Configurare un ambiente di laboratorio AD FS

In questo argomento vengono illustrati i passaggi per configurare un ambiente di test che può essere usato per completare le esercitazioni nelle guide pratiche seguenti:

• Guida: Registrazione al dominio di lavoro con un dispositivo iOS

• Guida: Workplace Join con un dispositivo Windows

• Guida dettagliata: Gestire i rischi con il controllo dell'accesso condizionale

• Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibili

Nota

Non è consigliabile installare il server Web e il server federativo nello stesso computer.

Per configurare questo ambiente di test, completare la procedura seguente:

1. Passaggio 1: Configurare il controller di dominio (DC1)

2. Passaggio 2: Configurare il server federativo (ADFS1) con il servizio registrazione dispositivi

3. Passaggio 3: Configurare il server Web (WebServ1) e un'applicazione basata su attestazioni di esempio

4. Passaggio 4: Configurare il computer client (Client1)

Passaggio 1: Configurare il controller di dominio (DC1)

Ai fini di questo ambiente di test, è possibile chiamare il dominio di Active Directory radice contoso.com e specificare pass@word1 come password amministratore.

• Installare il ruolo AD DS e i Servizi di dominio Active Directory per configurare il computer come controller di dominio in Windows Server 2012 R2. Questa azione aggiorna lo schema di Active Directory Domain Services durante la creazione del controller di dominio. Per altre informazioni e istruzioni dettagliate, vederehttps://technet.microsoft.com/ libreria/hh472162.aspx.

Crea account di test di Active Directory

Dopo che il controller di dominio è funzionale, è possibile creare un gruppo di test e testare gli account utente in questo dominio e aggiungere l'account utente all'account di gruppo. Questi account vengono usati per completare le procedure dettagliate nelle guide dettagliate a cui si fa riferimento in precedenza in questo argomento.

Creare i seguenti account:

• Utente: Robert Hatley con le credenziali seguenti: Nome utente: RobertH e password: P@ssword

• Gruppo: Finanza

Per informazioni su come creare account utente e di gruppo in Active Directory (AD), vedere https://technet.microsoft.com/library/cc783323%28v=ws.10%29.aspx.

Aggiungere l'account Robert Hatley al gruppo Finance . Per informazioni su come aggiungere un utente a un gruppo in Active Directory, vedere https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Creare un account GMSA

L'account del servizio gestito di gruppo (GMSA) è necessario durante l'installazione e la configurazione di Active Directory Federation Services (AD FS).

Per creare un account GMSA

1. Aprire una finestra di comando di Windows PowerShell e digitare:

   Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
   New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
   
   

Passaggio 2: Configurare il server federativo (ADFS1) usando il servizio Registrazione dispositivi

Per configurare un'altra macchina virtuale, installare Windows Server 2012 R2 e connetterla al dominio contoso.com. Configurare il computer dopo averlo aggiunto al dominio e quindi procedere con l'installazione e la configurazione del ruolo AD FS.

Installare un certificato SSL del server

È necessario installare un certificato SSL (Secure Socket Layer) per il server sul server ADFS1 nell'archivio del computer locale. Il certificato DEVE avere gli attributi seguenti:

• Nome soggetto (CN): adfs1.contoso.com

• Nome alternativo del soggetto (DNS): adfs1.contoso.com

• Nome alternativo del soggetto (DNS): enterpriseregistration.contoso.com

Linee guida per il servizio Web di registrazione certificati

Active Directory Federation Services How-To Video Series: Aggiornamento dei certificati.

Installare il ruolo server di AD FS

Per installare il servizio ruolo Servizio Federazione

1. Accedere al server usando l'account administrator@contoso.comamministratore di dominio .

2. Avviare Server Manager. Per avviare Server Manager, fare clic su Server Manager nella schermata Start di Windows oppure fare clic su Server Manager sulla barra delle applicazioni di Windows sul desktop di Windows. Nella scheda Avvio rapido del riquadro Benvenuto della pagina Dashboard fare clic su Aggiungi ruoli e funzionalità. In alternativa, è possibile fare clic su Aggiungi ruoli e funzionalità dal menu Gestisci .

