Condividi tramite


Requisiti di AD FS

Di seguito sono riportati i requisiti per la distribuzione di Active Directory Federation Services (AD FS):

Requisiti dei certificati

Certificati TLS/SSL

Ogni server AD FS e Proxy applicazione Web dispone di un certificato TLS/SSL per gestire le richieste HTTPS al servizio federativo. Il proxy dell'applicazione Web può avere certificati aggiuntivi per le richieste di accesso alle applicazioni pubblicate.

Raccomandazioni per i certificati TLS/SSL

Usare lo stesso certificato TLS/SSL per tutti i server federativi AD FS e i proxy dell'applicazione Web.

Requisiti per i certificati TLS/SSL

I certificati TLS/SSL nei server federativi devono soddisfare i requisiti seguenti:

  • Il certificato pubblico è affidabile (per le implementazioni di produzione).
  • Il certificato contiene il valore EKU (Server Authentication Enhanced Key Usage).
  • Il certificato contiene il nome del servizio federativo, come fs.contoso.com nel Soggetto o nel Nome Alternativo del Soggetto (SAN).
  • Per l'autenticazione del certificato utente sulla porta 443, il certificato contiene certauth.\<federation service name\>, ad esempio certauth.fs.contoso.com nel SAN.
  • Per la registrazione del dispositivo o per l'autenticazione moderna alle risorse locali tramite client pre-Windows 10, la SAN deve contenere enterpriseregistration.\<upn suffix\> per ogni suffisso UPN (User Principal Name) in uso nell'organizzazione.

I certificati TLS/SSL nel proxy applicazione Web devono soddisfare i requisiti seguenti:

  • Se il proxy viene usato per proxyare le richieste AD FS che usano l'autenticazione integrata di Windows, il certificato TLS/SSL proxy deve essere uguale (usare la stessa chiave) del certificato TLS/SSL del server federativo.
  • Se la proprietà AD FS, ExtendedProtectionTokenCheckè abilitata (l'impostazione predefinita in AD FS), il certificato TLS/SSL proxy deve essere uguale (usare la stessa chiave) del certificato TLS/SSL del server federativo.
  • In caso contrario, i requisiti per il certificato TLS/SSL proxy corrispondono ai requisiti per il certificato TLS/SSL del server federativo.

Certificato di comunicazione del servizio

Questo certificato non è necessario per la maggior parte degli scenari AD FS, tra cui Microsoft Entra ID e Office 365. Per impostazione predefinita, AD FS configura il certificato TLS/SSL fornito al momento della configurazione iniziale come certificato di comunicazione del servizio.

Raccomandazione per il certificato di comunicazione del servizio

  • Usare lo stesso certificato usato per TLS/SSL.

Certificato di firma del token

Questo certificato viene usato per firmare i token rilasciati alle relying party, pertanto le applicazioni relying party devono riconoscere il certificato e la chiave associata come nota e attendibile. Quando il certificato di firma del token cambia, ad esempio quando scade e si configura un nuovo certificato, tutte le relying party devono essere aggiornate.

Raccomandazione per il certificato di firma del token

Utilizzare i certificati di firma del token autofirmati predefiniti e generati internamente da AD FS.

Requisiti per il certificato di firma del token

  • Se l'organizzazione richiede che i certificati dell'infrastruttura a chiave pubblica aziendale (PKI) vengano usati per la firma dei token, è possibile soddisfare questo requisito usando il parametro SigningCertificateThumbprint del cmdlet Install-AdfsFarm.
  • Se si usano i certificati generati internamente o i certificati registrati esternamente, quando il certificato di firma del token viene modificato, è necessario assicurarsi che tutte le relying party vengano aggiornate con le nuove informazioni sul certificato. Altrimenti, quelle parti affidabili non possono effettuare l'accesso.

Certificato di Cifratura/Decifratura Token

Questo certificato è utilizzato dai provider di dichiarazioni che criptografano i token emessi ad AD FS.

Raccomandazione per la crittografia/decrittografia del certificato di token

Utilizzare i certificati di decrittografia dei token autoprodotti, autofirmati e predefiniti di AD FS.

