Share via


Requisiti di AD FS

Di seguito sono elencati i requisiti per la distribuzione di Active Directory Federation Services (AD FS):

Requisiti del certificato

Certificati TLS/SSL

Ogni server AD FS e proxy applicazione Web ha un certificato SSL per soddisfare le richieste HTTPS per il servizio federativo. Il Proxy applicazione Web può avere altri certificati SSL per soddisfare le richieste alle applicazioni pubblicate.

Raccomandazioni per i certificati TLS/SSL

Usare lo stesso certificato TLS/SSL per tutti i server federativi AD FS e i proxy applicazione Web.

Requisiti per i certificati TLS/SSL

I certificati TLS/SSL nei server federativi devono soddisfare i requisiti seguenti:

  • Il certificato è attendibile pubblicamente (per le distribuzioni di produzione).
  • Il certificato contiene il valore di autenticazione server Utilizzo chiavi avanzato (EKU).
  • Il certificato contiene il nome del servizio federativo, ad esempio fs.contoso.com, nel nome del soggetto o nome alternativo del soggetto (SAN).
  • Per l'autenticazione del certificato utente sulla porta 443, il certificato contiene certauth.\<federation service name\>, ad esempio certauth.fs.contoso.com, nel SAN.
  • Per la registrazione del dispositivo o per l'autenticazione moderna per le risorse locali tramite i client precedenti a Windows 10, il SAN deve contenere enterpriseregistration.\<upn suffix\> per ogni suffisso UPN in uso nell'organizzazione.

I certificati TLS/SSL nel Proxy applicazione Web devono soddisfare i requisiti seguenti:

  • Se il proxy viene utilizzato per inoltrare le richieste AD FS che usano l'autenticazione integrata di Windows, il certificato TLS/SSL del proxy deve corrispondere (utilizzare la stessa chiave) al certificato TLS/SSL del server federativo.
  • Se la proprietà di AD FS ExtendedProtectionTokenCheck è abilitata (l'impostazione predefinita in AD FS), il certificato TLS/SSL del proxy deve corrispondere (utilizzare la stessa chiave) al certificato TLS/SSL del server federativo.
  • In caso contrario, i requisiti per il certificato TLS/SSL del proxy sono identici a quelli per il certificato TLS/SSL del server federativo.

Certificato di comunicazione del servizio

Questo certificato non è necessario per la maggior parte degli scenari di AD FS, tra cui Microsoft Entra ID e Office 365. Per impostazione predefinita, AD FS configurare il certificato TLS/SSL fornito subito dopo la configurazione iniziale come certificato di comunicazione del servizio.

Raccomandazione per il certificato di comunicazione del servizio

  • Usare lo stesso certificato che si usa per TLS/SSL.

Certificato di firma di token

Questo certificato viene usato per firmare i token emessi alle relying party, quindi le applicazioni relying party devono riconoscere il certificato e la relativa chiave associata come noti e attendibili. Quando il token modifiche certificato firma, ad esempio quando scade e si configurano un nuovo certificato, è necessario aggiornare tutte le relying party.

Raccomandazione per il certificato per la firma di token

usare i certificati per la firma del token autofirmato predefiniti e generati internamente di AD FS.

Requisiti del certificato per la firma di token

  • Se l'organizzazione richiede l'utilizzo di certificati emessi dall'infrastruttura a chiave pubblica (PKI) aziendale per la firma di token, è possibile soddisfare questo requisito usando il parametro SigningCertificateThumbprint del cmdlet Install-AdfsFarm.
  • Se si desidera utilizza i certificati predefiniti generati internamente o esternamente registrati certificati, quando viene modificato il certificato di firma di token è necessario verificare che tutti i componenti vengono aggiornati con le nuove informazioni del certificato. In caso contrario, le relying party non potranno accedere.

Certificato di crittografia/decrittografia dei token

Questo certificato viene utilizzato dai provider di attestazioni che crittografare i token emessi per ADFS.

Raccomandazione per il certificato di crittografia/decrittografia dei token

usare i certificati di decrittografia del token autofirmato predefiniti e generati internamente di AD FS.

