Configurare l'ambiente di laboratorio per AD FS in Windows Server 2012 R2

2025-04-08
Si applica a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

In questo argomento vengono illustrati i passaggi per configurare un ambiente di test che può essere usato per completare le esercitazioni nelle guide pratiche seguenti:

Procedura dettagliata: Unione al posto di lavoro con un dispositivo iOS
Procedura dettagliata: Collegamento a Workplace con un dispositivo Windows
Guida dettagliata: Gestire i rischi con il controllo dell'accesso condizionale
Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibili

Nota

Non è consigliabile installare il server Web e il server federativo nello stesso computer.

Per configurare questo ambiente di test, completare la procedura seguente:

Passaggio 1: Configurare il controller di dominio (DC1)

Ai fini di questo ambiente di test, è possibile chiamare il dominio di Active Directory radice contoso.com e specificare pass@word1 come password amministratore.

Installare il ruolo AD DS e i Servizi di dominio Active Directory per configurare il computer come controller di dominio in Windows Server 2012 R2. Questa azione aggiorna lo schema di Active Directory Domain Services durante la creazione del controller di dominio. Per altre informazioni e istruzioni dettagliate, vederehttps://technet.microsoft.com/library/hh472162.aspx.

Creare account Active Directory di test

Dopo che il controller di dominio è funzionale, è possibile creare un gruppo di test e testare gli account utente in questo dominio e aggiungere l'account utente all'account di gruppo. Questi account vengono utilizzati per completare le procedure illustrate nelle guide a cui si fa riferimento in precedenza in questo argomento.

Creare i seguenti account:

Utente: Robert Hatley con le credenziali seguenti: Nome utente: RobertH e password: P@ssword
Gruppo: Finanza

Per informazioni su come creare account utente e di gruppo in Active Directory (AD), vedere https://technet.microsoft.com/library/cc783323%28v.aspx.

Aggiungere l'account Robert Hatley al gruppo Finance . Per informazioni su come aggiungere un utente a un gruppo in Active Directory, vedere https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Creare un account GMSA

L'account del servizio gestito di gruppo (GMSA) è necessario durante l'installazione e la configurazione di Active Directory Federation Services (AD FS).

Per creare un account GMSA

Aprire una finestra di comando di Windows PowerShell e digitare:

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

Passaggio 2: Configurare il server federativo (ADFS1) usando il servizio Registrazione dispositivi

Per configurare un'altra macchina virtuale, installare Windows Server 2012 R2 e connetterla al dominio contoso.com. Configurare il computer dopo averlo aggiunto al dominio e quindi procedere con l'installazione e la configurazione del ruolo AD FS.

Per un video, vedere Active Directory Federation Services How-To Video Series: Installazione di una server farm AD FS.

Installare un certificato SSL del server

È necessario installare un certificato SSL (Secure Socket Layer) per il server sul server ADFS1 nell'archivio del computer locale. Il certificato DEVE avere gli attributi seguenti:

Nome soggetto (CN): adfs1.contoso.com
Nome alternativo del soggetto (DNS): adfs1.contoso.com
Nome alternativo del soggetto (DNS): enterpriseregistration.contoso.com

Per altre informazioni sulla configurazione dei certificati SSL, vedere Configurare SSL/TLS in un sito Web nel dominio con una CA aziendale.

Active Directory Federation Services How-To Video Series: Aggiornamento dei certificati.