Requisiti per il certificato di crittografia/decrittografia dei token

  • Se la tua organizzazione richiede l'uso di certificati dall'infrastruttura a chiave pubblica aziendale per la firma dei token, puoi soddisfare questo requisito utilizzando il parametro DecryptingCertificateThumbprint del cmdlet Install-AdfsFarm.
  • Indipendentemente dal fatto che si usino i certificati generati internamente o i certificati registrati esternamente, quando il certificato di decrittografia dei token viene modificato, è necessario assicurarsi che tutti i provider di attestazioni vengano aggiornati con le nuove informazioni sul certificato. In caso contrario, gli accessi tramite provider di attestazioni non aggiornati falliscono.

Attenzione

I certificati usati per la firma di token e la decrittografia/crittografia dei token sono fondamentali per la stabilità del servizio federativo. I clienti che gestiscono la firma dei token & e i certificati di decrittografia/crittografia dei token devono assicurarsi che questi certificati vengano sottoposti a backup e siano disponibili autonomamente durante un evento di ripristino.

Certificati utente

  • Quando si utilizza l'autenticazione del certificato utente x509 con AD FS, tutti i certificati utente devono essere collegati a un'autorità di certificazione radice attendibile dai server AD FS e Proxy applicazioni Web.

Requisiti hardware

I requisiti hardware di AD FS e del Proxy applicazione Web (fisico o virtuale) dipendono dalla CPU, quindi è necessario dimensionare la farm basandosi sulla capacità di elaborazione.

I requisiti di memoria e disco per AD FS sono piuttosto statici. I requisiti sono illustrati nella tabella seguente:

i requisiti hardware Requisiti minimi requisito consigliato
RAM 2GB 4 GB
Spazio su disco 32 GB 100 GB

Requisiti hardware di SQL Server

Se si usa Azure SQL per il database di configurazione di AD FS, ridimensionare SQL Server in base alle raccomandazioni di SQL Server più semplici. Le dimensioni del database AD FS sono ridotte e AD FS non inserisce un carico di elaborazione significativo nell'istanza del database. AD FS esegue tuttavia la connessione al database più volte durante un'autenticazione, quindi la connessione di rete deve essere affidabile. Sfortunatamente, SQL Azure non è supportato per il database di configurazione di AD FS.

Requisiti per il proxy

  • Per l'accesso extranet, è necessario distribuire il servizio di ruolo Proxy per applicazioni Web, parte del ruolo server Accesso remoto.

  • I proxy di terze parti devono supportare il protocollo MS-ADFSPIP per essere supportati come proxy AD FS. Per un elenco dei fornitori di terze parti, vedere le domande frequenti su AD FS.

  • AD FS 2016 richiede server Proxy per le applicazioni Web su Windows Server 2016. Non è possibile configurare un proxy di livello inferiore per una farm AD FS 2016 operante al livello di comportamento della farm 2016.

  • Un server di federazione e il servizio ruolo Proxy di applicazione Web non possono essere installati nello stesso computer.

Requisiti di Active Directory Domain Services (AD DS)

Requisiti del controller di dominio

  • AD FS richiede controller di dominio che eseguono Windows Server 2008 o versione successiva.

  • Per Windows Hello for Business è necessario almeno un controller di dominio Windows Server 2016.

Nota

Tutto il supporto per gli ambienti con controller di dominio windows Server 2003 è terminato. Per altre informazioni, vedere le informazioni sul ciclo di vita di Microsoft .

Requisiti a livello di funzionalità del dominio

  • Tutti i domini dell'account utente e il dominio a cui sono aggiunti i server AD FS devono essere operativi a livello funzionale di dominio di Windows Server 2003 o versione successiva.

  • Per l'autenticazione del certificato client è necessario un livello di funzionalità di dominio di Windows Server 2008 o versione successiva se il certificato è mappato in modo esplicito all'account di un utente in Active Directory Domain Services.

Requisiti dello schema

  • Le nuove installazioni di AD FS 2016 richiedono lo schema di Active Directory 2016 (versione minima 85).

  • Per aumentare il livello di comportamento della farm AD FS (FBL) al livello 2016 è necessario lo schema di Active Directory 2016 (versione minima 85).

Requisiti per l'account di servizio

  • Qualsiasi account di dominio standard può essere usato come account del servizio per AD FS. Sono supportati anche gli account del servizio gestito del gruppo. Le autorizzazioni necessarie in fase di esecuzione vengono aggiunte automaticamente quando si configura AD FS.

