Appendice A: Revisione dei requisiti di AD FS
Per consentire ai partner dell'organizzazione inclusi nella distribuzione di Active Directory Federation Services (AD FS) di collaborare senza problemi, è prima di tutto necessario verificare che l'infrastruttura della rete aziendale sia configurata per supportare i requisiti di AD FS per account, risoluzione dei nomi e certificati. Per ADFS sono previsti i seguenti tipi di requisiti:
Suggerimento
Per altri collegamenti alle risorse di AD FS, vedere Informazioni sui concetti relativi ad AD FS.
Requisiti hardware
Si applicano i seguenti requisiti hardware minimi e consigliati per i server federativi e i computer proxy server federativi.
| Requisito hardware | Requisito minimo | Requisito consigliato |
|---|---|---|
| Velocità di CPU | Core singolo, 1 gigahertz (GHz) | quad-core, 2 GHz |
| RAM | 1 GB | 4 GB |
| Spazio su disco | 50 MB | 100 MB |
Requisiti software
AD FS si basa sulle funzionalità del server integrate nel sistema operativo Windows Server® 2012.
Nota
I servizi ruolo Servizio federativo e Proxy servizio federativo non possono coesistere nello stesso computer.
Requisiti del certificato
I certificati svolgono il ruolo più critico nella protezione delle comunicazioni tra server federativi, proxy server federativi, applicazioni in grado di riconoscere attestazioni e client Web. I requisiti per i certificati variano a seconda che si configuri un computer server federativo o proxy server federativo, come descritto in questa sezione.
Certificati dei server federativi
Per i server federativi sono richiesti i certificati indicati nella tabella seguente.
| Tipo di certificato | Descrizione | Informazioni che occorre conoscere prima della distribuzione |
|---|---|---|
| Certificato SSL (Secure Sockets Layer) | Si tratta di un certificato SSL (Secure Sockets Layer) standard usato per proteggere le comunicazioni tra server federativi e client. | Questo certificato deve essere associato al sito Default Web Site in Internet Information Services (IIS) per un server federativo o un proxy server federativo. Per un proxy server federativo l'associazione deve essere configurata in IIS prima di poter eseguire correttamente la Configurazione guidata del proxy del server federativo. Consiglio: poiché questo certificato deve essere considerato attendibile dai client di AD FS, usare un certificato di autenticazione server rilasciato da un'autorità di certificazione (CA) pubblica (di terze parti), ad esempio VeriSign. Suggerimento: il nome del soggetto del certificato viene utilizzato per rappresentare il nome del servizio federativo per ogni istanza di AD FS da distribuire. Per questo motivo, in un nuovo certificato rilasciato da una CA è consigliabile scegliere un nome soggetto che meglio rappresenti il nome della società o dell'organizzazione per i partner. |
| Certificato per le comunicazioni di servizi | Questo certificato abilita la sicurezza dei messaggi WCF per proteggere le comunicazioni tra server federativi. | Per impostazione predefinita, come certificato per le comunicazioni di servizi viene usato il certificato SSL. L'impostazione può essere modificata con la console di gestione di ADFS. |
| Certificato per la firma di token | Questo certificato X509 standard viene usato per firmare in modo sicuro tutti i token rilasciati dal server federativo. | Il certificato per la firma di token deve contenere una chiave privata ed essere concatenato a una radice attendibile nel Servizio federativo. Per impostazione predefinita, ADFS crea un certificato autofirmato. È tuttavia possibile modificare questa impostazione in un secondo momento, secondo le esigenze dell'organizzazione, specificando un certificato rilasciato da una CA con lo snap-in Gestione ADFS. |
| Certificato di decrittografia token | Si tratta di un certificato SSL standard usato per decrittografare i token in ingresso crittografati da un server federativo di un partner. Viene pubblicato anche nei metadati federativi. | Per impostazione predefinita, ADFS crea un certificato autofirmato. È tuttavia possibile modificare questa impostazione in un secondo momento, secondo le esigenze dell'organizzazione, specificando un certificato rilasciato da una CA con lo snap-in Gestione ADFS. |
Attenzione
I certificati usati per la firma di token e per la decrittografia di token sono critici per la stabilità del Servizio federativo. Poiché la perdita o la rimozione non pianificata di qualsiasi certificato configurato a questo scopo può causare l'interruzione del servizio, è consigliabile eseguire il backup di tali certificati.