Requisiti per il certificato di crittografia/decrittografia dei token

  • Se l'organizzazione richiede l'utilizzo di certificati emessi dall'infrastruttura a chiave pubblica (PKI) aziendale per la firma di token, è possibile soddisfare questo requisito usando il parametro DecryptingCertificateThumbprint del cmdlet Install-AdfsFarm.
  • Se si desidera utilizza i certificati predefiniti generati internamente o esternamente registrati certificati, quando viene modificato il token di decrittografia di certificato è necessario verificare che tutti i provider di attestazioni vengono aggiornati con le nuove informazioni del certificato. In caso contrario, gli accessi tramite qualsiasi provider di attestazioni non aggiornato avranno esito negativo.

Attenzione

I certificati usati per la firma di token e la decrittografia/crittografia dei token sono fondamentali per la stabilità del servizio federativo. I clienti nel gestire i propri token-firma & token-decrittografare/crittografare i certificati devono assicurarsi che questi certificati vengano sottoposti a backup e siano disponibili in modo indipendente durante un evento di ripristino.

Certificati utente

  • Quando si usa l'autenticazione del certificato utente x509 con AD FS, tutti i certificati utente devono fare capo a un'autorità di certificazione radice considerata attendibile dai server AD FS e Proxy applicazione Web.

Requisiti hardware

Requisiti hardware ADFS e Proxy applicazione Web (fisici o virtuali) sono gestiti su CPU, pertanto è necessario adattare le dimensioni della farm per la capacità di elaborazione.

I requisiti di memoria e disco per AD FS sono abbastanza statici. I requisiti sono illustrati nella tabella seguente:

Requisito hardware Requisito minimo Requisito consigliato
RAM 2 GB 4 GB
Spazio su disco 32 GB 100 GB

Requisiti hardware di Server SQL

Se si usa Azure SQL per il database di configurazione di AD FS, dimensionare SQL Server in base alle raccomandazioni di base per SQL Server. Le dimensioni del database di AD FS sono ridotte e AD FS non impone un carico di elaborazione significativo sull'istanza del database. AD FS, tuttavia, connettersi al database più volte durante l'autenticazione, pertanto la connessione di rete deve essere affidabile. Sfortunatamente, SQL Azure non è supportato per il database di configurazione di AD FS.

Requisiti del proxy

  • Per l'accesso Extranet è necessario distribuire il servizio ruolo Proxy applicazione Web, che fa parte del ruolo del server Accesso remoto.

  • I proxy di terze parti devono supportare il protocollo MS-ADFSIP per essere supportati come proxy AD FS. Per un elenco di fornitori di terze parti, vedere le domande frequenti su AD FS.

  • AD FS 2016 richiede il server Proxy applicazione Web in Windows Server 2016. Non è possibile configurare un proxy di livello inferiore per una farm AD FS 2016 in esecuzione a livello di comportamento della farm 2016.

  • Non è possibile installare un server federativo e il servizio ruolo Proxy applicazione Web nello stesso computer.

Requisiti di Active Directory Domain Services

Requisiti del controller di dominio

  • ADFS richiede che i controller di dominio che esegue Windows Server 2008 o versione successiva.

  • Per Windows Hello for Business è necessario almeno un controller di dominio Windows Server 2016.

Nota

Tutto il supporto per gli ambienti con controller di dominio di Windows Server 2003 è stata terminata. Per altre informazioni, vedere Informazioni sul ciclo di vita Microsoft.

Requisiti a livello di funzionalità del dominio

  • Tutti i domini di account utente e il dominio a cui sono stati aggiunti i server AD FS devono operare a livello di funzionalità del dominio di Windows Server 2003 o versione successiva.

  • Per il corretto funzionamento dell'autenticazione del certificato client, se il certificato è mappato in modo esplicito a un account utente in Servizi di dominio Active Directory, è necessario il livello di funzionalità del dominio di Windows Server 2008 o superiore.

Requisiti dello schema

  • Le nuove installazioni di AD FS 2016 richiedono lo schema di Active Directory 2016 (versione minima 85).

  • Aumentare il livello di comportamento di farm di ADFS (FBL) a livello di 2016 richiede lo schema di Active Directory 2016 (versione minima 85).

Requisiti dell'account del servizio

  • Qualsiasi account di dominio standard può essere utilizzato come account del servizio per ADFS. Sono supportati anche gli account del servizio gestito di gruppo. Le autorizzazioni necessarie in fase di esecuzione vengono aggiunte nuovamente in modo automatico quando si configura AD FS.