  • L'assegnazione dei diritti utente necessaria per l'account di servizio di Active Directory è Accesso come servizio.

  • Le assegnazioni dei diritti utente necessarie per il NT Service\adfssrv e il NT Service\drs sono Generare controlli di sicurezza e Accedere come servizio.

  • Gli account del servizio gestito del gruppo richiedono almeno un controller di dominio che esegue Windows Server 2012 o versione successiva. L'account del servizio gestito di gruppo gMSA deve essere presente nel contenitore predefinito CN=Managed Service Accounts.

  • Per l'autenticazione Kerberos, il nome principale del servizio 'HOST/<adfs\_service\_name>' deve essere registrato nell'account AD FS. Per impostazione predefinita, AD FS configura questo requisito durante la creazione di una nuova farm AD FS. Se questo processo ha esito negativo, ad esempio se si verifica un conflitto o autorizzazioni insufficienti, viene visualizzato un avviso e deve essere aggiunto manualmente.

Requisiti di dominio

  • Tutti i server AD FS devono essere aggiunti a un dominio di Active Directory Domain Services.

  • Tutti i server AD FS all'interno di una farm devono essere distribuiti nello stesso dominio.

  • L'installazione del primo nodo della farm AD FS dipende dalla disponibilità del PDC.

Requisiti per più foreste

  • Il dominio a cui vengono aggiunti i server AD FS deve considerare attendibile ogni dominio o foresta che contiene gli utenti che eseguono l'autenticazione al servizio AD FS.

  • La foresta, di cui è membro l'account di servizio AD FS, deve fidarsi di tutte le foreste di accesso degli utenti.

  • L'account del servizio AD FS deve disporre delle autorizzazioni per leggere gli attributi utente in ogni dominio che contiene gli utenti che eseguono l'autenticazione al servizio AD FS.

Requisiti del database di configurazione

Questa sezione descrive i requisiti e le restrizioni per le farm AD FS che usano rispettivamente il database interno di Windows (WID) o SQL Server come database:

WID

  • Il profilo di risoluzione degli artefatti di SAML 2.0 non è supportato in una farm WID.

  • Il rilevamento del replay dei token non è supportato in una farm WID. Questa funzionalità viene usata solo negli scenari in cui AD FS funge da provider federativo e utilizza token di sicurezza da provider di attestazioni esterni.

Nella tabella seguente viene fornito un riepilogo del numero di server AD FS supportati in una farm wi-end e in una farm di SQL Server.

Trust RP da 1 a 100 Più di 100 Trust RP
Nodi AD FS da 1 a 30: WID supportato nodi AD FS da 1 a 30: Non supportato con WID - SQL obbligatorio
più di 30 nodi AD FS: Non supportato con WID - SQL obbligatorio più di 30 nodi AD FS: Non supportato con WID - SQL obbligatorio

SQL Server

  • Per AD FS in Windows Server 2016 sono supportati SQL Server 2008 e versioni successive.

  • La risoluzione degli artefatti SAML e il rilevamento del replay dei token sono supportati in una farm di SQL Server.

Requisiti per il browser

Quando l'autenticazione ad AD FS viene eseguita tramite un browser o un controllo del browser, il browser deve rispettare i requisiti seguenti:

  • JavaScript deve essere abilitato.

  • Per l'accesso Single Sign-On, il browser client deve essere configurato per consentire i cookie.

  • L'indicazione del nome del server (SNI) deve essere supportata.

  • Per l'autenticazione del certificato utente & e del certificato del dispositivo, il browser deve supportare l'autenticazione del certificato client TLS/SSL.

  • Per l'accesso facile tramite l'autenticazione integrata di Windows, il nome del servizio federativo (ad esempio https:\/\/fs.contoso.com) deve essere configurato nell'area Intranet locale o nell'area siti attendibili.

Requisiti di rete

Requisiti del firewall

Entrambi i firewall che si trovano tra il proxy applicazione Web e la server farm federativa e tra i client e il proxy applicazione Web devono avere la porta TCP 443 abilitata in ingresso.

Inoltre, se è necessaria l'autenticazione del certificato utente client (autenticazione clientTLS con certificati utente X509) e la porta 443 sull'endpoint di autenticazione del certificato non è abilitata. AD FS 2016 richiede l'abilitazione della porta TCP 49443 in ingresso nel firewall tra i client e il proxy applicazione Web. Questo requisito non si applica al firewall tra il proxy applicazione Web e i server federativi.