3. Nella pagina Prima di iniziare fare clic su Avanti.

4. Nella pagina Selezione tipo di installazione fare clic su Installazione basata su ruoli o basata su funzionalità e quindi fare clic su Avanti.

5. Nella pagina Seleziona server di destinazione fare clic su Seleziona un server dal pool di server, verificare che il computer di destinazione sia selezionato e quindi fare clic su Avanti.

6. Nella pagina Selezione ruoli server fare clic su Active Directory Federation Services e quindi su Avanti.

7. Nella pagina Seleziona funzionalità fare clic su Avanti.

8. Nella pagina Active Directory Federation Service (AD FS) fare clic su Avanti.

9. Dopo aver verificato le informazioni nella pagina Conferma selezioni installazione , selezionare la casella di controllo Riavvia automaticamente il server di destinazione, se necessario , e quindi fare clic su Installa.

10. Nella pagina Stato installazione verificare che tutto sia installato correttamente e quindi fare clic su Chiudi.

Configurare il server federativo

Il passaggio successivo consiste nel configurare il server federativo.

Per configurare il server federativo

1. Nella pagina Dashboard di Server Manager fare clic sul flag Notifiche e quindi su Configura il servizio federativo nel server.

   Verrà visualizzata la Configurazione guidata servizio federativo Active Directory .

2. Nella pagina iniziale selezionare Crea il primo server federativo in una server farm federativa e quindi fare clic su Avanti.

3. Nella pagina Connetti ad Active Directory Domain Services specificare un account con diritti di amministratore di dominio per il dominio di contoso.com Active Directory a cui è stato aggiunto il computer e quindi fare clic su Avanti.

4. Nella pagina Specifica proprietà servizio eseguire le operazioni seguenti e quindi fare clic su Avanti:

   • Importare il certificato SSL ottenuto in precedenza. Questo certificato è il certificato di autenticazione del servizio richiesto. Vai al percorso del certificato SSL.

   • Per specificare un nome per il servizio federativo, digitare adfs1.contoso.com. Questo valore è lo stesso valore specificato quando è stato registrato un certificato SSL in Servizi certificati Active Directory.This value is the same value that you provided when you enrolled an SSL certificate in Active Directory Certificate Services (AD CS).

   • Per specificare un nome visualizzato per il servizio federativo, digitare Contoso Corporation.

5. Nella pagina Specifica account del servizio selezionare Usa un account utente di dominio esistente o un account del servizio gestito del gruppo e quindi specificare l'account GMSA fsgmsa creato al momento della creazione del controller di dominio.

6. Nella pagina Specifica database di configurazione selezionare Crea un database in questo server usando database interno di Windows e quindi fare clic su Avanti.

7. Nella pagina Verifica opzioni verificare le selezioni di configurazione e quindi fare clic su Avanti.

8. Nella pagina Controlli prerequisiti verificare che tutti i controlli dei prerequisiti siano stati completati correttamente e quindi fare clic su Configura.

9. Nella pagina Risultati esaminare i risultati, verificare se la configurazione è stata completata correttamente e quindi fare clic su Passaggi successivi necessari per completare la distribuzione del servizio federativo.

Configurare il servizio Registrazione dispositivi

Il passaggio successivo consiste nel configurare il servizio Registrazione dispositivi nel server ADFS1. Per un video, vedere Active Directory Federation Services How-To Video Series: Abilitazione del servizio registrazione dispositivi.

Per configurare il servizio Registrazione dispositivi per Windows Server 2012 RTM

1. Importante

   Il passaggio seguente si applica alla build RTM di Windows Server 2012 R2.

   Aprire una finestra di comando di Windows PowerShell e digitare:

   Initialize-ADDeviceRegistration
   

   Quando viene richiesto un account di servizio, digitare contosofsgmsa$.

   Eseguire ora il cmdlet di Windows PowerShell.