  • L'assegnazione dei diritti utente necessaria per l'account del servizio Active Directory è "Accedi come servizio".

  • Le assegnazioni dei diritti utente necessarie per NT Service\adfssrv e NT Service\drs sono Generano controlli di sicurezza e Accesso come servizio.

  • Gli account del servizio gestito del gruppo richiedono almeno un controller di dominio che esegue Windows Server 2012 o versione successiva. L'account del servizio gestito del gruppo deve trovarsi nel contenitore CN=Managed Service Accounts predefinito.

  • Per l'autenticazione Kerberos, il nome dell'entità servizio "HOST/<adfs\_service\_name>" deve essere registrato nell'account del servizio AD FS. Per impostazione predefinita, AD FS configura questo requisito quando si crea una nuova farm AD FS. Se questo processo ha esito negativo, ad esempio in caso di conflitto o di autorizzazioni insufficienti, verrà visualizzato un avviso e l'aggiunta andrà eseguita manualmente.

Requisiti di dominio

  • Tutti i server ADFS devono essere di un dominio di Active Directory.

  • Tutti i server ADFS all'interno di una farm devono essere distribuiti nello stesso dominio.

  • L'installazione del primo nodo della farm AD FS dipende dalla disponibilità del PDC.

Requisiti per più foreste

  • Ogni dominio o foresta che contiene gli utenti l'autenticazione per il servizio ADFS, deve considerare attendibile il dominio a cui sono stati aggiunti i server ADFS.

  • La foresta di cui l'account del servizio AD FS è membro deve considerare attendibili tutte le foreste da cui gli utenti eseguono l'accesso.

  • L'account del servizio ADFS deve disporre delle autorizzazioni per leggere gli attributi utente in ogni dominio che contiene gli utenti l'autenticazione per il servizio ADFS.

Requisiti del database di configurazione

In questa sezione vengono descritti i requisiti e restrizioni per le farm di ADFS che utilizza rispettivamente la Database interno di Windows (WID) o SQL Server del database:

Database interno di Windows

  • Il profilo di risoluzione degli artefatti di SAML 2.0 non è supportato in una farm Database interno di Windows (WID).

  • Il rilevamento riproduzione token non è supportato in una farm WID. Questa funzionalità viene usata solo negli scenari in cui AD FS funge da provider federativo e utilizza token di sicurezza da provider di attestazioni esterni.

Nella tabella seguente viene fornito un riepilogo di quanti server ADFS sono supportati in Visual Studio un WID una farm SQL Server.

1-100 attendibilità della relying party Più di 100 attendibilità della relying Party
1-30 nodi AD FS: WID supportato 1-30 nodi AD FS: non supportato con WID - SQL obbligatorio
Più di 30 nodi AD FS: non supportato con WID - SQL obbligatorio Più di 30 nodi AD FS: non supportato con WID - SQL obbligatorio

SQL Server

  • Per AD FS in Windows Server 2016 sono supportati SQL Server 2008 e versioni successive.

  • Risoluzione artefatto SAML sia il rilevamento riproduzione token sono supportati in una farm di SQL Server.

Requisiti del browser

Quando l'autenticazione ad AD FS viene eseguita tramite un browser o un controllo del browser, il browser deve rispettare i requisiti seguenti:

  • JavaScript deve essere abilitato.

  • Per l'accesso Single Sign-On, il browser client deve essere configurato per consentire i cookie.

  • L'indicazione del nome del server (SNI) deve essere supportata.

  • Per l'autenticazione di certificato utente & certificato dispositivo , il browser deve supportare l'autenticazione del certificato client TLS/SSL.

  • Per un accesso semplice tramite l'autenticazione integrata di Windows, il nome del servizio federativo (ad esempio https:\/\/fs.contoso.com) deve essere configurato nell'area Intranet locale o nell'area dei siti attendibili.

Requisiti di rete

Requisiti del firewall

Entrambi i firewall che si trovano tra il Proxy applicazione Web e la server farm federativa e tra i client e il Proxy applicazione Web devono avere la porta TCP 443 abilitata in ingresso.

Inoltre, se è necessaria l'autenticazione del certificato client utente (autenticazione clientTLS con certificati utente X.509) e l'endpoint certauth sulla porta 443 non è abilitato, AD FS 2016 richiede l'abilitazione della porta TCP 49443 in ingresso nel firewall tra i client e il Proxy applicazione Web. Questo requisito non si applica al firewall tra ilPproxy applicazione Web e i server federativi.

