Condividi tramite


Configurare un computer per il ruolo proxy server federativo

Dopo aver configurato un computer con i certificati necessari e aver installato il ruolo di Proxy del Servizio federativo, è possibile configurare il computer come server proxy federativo. È possibile utilizzare la procedura seguente in modo che il computer agisca nel ruolo proxy server federativo.

Importante

Prima di utilizzare questa procedura per configurare il computer proxy server federativo, assicurarsi di aver seguito tutti i passaggi descritti in Elenco di controllo: Configurazione di un proxy server federativo nell'ordine in cui sono elencati. Assicurarsi che sia distribuito almeno un server federativo e che siano implementate tutte le credenziali necessarie per l'autorizzazione di una configurazione proxy server federativo. È inoltre necessario configurare associazioni SSL (Secure Sockets Layer) nel sito Web predefinito oppure questa procedura guidata non verrà avviata. Tutte queste attività devono essere completate prima che questo proxy server federativo possa funzionare.

Dopo aver completato la configurazione del computer, verificare che il proxy server federativo funzioni come previsto. Per altre informazioni, vedere Verificare che un proxy server federativo sia operativo.

L'appartenenza al gruppo Administrators, o a un gruppo equivalente, nel computer locale è il requisito minimo per eseguire questa procedura. Rivedi i dettagli sull'utilizzo corretto degli account e delle appartenenze ai gruppi in Gruppi Predefiniti Locali e di Dominio.

Per configurare un computer per il ruolo proxy server federativo

  1. Esistono due modi per avviare la Guida alla configurazione del server di federazione AD FS. Per avviare la procedura guidata, scegliere una delle seguenti opzioni:

    • Nella schermata Start digitareConfigurazione guidata proxy server federativo AD FS e quindi premere INVIO.

    • Al termine dell'installazione guidata, aprire Esplora risorse, passare alla cartella C:\Windows\ADFS e quindi fare doppio clic su FspConfigWizard.exe.

  2. Usando uno dei due metodi, avviare la procedura guidata e nella pagina iniziale fare clic su Avanti.

  3. Nella pagina Specificare il nome del servizio federativo , in Nome servizio federativo, digitare il nome che rappresenta il servizio federativo per il quale il computer agisce nel ruolo proxy.

  4. In base ai requisiti di rete specifici, determinare se è necessario usare un server proxy HTTP per inoltrare le richieste al servizio federativo. In tal caso, selezionare la casella di controllo Usa un server proxy HTTP quando si inviano richieste a questo servizio federativo , in Indirizzo server proxy HTTP digitare l'indirizzo del server proxy, fare clic su Test connessione per verificare la connettività e quindi fare clic su Avanti.

  5. Quando richiesto, specificare le credenziali necessarie per stabilire un trust tra il proxy server federativo e il servizio federativo.

    Per impostazione predefinita, solo l'account del servizio usato dal servizio federativo o un membro del gruppo BUILTIN\Administrators locale può autorizzare un proxy server federativo.

  6. Nella pagina Pronto per l'applicazione delle impostazioni esamina i dettagli. Se le impostazioni sembrano corrette, fare clic su Avanti per iniziare a configurare il computer con queste impostazioni proxy.

  7. Nella pagina dei risultati della configurazione , esaminare i risultati. Al termine di tutti i passaggi di configurazione, fare clic su Chiudi per uscire dalla procedura guidata.

    Non è disponibile alcun snap-in di Microsoft Management Console (MMC) da usare per l'amministrazione dei proxy del server federativo. Per configurare le impostazioni per ogni proxy server federativo nell'organizzazione, usare i cmdlet di Windows PowerShell.

Configurazione di una porta TCP/IP alternativa per le operazioni proxy

Per impostazione predefinita, il servizio proxy server federativo è configurato per l'uso della porta TCP 443 per il traffico HTTPS e la porta 80 per il traffico HTTP per la comunicazione con il server federativo. Per configurare porte diverse, ad esempio la porta TCP 444 per HTTPS e la porta 81 per HTTP, è necessario completare le attività seguenti.