Installare il ruolo server di AD FS

Per installare il servizio ruolo Servizio Federazione

Accedere al server usando l'account administrator@contoso.comamministratore di dominio .
Avviare Server Manager. Per avviare Server Manager, fare clic su Server Manager nella schermata Start di Windows oppure fare clic su Server Manager sulla barra delle applicazioni di Windows sul desktop di Windows. Nella scheda Avvio rapido del riquadro Benvenuto della pagina Dashboard fare clic su Aggiungi ruoli e funzionalità. In alternativa, è possibile fare clic Aggiungi ruoli e funzionalità nel menu Gestisci.
Nella pagina Prima di iniziare fare clic su Avanti.
Nella pagina Selezione tipo di installazione fare clic su Installazione basata su ruoli o basata su funzionalità e quindi fare clic su Avanti.
Nella pagina Selezionare il server di destinazione fare clic su Selezionare un server dal pool di server, verificare che il computer di destinazione sia selezionato e quindi fare clic su Avanti.
Nella pagina Selezionare i ruoli del server fare clic su Active Directory Federation Servicese quindi su Avanti.
Nella pagina Seleziona funzionalità, fare clic su Avanti.
Nella pagina Active Directory Federation Service (AD FS) fare clic su Avanti.
Dopo aver verificato le informazioni nella pagina Conferma selezioni di installazione, selezionare la casella di controllo Riavvia automaticamente il server di destinazione se necessario e quindi fare clic su Installa.
Nella pagina stato di avanzamento installazione, verificare che tutto sia installato correttamente e quindi fare clic su Chiudi.

Configurare il server federativo

Il passaggio successivo consiste nel configurare il server federativo.

Per configurare il server federativo

Nella pagina Dashboard di Server Manager fare clic sul flag Notifiche e quindi su Configura il servizio federativo nel server.

Si apre la Procedura guidata di configurazione dei Servizi di federazione di Active Directory.
Nella pagina iniziale selezionare Crea il primo server federativo in una server farm federativa e quindi fare clic su Avanti.
Nella pagina Connetti ad Active Directory Domain Services specificare un account con diritti di amministratore di dominio per il dominio di contoso.com Active Directory a cui è stato aggiunto il computer e quindi fare clic su Avanti.
Nella pagina Specifica proprietà servizio eseguire le operazioni seguenti e quindi fare clic su Avanti:
- Importare il certificato SSL ottenuto in precedenza. Questo certificato è il certificato di autenticazione del servizio richiesto. Vai al percorso del certificato SSL.
- Per specificare un nome per il servizio federativo, digitare adfs1.contoso.com. Questo valore è lo stesso valore specificato quando è stato registrato un certificato SSL in Servizi certificati Active Directory.This value is the same value that you provided when you enrolled an SSL certificate in Active Directory Certificate Services (AD CS).
- Per specificare un nome visualizzato per il servizio federativo, digitare Contoso Corporation.
Nella pagina Specifica account del servizio selezionare Usa un account utente di dominio esistente o un account del servizio gestito del gruppo e quindi specificare l'account GMSA fsgmsa creato al momento della creazione del controller di dominio.
Nella pagina Specifica database di configurazione selezionare Crea un database in questo server usando database interno di Windows e quindi fare clic su Avanti.
Nella pagina Verifica opzioni verificare le selezioni di configurazione e quindi fare clic su Avanti.
Nella pagina Controlli prerequisiti verificare che tutti i controlli dei prerequisiti siano stati completati correttamente e quindi fare clic su Configura.
Nella pagina Risultati esaminare i risultati, verificare se la configurazione è stata completata correttamente e quindi fare clic su Passaggi successivi necessari per completare la distribuzione del servizio federativo.

Configurare il servizio Registrazione dispositivi

Il passaggio successivo consiste nel configurare il servizio Registrazione dispositivi nel server ADFS1. Per un video, vedere Active Directory Federation Services How-To Video Series: Abilitazione del servizio registrazione dispositivi.

Per configurare il servizio Registrazione dispositivi per Windows Server 2012 RTM

Importante

Il passaggio seguente si applica alla build RTM di Windows Server 2012 R2.

Aprire una finestra di comando di Windows PowerShell e digitare:
```
Initialize-ADDeviceRegistration
```
Quando viene richiesto un account del servizio, digitare contoso\fsgmsa$.

Eseguire ora il cmdlet di Windows PowerShell.
```
Enable-AdfsDeviceRegistration
```
Nel server ADFS1 passare a Criteri di autenticazione nella console di gestione di AD FS. Selezionare Modifica autenticazione primaria globale. Selezionare la casella di controllo accanto a Abilita autenticazione del dispositivo e quindi fare clic su OK.