Per altre informazioni sui requisiti per le porte ibride, vedere Porte e protocolli necessari per una soluzione ibrida di gestione delle identità.

Per altre informazioni, vedere Procedure consigliate per la protezione di Active Directory Federation Services

Requisiti DNS

  • Per l'accesso Intranet, tutti i client che accedono al servizio AD FS all'interno della rete azienda interna (Intranet) devono essere in grado di risolvere il nome del servizio AD FS nel bilanciamento del carico per i server AD FS o il server AD FS.

  • Per l'accesso Extranet, tutti i client che accedono al servizio AD FS dall'esterno della rete aziendale (Extranet/Internet) devono essere in grado di risolvere il nome del servizio AD FS nel servizio di bilanciamento del carico per i server Proxy applicazione Web o il server Proxy applicazione Web.

  • Ogni server Proxy applicazione Web nella rete perimetrale (DMZ) deve essere in grado di risolvere il nome del servizio AD FS nel bilanciamento del carico per i server AD FS o il server AD FS. È possibile creare questa configurazione usando un server DNS (Domain Name System) alternativo nella rete DMZ o modificando la risoluzione del server locale usando il file HOSTS.

  • Per l'autenticazione integrata di Windows, è necessario usare un record DNS A (non CNAME) per il nome del servizio federativo.

  • Per l'autenticazione del certificato utente sulla porta 443, "certauth.<nome del servizio federativo>" deve essere configurato in DNS in modo da risolversi nel server federativo o nel Proxy applicazione Web.

  • Per la registrazione del dispositivo o per l'autenticazione moderna a risorse locali tramite client precedenti a Windows 10, "enterpriseregistration.\<upn suffix\> ogni suffisso UPN in uso nell'organizzazione deve essere configurato in modo da risolversi nel server federativo o nel Proxy applicazione Web.

Requisiti di bilanciamento del carico

  • Il bilanciamento del carico non deve terminare il protocollo TLS/SSL. AD FS supporta più casi d'uso con l'autenticazione del certificato, che si interrompe quando TLS/SSL viene terminato. La terminazione di TLS/SSL al bilanciamento del carico non è supportata per alcun caso d'uso.
  • Usare un servizio di bilanciamento del carico che supporti SNI. In caso contrario, l'uso del binding di fallback 0.0.0.0 sul server del Proxy applicazione Web/AD FS dovrebbe fornire una soluzione alternativa.
  • Usare gli endpoint del probe di integrità HTTP (non HTTPS) per eseguire i controlli di integrità del bilanciamento del carico per routing del traffico. Questo consente di evitare eventuali problemi relativi a SNI. La risposta a questi endpoint del probe è HTTP 200 OK e viene resa disponibile localmente senza alcuna dipendenza nei servizi back-end. È possibile accedere al probe HTTP tramite HTTP usando il percorso '/ADFS/probe'
    • http://<Web Application Proxy name>/adfs/probe
    • http://<AD FS server name>/adfs/probe
    • http://<Web Application Proxy IP address>/adfs/probe
    • http://<AD FS IP address>/adfs/probe
  • Non è consigliabile usare il round robin DNS come metodo per il bilanciamento del carico. L'uso di questo tipo di bilanciamento del carico non fornisce un modo automatico per rimuovere un nodo dal bilanciamento del carico usando i probe di integrità.
  • Non è consigliabile usare l'affinità di sessione basata su IP o le sessioni permanenti per il traffico di autenticazione ad AD FS all'interno del bilanciamento del carico. Questa opzione potrebbe causare un sovraccarico di determinati nodi quando si usa il protocollo di autenticazione legacy per i client di posta elettronica per la connessione ai servizi di posta elettronica di Office 365 (Exchange Online).

Requisiti di autorizzazione

L'amministratore che esegue l'installazione e la configurazione iniziale di ADFS deve disporre delle autorizzazioni di amministratore locale sul server ADFS. Se l'amministratore locale non dispone delle autorizzazioni per creare oggetti in Active Directory, è necessario innanzitutto che un amministratore di dominio crei gli oggetti di Active Directory necessari, quindi configurare la farm AD FS tramite il parametro AdminConfiguration.