi se rilasciare l'attestazione in base al suo valore.
Nota
La sequenza delle regole è importante.
È possibile aggiungere più domini da federati usando Microsoft Entra Connect, come descritto in Aggiungere un nuovo dominio federato. Microsoft Entra Connect versioni 1.1.553.0 e successive creano automaticamente la regola issuerID di attestazione corretta.
Altre informazioni sulle opzioni di accesso utente.
Risorse aggiuntive
Formazione
Modulo
Implementare e gestire l'identità ibrida - Training
La creazione di una soluzione di identità ibrida per usare l'istanza locale di Active Directory può risultare complessa. Questo modulo illustra come implementare una soluzione di identità ibrida sicura.
Certificazione
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.