Per altre informazioni sui certificati usati dai server federativi, vedere Requisiti dei certificati per i server federativi.
Certificati dei proxy server federativi
Per i proxy server federativi sono richiesti i certificati indicati nella tabella seguente.
| Tipo di certificato | Descrizione | Informazioni che occorre conoscere prima della distribuzione |
|---|---|---|
| Certificato di autenticazione del server | Si tratta di un certificato SSL (Secure Sockets Layer) standard usato per proteggere le comunicazioni tra un proxy server federativo e i computer client Internet. | Questo certificato deve essere associato al sito Default Web Site in Internet Information Services (IIS) prima di poter eseguire correttamente la Configurazione guidata del proxy del server federativo ADFS. Consiglio: poiché questo certificato deve essere considerato attendibile dai client di AD FS, usare un certificato di autenticazione server rilasciato da un'autorità di certificazione (CA) pubblica (di terze parti), ad esempio VeriSign. Suggerimento: il nome del soggetto del certificato viene utilizzato per rappresentare il nome del servizio federativo per ogni istanza di AD FS da distribuire. Per questo motivo, è consigliabile scegliere un nome soggetto che meglio rappresenti il nome della società o dell'organizzazione per i partner. |
Per altre informazioni sui certificati usati dai proxy server federativi, vedere Requisiti dei certificati per i proxy server federativi.
Requisiti del browser
Anche se qualsiasi Web Browser corrente con funzionalità JavaScript può essere usato come client AD FS, le pagine Web fornite per impostazione predefinita sono state testate solo con Internet Explorer versioni 7.0, 8.0 e 9.0, Mozilla Firefox 3.0 e Safari 3.1 su Windows. È necessario abilitare JavaScript e i cookie per il corretto funzionamento dell'accesso e della disconnessione basati su browser.
Il team del prodotto AD FS in Microsoft ha testato correttamente le configurazioni di browser e sistemi operativi descritte nella tabella seguente.
| Browser | Windows 7 | Windows Vista |
|---|---|---|
| Internet Explorer 7.0 | X | X |
| Internet Explorer 8.0 | X | X |
| Internet Explorer 9.0 | X | Non testato |
| Firefox 3.0 | X | X |
| Safari 3.1 | X | X |
Nota
ADFS supporta le versioni a 32 bit e 64 bit di tutti i browser inclusi nella tabella precedente.
Cookie
ADFS crea cookie permanenti e basati su sessione che devono essere archiviati nei computer client per fornire funzionalità di accesso, disconnessione, Single Sign-On (SSO) e altre. Il browser client deve quindi essere configurato in modo da accettare i cookie. I cookie usati per l'autenticazione sono sempre cookie di sessioni HTTPS (Secure Hypertext Transfer Protocol) scritti per il server di origine. Se il browser client non è configurato per abilitare questi cookie, ADFS non potrà funzionare correttamente. I cookie permanenti vengono usati per mantenere la selezione del provider di attestazioni effettuata dall'utente. È possibile disabilitarli usando un'impostazione di configurazione nel file di configurazione relativo alle pagine di accesso di ADFS.
Per motivi di sicurezza, è richiesto il supporto per TLS/SSL.
Requisiti di rete
La configurazione dei seguenti servizi di rete è essenziale per una corretta distribuzione di AD FS nell'organizzazione.
Connettività di rete TCP/IP
Per il funzionamento di AD FS, è necessaria la connettività di rete TCP/IP tra il client, un controller di dominio e i computer che ospitano il Servizio federativo, il Proxy servizio federativo (quando viene usato) e l'Agente Web AD FS.
DNS
Il servizio di rete primario fondamentale per il funzionamento di AD FS, a parte Active Directory Domain Services (AD FS), è Domain Name System (DNS). La distribuzione del DNS consente agli utenti di usare nomi di computer descrittivi e facili da ricordare per connettersi a computer e altre risorse sulle reti IP.
Windows Server 2008 usa il DNS per la risoluzione dei nomi al posto della risoluzione dei nomi NetBIOS di Windows Internet Name Service (WINS) usata nelle reti basate su Windows NT 4.0. È comunque possibile usare WINS per le applicazioni che lo richiedono. Tuttavia, Active Directory Domain Services e AD FS richiedono la risoluzione dei nomi DNS.