Aggiungere record di risorse host (A) e alias (CNAME) nel DNS

In DC1 è necessario assicurarsi che i record DNS (Domain Name System) seguenti vengano creati per il servizio Registrazione dispositivi.

Entrata	TIPO	Indirizzo
adfs1	Host (A)	Indirizzo IP del server AD FS
registrazione dell'impresa	Alias (CNAME)	adfs1.contoso.com

È possibile usare la procedura seguente per aggiungere un record di risorse host (A) ai server dei nomi DNS aziendali per il server federativo e il servizio registrazione dispositivi.

L'appartenenza al gruppo Administrators o a un equivalente è il requisito minimo per completare questa procedura. Esaminare i dettagli sull'uso degli account e delle appartenenze ai gruppi appropriati in HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" Gruppi locali e predefiniti del dominio (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Per aggiungere record di risorse host (A) e alias (CNAME) nel DNS per il server della federazione

In DC1, da Server Manager, scegliere DNS dal menu Strumenti per aprire lo snap-in DNS.
Nell'albero della console espandere DC1, espandere Zone di ricerca diretta, fare clic con il pulsante destro del mouse su contoso.com e quindi scegliere Nuovo host (A o AAAA).
In Nome, digitare il nome che si vuole usare per la farm AD FS. Per questa procedura dettagliata, digitare adfs1.
In Indirizzo IP digitare l'indirizzo IP del server ADFS1. Fare clic su Aggiungi host.
Fare clic con il pulsante destro del mouse su contoso.com, quindi scegliere Nuovo alias (CNAME).
Nella finestra di dialogo Nuovo Record di Risorse, digitare enterpriseregistration nella casella Nome alias.
Nella casella Nome di dominio completo (FQDN) della casella host di destinazione digitare adfs1.contoso.com e quindi fare clic su OK.

Importante

In una distribuzione reale, se l'azienda ha più suffissi di nome entità utente (UPN), è necessario creare più record CNAME, uno per ognuno di questi suffissi UPN in DNS.

Passaggio 3: Configurare il server Web (WebServ1) e un'applicazione di esempio basata su attestazioni.

Configurare una macchina virtuale (WebServ1) installando il sistema operativo Windows Server 2012 R2 e connetterlo al dominio contoso.com. Dopo l'aggiunta al dominio, è possibile procedere con l'installazione e la configurazione del ruolo Server Web.

Per completare le procedure dettagliate a cui si fa riferimento in precedenza in questo argomento, è necessario disporre di un'applicazione di esempio protetta dal server federativo (ADFS1).

Per configurare un server Web con questa applicazione basata su attestazioni di esempio, è necessario completare i passaggi seguenti.

Nota

Questi passaggi sono stati testati in un server Web che esegue il sistema operativo Windows Server 2012 R2.

Installare il ruolo di Server Web e la Windows Identity Foundation

Nota

È necessario avere accesso al supporto di installazione di Windows Server 2012 R2.

Accedere a WebServ1 usando administrator@contoso.com e la password pass@word1.
Da Server Manager, nella scheda Avvio rapido del riquadro Benvenuto della pagina Dashboard fare clic su Aggiungi ruoli e funzionalità. In alternativa, è possibile fare clic Aggiungi ruoli e funzionalità nel menu Gestisci.
Nella pagina Prima di iniziare fare clic su Avanti.
Nella pagina Selezione tipo di installazione fare clic su Installazione basata su ruoli o basata su funzionalità e quindi fare clic su Avanti.
Nella pagina Selezionare il server di destinazione fare clic su Selezionare un server dal pool di server, verificare che il computer di destinazione sia selezionato e quindi fare clic su Avanti.
Nella pagina Seleziona ruoli server selezionare la casella di controllo accanto a Server Web (IIS), fare clic su Aggiungi funzionalità e quindi fare clic su Avanti.
Nella pagina Seleziona funzionalità selezionare Windows Identity Foundation 3.5 e quindi fare clic su Avanti.
Nella pagina Ruolo server Web (IIS) fare clic su Avanti.
Nella pagina Seleziona servizi di ruolo, selezionare ed espandere Sviluppo applicazioni. Selezionare ASP.NET 3.5, fare clic su Aggiungi funzionalità e quindi su Avanti.
Nella pagina Conferma selezioni installazione fare clic su Specificare un percorso di origine alternativo. Immettere il percorso della directory Sxs che si trova nel media di installazione di Windows Server 2012 R2. Ad esempio D:\Sources\Sxs. Fare clic su OK e quindi su Installa.