   Enable-AdfsDeviceRegistration
   

2. Nel server ADFS1 passare a Criteri di autenticazione nella console di gestione di AD FS. Selezionare Modifica autenticazione primaria globale. Selezionare la casella di controllo accanto a Abilita autenticazione del dispositivo e quindi fare clic su OK.

Aggiungere record di risorse host (A) e alias (CNAME) nel DNS

In DC1 è necessario assicurarsi che i record DNS (Domain Name System) seguenti vengano creati per il servizio Registrazione dispositivi.

Entrata	TIPO	Indirizzo
adfs1	Host (A)	Indirizzo IP del server AD FS
registrazione dell'impresa	Alias (CNAME)	adfs1.contoso.com

È possibile usare la procedura seguente per aggiungere un record di risorse host (A) ai server dei nomi DNS aziendali per il server federativo e il servizio registrazione dispositivi.

L'appartenenza al gruppo Administrators o a un equivalente è il requisito minimo per completare questa procedura. Esaminare i dettagli sull'uso appropriato degli account e delle appartenenze ai gruppi nei Gruppi predefiniti locali e di dominio HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Per aggiungere record di risorse host (A) e alias (CNAME) nel DNS per il server della federazione

1. In DC1, da Server Manager, scegliere DNS dal menu Strumenti per aprire lo snap-in DNS.

2. Nell'albero della console espandere DC1, espandere Zone di ricerca diretta, fare clic con il pulsante destro del mouse su contoso.com e quindi scegliere Nuovo host (A o AAAA).

3. In Nome, digitare il nome che si vuole usare per farm AD FS. Per questa procedura dettagliata, digitare adfs1.

4. In Indirizzo IP digitare l'indirizzo IP del server ADFS1. Fare clic su Aggiungi host.

5. Fare clic con il pulsante destro del mouse su contoso.com, quindi scegliere Nuovo alias (CNAME).

6. Nella finestra di dialogo Nuovo record di risorse digitare enterpriseregistration nella casella Nome alias .

7. Nella casella Nome di dominio completo (FQDN) della casella host di destinazione digitare adfs1.contoso.com e quindi fare clic su OK.

   Importante

   In una distribuzione reale, se l'azienda ha più suffissi di nome entità utente (UPN), è necessario creare più record CNAME, uno per ognuno di questi suffissi UPN in DNS.

Passaggio 3: Configurare il server Web (WebServ1) e un'applicazione di esempio basata su attestazioni.

Configurare una macchina virtuale (WebServ1) installando il sistema operativo Windows Server 2012 R2 e connetterlo al dominio contoso.com. Dopo l'aggiunta al dominio, è possibile procedere con l'installazione e la configurazione del ruolo Server Web.

Per completare le procedure dettagliate a cui si fa riferimento in precedenza in questo argomento, è necessario disporre di un'applicazione di esempio protetta dal server federativo (ADFS1).

Per configurare un server Web con questa applicazione basata su attestazioni di esempio, è necessario completare i passaggi seguenti.

Nota

Questi passaggi sono stati testati in un server Web che esegue il sistema operativo Windows Server 2012 R2.

1. Installare il ruolo Server Web e Windows Identity Foundation

2. Installare Windows Identity Foundation SDK

3. Configurare l'app per le attestazioni semplici in IIS

4. Creare un trust relying party nel server federativo

Installare il ruolo di Server Web e la Windows Identity Foundation

1. Nota

   È necessario avere accesso al supporto di installazione di Windows Server 2012 R2.

   Accedere a WebServ1 usando administrator@contoso.com e la password pass@word1.

2. Da Server Manager, nella scheda Avvio rapido del riquadro Benvenuto della pagina Dashboard fare clic su Aggiungi ruoli e funzionalità. In alternativa, è possibile fare clic su Aggiungi ruoli e funzionalità dal menu Gestisci .

3. Nella pagina Prima di iniziare fare clic su Avanti.

4. Nella pagina Selezione tipo di installazione fare clic su Installazione basata su ruoli o basata su funzionalità e quindi fare clic su Avanti.

5. Nella pagina Seleziona server di destinazione fare clic su Seleziona un server dal pool di server, verificare che il computer di destinazione sia selezionato e quindi fare clic su Avanti.