Il processo di configurazione del DNS per supportare AD FS varia in base alle condizioni seguenti:
L'organizzazione ha già di un'infrastruttura DNS esistente. Nella maggior parte degli scenari, il DNS è già configurato in tutta la rete per consentire ai client Web browser della rete aziendale di accedere a Internet. Poiché l'accesso a Internet e la risoluzione dei nomi sono requisiti di AD FS, si presuppone che tale infrastruttura sia già disponibile per la distribuzione di AD FS.
Si prevede di aggiungere un server federativo alla rete aziendale. Allo scopo di autenticare gli utenti sulla rete aziendale, è necessario configurare i server DNS interni nella foresta della rete aziendale in modo che restituiscano il CNAME del server interno che esegue il Servizio federativo. Per altre informazioni, vedere Name Resolution Requirements for Federation Servers.
Si prevede di aggiungere un proxy server federativo alla rete perimetrale. Se si vogliono autenticare gli account utente presenti nella rete aziendale dell'organizzazione partner di identità, è necessario configurare i server DNS interni nella foresta della rete aziendale in modo che restituiscano il CNAME del Proxy server federativo interno. Per informazioni sulla modalità di configurazione del DNS per supportare l'aggiunta di Proxy server federativo, vedere Requisiti di risoluzione dei nomi per i proxy server federativi.
Si configura il DNS per un ambiente di testing. Se si prevede di usare AD FS in un lab di test in cui nessun server DNS radice è autorevole, si dovranno probabilmente configurare server di inoltro DNS per fare in modo che le query sui nomi tra due o più foreste vengano inoltrate correttamente. Per informazioni generali su come configurare un ambiente lab di test di AD FS, vedere Guide dettagliate alle procedure di AD FS.
Requisiti dell'archivio attributi
ADFS richiede almeno un archivio di attributi da utilizzare per l'autenticazione degli utenti e l'estrazione delle attestazioni di sicurezza per gli utenti. Per un elenco di archivi attributi che supportano ADFS, vedere Ruolo degli archivi attributi nella Guida alla progettazione di AD FS.
Nota
Per impostazione predefinita, ADFS crea automaticamente un archivio attributi di Active Directory.
I requisiti dell'archivio attributi dipendono dal ruolo svolto dall'organizzazione, cioè come partner account (che ospita gli utenti federati) o come partner risorse (che ospita l'applicazione federata).
Servizi di dominio Active Directory
Per il corretto funzionamento di AD FS, i controller di dominio nell'organizzazione del partner account o del partner risorse devono eseguire Windows Server 2003 SP1, Windows Server 2003 R2, Windows Server 2008 o Windows Server 2012.
Quando si installa e si configura ADFS in un computer appartenente a un dominio, l'archivio account utente di Active Directory di tale dominio sarà disponibile come archivio attributi selezionabile.
Importante
Poiché AD FS richiede l'installazione di Internet Information Services (IIS), per motivi di sicurezza è consigliabile non installare il software AD FS in un controller di dominio in un ambiente di produzione. Questa configurazione è tuttavia supportata dal Supporto tecnico Microsoft.
Requisiti dello schema
AD FS non richiede modifiche dello schema o modifiche a livello funzionale in Active Directory Domain Services.
Requisiti a livello funzionale
Il corretto funzionamento della maggior parte delle funzionalità di ADFS non richiede modifiche a livello funzionale per Servizi di dominio Active Directory. Tuttavia, per il corretto funzionamento dell'autenticazione del certificato client, se il certificato è mappato in modo esplicito a un account utente in Servizi di dominio Active Directory, sarà necessario il livello di funzionalità del dominio di Windows Server 2008 o superiore.
Requisiti dell'account del servizio
Se si crea una server farm federativa, è prima di tutto necessario creare un account del servizio dedicato basato sul dominio in Servizi di dominio Active Directory che possa essere usato dal Servizio federativo. In seguito si configurerà ogni server federativo della farm per l'uso di questo account. Per altre informazioni su come eseguire questa operazione, vedere Configurare manualmente un account del servizio per una server farm federativa nella Guida alla distribuzione di AD FS.
LDAP
Quando si usano altri archivi attributi basati su LDAP (Lightweight Directory Access Protocol), è necessario connettersi a un server LDAP che supporti l'autenticazione integrata di Windows. Anche la stringa di connessione LDAP deve essere scritta nel formato di URL LDAP, come descritto nella RFC 2255.