Installare Windows Identity Foundation SDK

Eseguire WindowsIdentityFoundation-SDK-3.5.msi per installare Windows Identity Foundation SDK 3.5. Scegliere tutte le opzioni predefinite.

Configurare l'app per le attestazioni semplici in IIS

Installare un certificato SSL valido nell'archivio certificati del computer. Il certificato deve contenere il nome del server Web , webserv1.contoso.com.
Copiare il contenuto di C:\Programmi (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp in C:\Inetpub\Claimapp.
Modificare il file Default.aspx.cs in modo che non venga applicato alcun filtro delle attestazioni. Questo passaggio viene eseguito per assicurarsi che l'applicazione di esempio visualizzi tutte le attestazioni rilasciate dal server federativo. Effettua le operazioni seguenti:
1. Aprire Default.aspx.cs in un editor di testo.
2. Cercare nel file la seconda istanza di ExpectedClaims.
3. Impostare come commento l'intera IF istruzione e le relative parentesi graffe. Indicare i commenti digitando "//" (senza virgolette) all'inizio di una riga.
4. L'istruzione FOREACH dovrebbe ora essere simile a questo esempio di codice.
```
Foreach (claim claim in claimsIdentity.Claims)
{
   //Before showing the claims validate that this is an expected claim
   //If it is not in the expected claims list then don't show it
   //if (ExpectedClaims.Contains( claim.ClaimType ) )
   // {
      writeClaim( claim, table );
   //}
}
```
5. Salvare e chiudere Default.aspx.cs.
6. Aprire web.config in un editor di testo.
7. Rimuovere l'intera <microsoft.identityModel> sezione. Rimuovi tutto a partire da including <microsoft.identityModel> fino a </microsoft.identityModel> compreso.
8. Salvare e chiudere web.config.
Configurare Gestione di IIS
1. Aprire Internet Information Services (IIS) Manager.
2. Passare a Pool di applicazioni, fare clic con il pulsante destro del mouse su DefaultAppPool per selezionare Impostazioni avanzate. Impostare Carica profilo utente su True e quindi fare clic su OK.
3. Fare clic con il pulsante destro del mouse su DefaultAppPool per selezionare Impostazioni di base. Modificare la Versione CLR di .NET in Versione CLR di .NET v2.0.50727.
4. Fare clic con il pulsante destro del mouse su Sito Web predefinito per selezionare Modifica associazioni.
5. Aggiungere un'associazione HTTPS alla porta 443 con il certificato SSL installato.
6. Fare clic con il pulsante destro del mouse su Sito Web predefinito per selezionare Aggiungi applicazione.
7. Impostare l'alias su claimapp e impostare il percorso fisico su c:\inetpub\claimapp.
Per configurare claimapp per l'uso con il server federativo, eseguire le operazioni seguenti:
1. Eseguire FedUtil.exe, che si trova in C:\Programmi (x86)\Windows Identity Foundation SDK\v3.5.
2. Impostare il percorso di configurazione dell'applicazione su C:\inetpub\claimapp\web.config e impostare l'URI dell'applicazione sull'URL del sito, https://webserv1.contoso.com /claimapp/. Fare clic su Avanti.
3. Selezionare Usa un servizio token di sicurezza esistente e vai all'URL dei metadati del server AD FS https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Fare clic su Avanti.
4. Seleziona Disabilita la convalida della catena di certificati e quindi fai clic su Avanti.
5. Selezionare Nessuna crittografia e quindi fare clic su Avanti. Nella pagina Attestazioni offerte fare clic su Avanti.
6. Selezionare la casella di controllo accanto a Pianifica un'attività per eseguire aggiornamenti giornalieri dei metadati WS-Federation. Fare clic su Fine.
7. L'applicazione di esempio è ora configurata. Se si testa l'URL https://webserv1.contoso.com/claimappdell'applicazione, deve essere reindirizzato al server federativo. Il server federativo dovrebbe visualizzare una pagina di errore perché non è ancora stata configurata la fiducia della parte fidata. In altre parole, non hai protetto questa applicazione di test con AD FS.