Per altre informazioni sui requisiti delle porte ibride, vedere porte e protocolli necessari per l'identità ibrida.

Per altre informazioni, vedere Procedure consigliate per la protezione di Active Directory Federation Services

Requisiti DNS

  • Per l'accesso Intranet, tutti i client che accedono al servizio AD FS all'interno della rete aziendale interna (Intranet) devono essere in grado di risolvere il nome del servizio AD FS nel servizio di bilanciamento del carico per i server AD FS o il server AD FS.

  • Per l'accesso extranet, tutti i client che accedono al servizio AD FS dall'esterno della rete aziendale (extranet/Internet) devono essere in grado di risolvere il nome del servizio AD FS al bilanciatore del carico per i server proxy dell'applicazione Web o al server proxy dell'applicazione Web.

  • Ogni server Proxy di applicazione web nella zona demilitarizzata (DMZ) deve essere in grado di risolvere il nome del servizio AD FS al bilanciatore del carico per i server AD FS o il singolo server AD FS. È possibile creare questa configurazione usando un server DNS (Domain Name System) alternativo nella rete perimetrale o modificando la risoluzione del server locale usando il file HOSTS.

  • Per l'autenticazione integrata di Windows, è necessario usare un record DNS A (non CNAME) per il nome del servizio federativo.

  • Per l'autenticazione del certificato utente sulla porta 443, "certauth.<nome del servizio federativo>" deve essere configurato in DNS per la risoluzione verso il server federativo o il proxy dell'applicazione Web.

  • Per la registrazione del dispositivo o per l'autenticazione moderna alle risorse locali tramite client pre-Windows 10, enterpriseregistration.\<upn suffix\>, per ogni suffisso UPN in uso nell'organizzazione, è necessario configurarli per farli risolvere al server federativo o nel Proxy di applicazioni Web.

Requisiti di Load Balancer

  • Il bilanciatore di carico non deve gestire il processo di terminazione TLS/SSL. AD FS supporta più casi d'uso con l'autenticazione del certificato, che si interrompe quando termina TLS/SSL. La terminazione di TLS/SSL nel servizio di bilanciamento del carico non è supportata per qualsiasi caso d'uso.
  • Usare un bilanciatore di carico che supporta SNI. In caso contrario, l'uso dell'associazione di fallback 0.0.0.0 nel server AD FS o Proxy Applicazione Web dovrebbe fornire una soluzione alternativa.
  • Usare gli endpoint del probe di integrità HTTP (non HTTPS) per eseguire i controlli di integrità del bilanciamento del carico per l'indirizzamento del traffico. Questo requisito evita eventuali problemi relativi all'SNI. La risposta a questi endpoint probe è http 200 OK e viene servita localmente senza dipendenza dai servizi back-end. È possibile accedere al probe HTTP tramite HTTP usando il percorso '/adfs/probe'
    • http://<Web Application Proxy name>/adfs/probe
    • http://<AD FS server name>/adfs/probe
    • http://<Web Application Proxy IP address>/adfs/probe
    • http://<AD FS IP address>/adfs/probe
  • Non è consigliabile usare il round robin DNS come modo per bilanciare il carico. L'uso di questo tipo di bilanciamento del carico non offre un modo automatizzato per rimuovere un nodo dal servizio di bilanciamento del carico utilizzando sonde di controllo dello stato.
  • Non è consigliato utilizzare l'affinità di sessione basata su IP o le sessioni sticky per il traffico di autenticazione verso AD FS nel bilanciatore di carico. È possibile causare un overload di determinati nodi quando si usa il protocollo di autenticazione legacy per i client di posta elettronica per connettersi ai servizi di posta di Office 365 (Exchange Online).

Requisiti delle autorizzazioni

L'amministratore che esegue l'installazione e la configurazione iniziale di AD FS devono disporre delle autorizzazioni di amministratore locale nel server AD FS. Se l'amministratore locale non dispone delle autorizzazioni per creare oggetti in Active Directory, è necessario che un amministratore di dominio crei gli oggetti AD necessari, quindi configurare la farm AD FS usando il parametro AdminConfiguration.