SQL Server
Per il corretto funzionamento di AD FS, nei computer che ospitano l'archivio attributi di SQL Server deve essere in esecuzione Microsoft SQL Server 2005 o SQL Server 2008. Quando si usano archivi attributi basati su SQL, occorre configurare anche una stringa di connessione.
Archivi attributi personalizzati
Per abilitare scenari avanzati, è possibile sviluppare archivi attributi personalizzati. Il linguaggio dei criteri integrato in ADFS consente di fare riferimento ad archivi attributi personalizzati per il miglioramento di uno qualsiasi degli scenari seguenti:
Creazione di attestazioni per un utente autenticato localmente
Integrazione di attestazioni per un utente autenticato esternamente
Autorizzazione di un utente a ottenere un token
Autorizzazione di un servizio a ottenere un token sul comportamento di un utente
Quando si usa un archivio attributi personalizzato, può essere necessario configurare anche una stringa di connessione. In questo caso, è possibile immettere codice personalizzato per abilitare una connessione all'archivio attributi personalizzato. La stringa di connessione, in questo caso, è un set di coppie nome/valore che vengono interpretate come un'implementazione dell'archivio attributi personalizzato da parte dello sviluppatore.
Per altre informazioni sullo sviluppo e sull'uso di archivi attributi personalizzati, vedere Panoramica dell'archivio attributi.
Requisiti delle applicazioni
I server federativi possono comunicare con le applicazioni federative, ad esempio le applicazioni in grado di riconoscere attestazioni, e proteggerle.
Requisiti dell'autenticazione
AD FS si integra in modo naturale con l'autenticazione di Windows esistente, ad esempio autenticazione Kerberos, NTLM, smart card e certificati X.509 v3 sul lato client. I server federativi usano l'autenticazione Kerberos standard per autenticare un utente a un dominio. I client possono autenticarsi usando l'autenticazione basata su moduli, l'autenticazione con smart card e l'autenticazione integrata di Windows, a seconda di come è stata configurata l'autenticazione.
Il ruolo del proxy server federativo di ADFS rende possibile uno scenario in cui l'utente si autentica esternamente con l'autenticazione client SSL. È anche possibile configurare il ruolo del server federativo in modo che richieda l'autenticazione client SSL, anche se di solito l'esperienza utente ottimale si ottiene configurando il server federativo di account per l'autenticazione integrata di Windows. In questo caso, ADFS non ha alcun controllo sul tipo di credenziali usate dall'utente per l'accesso al desktop Windows.
Accesso con smart card
Anche se AD FS riesce ad applicare il tipo di credenziali usato per l'autenticazione (password, autenticazione client SSL o autenticazione integrata di Windows), non applica direttamente l'autenticazione con smart card. AD FS non fornisce quindi un'interfaccia utente sul lato client per ottenere le credenziali basate sul PIN della smart card. Questo è dovuto al fatto che i client basati su Windows non forniscono intenzionalmente i dettagli delle credenziali utente ai server federativi o ai server Web.
Autenticazione con smart card
Per l'autenticazione con smart card viene usato il protocollo Kerberos per autenticarsi a un server federativo. Non è possibile estendere AD FS per aggiungere nuovi metodi di autenticazione. Per il concatenamento a una radice attendibile nel computer client non è richiesto il certificato nella smart card. L'uso di un certificato basato su smart card con AD FS richiede la presenza delle condizioni seguenti:
Il lettore e il provider del servizio di crittografia (CSP) della smart card devono essere in funzione nel computer in cui risiede il browser.
Il certificato smart card deve essere concatenato a una radice attendibile nel server federativo dell'account e nel proxy server federativo dell'account.
Il certificato deve essere mappato all'account utente in Servizi di dominio Active Directory con uno dei metodi seguenti:
Il nome soggetto del certificato corrisponde al nome distinto LDAP di un account utente in Servizi di dominio Active Directory.
L'estensione relativa al nome alternativo soggetto (SubjectAltName) del certificato ha il nome dell'entità utente (UPN) di un account utente in Servizi di dominio Active Directory.
Per supportare requisiti di complessità dell'autenticazione specifici in alcuni scenari, è anche possibile configurare ADFS per la creazione di un'attestazione che indichi in che modo è stato autenticato l'utente. Un relying party può quindi usare questa attestazione per prendere decisioni di autorizzazione.