6. Nella pagina Seleziona ruoli server selezionare la casella di controllo accanto a Server Web (IIS), fare clic su Aggiungi funzionalità e quindi fare clic su Avanti.

7. Nella pagina Seleziona funzionalità selezionare Windows Identity Foundation 3.5 e quindi fare clic su Avanti.

8. Nella pagina Ruolo server Web (IIS) fare clic su Avanti.

9. Nella pagina Selezione servizi ruolo, selezionare ed espandere Sviluppo di applicazioni. Selezionare ASP.NET 3.5, fare clic su Aggiungi funzionalità e quindi su Avanti.

10. Nella pagina Conferma selezioni installazione fare clic su Specificare un percorso di origine alternativo. Immettere il percorso della directory Sxs che si trova nei media di installazione di Windows Server 2012 R2. Ad esempio D:SourcesSxs. Fare clic su OK e quindi su Installa.

Installare Windows Identity Foundation SDK

1. Eseguire WindowsIdentityFoundation-SDK-3.5.msi per installare Windows Identity Foundation SDK 3.5. Scegliere tutte le opzioni predefinite.

Configurare l'app per le attestazioni semplici in IIS

1. Installare un certificato SSL valido nell'archivio certificati del computer. Il certificato deve contenere il nome del server Web , webserv1.contoso.com.

2. Copiare i contenuti di C:Programmi (x86)Windows Identity Foundation SDKv3.5SamplesQuick StartWeb ApplicationPassiveRedirectBasedClaimsAwareWebApp a C:InetpubClaimapp.

3. Modificare il file Default.aspx.cs in modo che non venga applicato alcun filtro richieste. Questo passaggio viene eseguito per assicurarsi che l'applicazione di esempio visualizzi tutte le attestazioni rilasciate dal server federativo. Effettua le operazioni seguenti:

   1. Aprire Default.aspx.cs in un editor di testo.

   2. Cercare nel file la seconda istanza di ExpectedClaims.

   3. Impostare come commento l'intera IF istruzione e le relative parentesi graffe. Indicare i commenti digitando "//" (senza virgolette) all'inizio di una riga.

   4. L'istruzione FOREACH dovrebbe ora essere simile a questo esempio di codice.

      Foreach (claim claim in claimsIdentity.Claims)
      {
         //Before showing the claims validate that this is an expected claim
         //If it is not in the expected claims list then don't show it
         //if (ExpectedClaims.Contains( claim.ClaimType ) )
         // {
            writeClaim( claim, table );
         //}
      }
      
      

   5. Salvare e chiudere Default.aspx.cs.

   6. Aprire web.config in un editor di testo.

   7. Rimuovere l'intera <microsoft.identityModel> sezione. Rimuovi tutto a partire da including <microsoft.identityModel> fino a </microsoft.identityModel> compreso.

   8. Salvare e chiudere web.config.

4. Configurare IIS Manager

   1. Aprire Gestione di Internet Information Services (IIS).

   2. Passare a Pool di applicazioni, fare clic con il pulsante destro del mouse su DefaultAppPool per selezionare Impostazioni avanzate. Impostare Carica profilo utente su True e quindi fare clic su OK.

   3. Fare clic con il pulsante destro del mouse su DefaultAppPool per selezionare Impostazioni di base. Modificare la versione CLR di .NET in .NET VERSIONE CLR v2.0.50727.

   4. Fare clic con il pulsante destro del mouse su Sito Web predefinito per selezionare Modifica associazioni.

   5. Aggiungere un'associazione HTTPS alla porta 443 con il certificato SSL installato.

   6. Fare clic con il pulsante destro del mouse su Sito Web predefinito per selezionare Aggiungi applicazione.

   7. Impostare l'alias su claimapp e il percorso fisico su c:\inetpub\claimapp.

5. Per configurare claimapp per l'uso con il server federativo, eseguire le operazioni seguenti:

   1. Eseguire FedUtil.exe, che si trova in C:Programmi (x86)Windows Identity Foundation SDKv3.5.

   2. Impostare il percorso di configurazione dell'applicazione su C:inetputclaimappweb.config e impostare l'URI dell'applicazione sull'URL del sito, https://webserv1.contoso.com /claimapp/. Fare clic su Avanti.