Nota

Se si intende inizialmente distribuire AD FS per operare su porte TCP/IP alternative, è necessario prima modificare le porte nelle associazioni di protocollo su IIS per HTTP e HTTPS sui computer server federativo e proxy server federativo. Questa operazione deve verificarsi prima di eseguire le procedure guidate di configurazione di AD FS per la configurazione iniziale. Se si configura prima Internet Information Services (IIS), le impostazioni della porta TCP/IP alternative vengono individuate quando si verifica la configurazione basata su procedura guidata in AD FS e la procedura seguente non è necessaria. Se si desidera modificare le impostazioni delle porte in un secondo momento, aggiornare prima le associazioni del protocollo IIS e quindi usare la procedura seguente per aggiornare le impostazioni delle porte in modo appropriato. Per altre informazioni sulla modifica delle associazioni IIS, vedere l'articolo 149605 nella Microsoft Knowledge Base.

Per configurare porte TCP/IP alternative per il proxy server federativo da usare

  1. Configurare il server federativo per l'uso delle porte non predefinite.

    A tale scopo, specificare il numero di porta non predefinito includendolo con le opzioni HttpsPort e HttpPort come parte del cmdlet Set-ADFSProperties . Ad esempio, per configurare queste porte, usare i comandi seguenti nella sessione di Windows PowerShell nel computer server federativo:

    Set-ADFSProperties -HttpsPort 444
    Set-ADFSProperties -HttpPort 81
    
  2. Configurare il proxy server federativo per l'uso della porta non predefinita.

    A tale scopo, specificare il numero di porta non predefinito includendolo con le opzioni HttpsPort e HttpPort come parte del cmdlet Set-ADFSProxyProperties . Ad esempio, per configurare queste porte, usare i comandi seguenti nella sessione di Windows PowerShell nel computer server federativo:

    Set-ADFSProxyProperties -HttpsPort 444
    Set-ADFSProxyProperties -HttpPort 81
    

    Nota

    Gli URL degli endpoint non sono abilitati per impostazione predefinita per il servizio proxy server federativo. Se si sta configurando una nuova installazione del server federativo, è necessario prima abilitare gli endpoint del servizio proxy del server federativo. Si presume, ad esempio, che per tutti gli endpoint a cui l'esempio in questa procedura si riferisce, l'utente li abbia abilitati per il proxy selezionandoli nello snap-in Gestione AD FS e poi selezionando Abilita nel proxy.

  3. Aggiornare l'installazione di IIS nel proxy server federativo in modo che gli endpoint SAML (Security Assertion Markup Language) e WS-Trust siano configurati in modo da riflettere il numero di porta aggiornato. A tale scopo, è possibile usare il Blocco note per modificare quanto segue nel file Web.config, che si trova in systemdrive%\inetpub\adfs\ls\ nel computer proxy server federativo. Si supponga, ad esempio, di avere un server della federazione denominato sts1.contoso.com e che il nuovo numero di porta sia 444, passare a e aprire il file Web.config nel Blocco note sul computer proxy del server della federazione, individuare la sezione seguente, modificare il numero di porta come evidenziato di seguito e poi salvare ed uscire dal Blocco note.

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
          wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />
    
  4. Aggiungere l'account utente del servizio proxy server federativo all'elenco di controllo di accesso (ACL) per gli URL degli endpoint correlati. Ad esempio, se il numero di porta è 1234 e l'account utente usato per eseguire il servizio proxy del server AD FS Federation è l'account del Servizio di rete predefinito, digitare il comando seguente al prompt dei comandi:

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
    netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
    netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"
    
    netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"
    

    I comandi precedenti devono essere eseguiti sia nel server federativo che nei computer proxy del server federativo.

Altri riferimenti

elenco di controllo : configurazione di un proxy server federativo