È ora necessario proteggere l'applicazione di esempio eseguita nel server Web con AD FS. Per fare ciò, aggiungi una relazione di trust relying party sul server federativo (ADFS1). Per un video, vedere Active Directory Federation Services How-To Video Series: Add a Relying Party Trust (Serie di video di Active Directory Federation Services: Aggiungere un trust relying party).

Creare un trust di relying party sul server di federazione

Nel server federativo (ADFS1), nella console di gestione di AD FS, vai su Trust partner affidabile e quindi fai clic su Aggiungi trust partner affidabile.
Nella pagina Seleziona origine dati, selezionare Importare dati sulla parte fidata pubblicata online o in una rete locale, immettere l'URL dei metadati per claimapp e quindi fare clic su Avanti. L'esecuzione di FedUtil.exe ha creato un file di metadati .xml. Si trova in https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.
Nella pagina Specifica nome visualizzato specificare il nome visualizzato per l'attività cliente attendibile, claimapp, e quindi cliccare su Avanti.
Nella pagina Configurare l'autenticazione a più fattori adesso?, selezionare Non voglio specificare le impostazioni di autenticazione a più fattori per la fiducia di questa relying party al momento e quindi fare clic su Avanti.
Nella pagina Scegli regole di autorizzazione rilascio selezionare Consenti a tutti gli utenti di accedere a questa parte affidabile e quindi fare clic su Avanti.
Nella pagina Pronto per aggiungere attendibilità fare clic su Avanti.
Nella finestra di dialogo Modifica regole attestazione fare clic su Aggiungi regola.
Nella pagina Scegli tipo di regola selezionare Invia attestazioni usando una regola personalizzata e quindi fare clic su Avanti.
Nella pagina Configura regola attestazione, nella casella Nome regola, digitare Tutte le attestazioni. Nella casella Regola personalizzata digitare la seguente regola di attestazione.
```
c:[ ]
=> issue(claim = c);
```
Fare clic su Finee quindi su OK.

Passaggio 4: Configurare il computer client (Client1)

Configurare un'altra macchina virtuale e installare Windows 8.1. Questa macchina virtuale deve trovarsi nella stessa rete virtuale delle altre macchine. Questo computer non deve essere aggiunto al dominio Contoso.

Il client DEVE considerare attendibile il certificato SSL usato per il server federativo (ADFS1), configurato nel passaggio 2: Configurare il server federativo (ADFS1) con il servizio registrazione dispositivi. Deve anche essere in grado di convalidare le informazioni di revoca relative al certificato.

È inoltre necessario configurare e usare un account Microsoft per accedere a Client1.

Vedere anche

Active Directory Federation Services How-To Video Series: Installazione di una server farm AD FS
Serie video di Active Directory Federation Services How-To: Aggiornamento dei certificati
Active Directory Federation Services Video Series How-To: Aggiungere una relazione di fiducia per relying party
Active Directory Federation Services How-To Video Series: Abilitazione del servizio registrazione dispositivi
Active Directory Federation Services How-To Serie di Video: Installazione del proxy dell'applicazione Web