   3. Selezionare Utilizzare un STS esistente e navigare all'URL dei metadati del server AD FS https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Fare clic su Avanti.

   4. Selezionare Disabilita convalida della catena di certificati e quindi fare clic su Avanti.

   5. Selezionare Nessuna crittografia e quindi fare clic su Avanti. Nella pagina Attestazioni offerte fare clic su Avanti.

   6. Selezionare la casella di controllo accanto a Pianifica un'attività per eseguire gli aggiornamenti dei metadati giornalieri WS-Federation. Fare clic su Fine.

   7. L'applicazione di esempio è ora configurata. Se si testa l'URL https://webserv1.contoso.com/claimappdell'applicazione, deve essere reindirizzato al server federativo. Il server federativo dovrebbe visualizzare una pagina di errore perché non è ancora stata configurata la trust della parte dipendente. In altre parole, non avete protetto questa applicazione di test tramite AD FS.

È ora necessario proteggere l'applicazione di esempio eseguita nel server Web con AD FS. Per farlo, aggiungere una relazione di trust sul server di federazione (ADFS1).

Crea un trust per parti fiduciarie sul tuo server di federazione

1. Nel server federativo (ADFS1), nella console di gestione di AD FS passare a Trust delle relying party e quindi fare clic su Aggiungi Trust delle relying party.

2. Nella pagina Seleziona origine dati, selezionare Importa dati sulla relying party pubblicata online o nella rete locale, immettere l'URL dei metadati per claimapp e quindi fare clic su Avanti. L'esecuzione di FedUtil.exe ha creato un file di metadati .xml. Si trova in https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

3. Nella pagina Specifica nome visualizzato specificare il nome visualizzato per il trust della relying party, claimapp, e quindi fare clic su Avanti.

4. Nella pagina Configurare l'autenticazione a più fattori ora?, selezionare Non voglio specificare ora l'impostazione dell'autenticazione a più fattori per la relazione di attendibilità della relying party e quindi fare clic su Avanti.

5. Nella pagina Scegli regole di autorizzazione rilascio, selezionare Consenti a tutti gli utenti di accedere a questa parte affidabile e quindi fare clic su Avanti.

6. Nella pagina Pronto per aggiungere attendibilità fare clic su Avanti.

7. Nella finestra di dialogo Modifica regole attestazione, fare clic su Aggiungi regola.

8. Nella pagina Scegli tipo di regola selezionare Invia attestazioni usando una regola personalizzata e quindi fare clic su Avanti.

9. Sulla pagina Configura regola attestazione, nella casella Nome regola attestazione, digitare Tutte le attestazioni. Nella casella Regola personalizzata, digitare la seguente regola di attestazione.

   c:[ ]
   => issue(claim = c);
   
   

10. Fare clic su Fine e quindi su OK.

Passaggio 4: Configurare il computer client (Client1)

Configurare un'altra macchina virtuale e installare Windows 8.1. Questa macchina virtuale deve trovarsi nella stessa rete virtuale delle altre macchine. Questo computer non deve essere aggiunto al dominio Contoso.

Il client DEVE considerare attendibile il certificato SSL usato per il server federativo (ADFS1), configurato nel passaggio 2: Configurare il server federativo (ADFS1) con il servizio registrazione dispositivi. Deve anche essere in grado di convalidare le informazioni di revoca relative al certificato.

È inoltre necessario configurare e usare un account Microsoft per accedere a Client1.

Vedere anche

Serie video di Active Directory Federation Services How-To: Installazione di una farm di server AD FS Serie video di Active Directory Federation Services How-To: Aggiornamento dei certificati Serie video di Active Directory Federation Services How-To: Aggiunta di un trust della relying party Serie video di Active Directory Federation Services How-To: Abilitazione del Servizio di Registrazione Dispositivi Serie video di Active Directory Federation Services How-To: Installazione del Proxy Applicazione Web