Share via

Configurare Active Directory Federation Services in un modello di attendibilità del certificato ibrido

Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:

Le distribuzioni basate su certificati Windows Hello for Business usano AD FS come autorità di registrazione certificati. Il CRA è responsabile del rilascio e della revoca dei certificati agli utenti. Dopo aver verificato la richiesta di certificato, l'autorità di certificazione firma la richiesta di certificato utilizzando il certificato dell'agente di registrazione e lo invia all'autorità di certificazione.
L'autorità di certificazione si registra per un certificato dell'agente di registrazione e il modello di certificato di autenticazione Windows Hello for Business è configurato per emettere certificati solo per le richieste firmate con un certificato dell'agente di registrazione.

Nota

Per consentire ad AD FS di verificare le richieste di certificati utente per Windows Hello for Business, deve essere in grado di accedere all'endpointhttps://enterpriseregistration.windows.net.

Configurare l'autorità di registrazione certificati

Accedere al server AD FS con credenziali equivalenti all'amministratore di dominio .

Aprire un prompt Windows PowerShell e digitare il comando seguente:

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Nota

Se sono stati assegnati nomi diversi all'agente di registrazione Windows Hello for Business e ai modelli di certificato di autenticazione Windows Hello for Business, sostituire WHFBEnrollmentAgent e WHFBAuthentication nel comando precedente con il nome dei modelli di certificato. È importante che usi il nome del modello anziché il nome visualizzato del modello. È possibile visualizzare il nome del modello nella scheda Generale del modello di certificato usando la console di gestione del modello di certificato (certtmpl.msc). In alternativa, è possibile visualizzare il nome del modello usando il Get-CATemplate cmdlet di PowerShell in una CA.

Registrazione del certificato dell'agente di registrazione

AD FS esegue la gestione del ciclo di vita dei certificati. Dopo aver configurato l'autorità di registrazione con il modello di certificato appropriato, il server AD FS tenta di registrare il certificato alla prima richiesta di certificato o quando il servizio viene avviato per la prima volta.

Circa 60 giorni prima della scadenza del certificato dell'agente di registrazione, il servizio AD FS tenta di rinnovare il certificato fino a quando non ha esito positivo. Se il certificato non viene rinnovato e il certificato scade, il server AD FS richiede un nuovo certificato dell'agente di registrazione. Puoi visualizzare i registri eventi di AD FS per determinare lo stato del certificato dell'agente di registrazione.

Appartenenze a gruppi per l'account del servizio AD FS

L'account del servizio AD FS deve essere membro del gruppo di sicurezza di destinazione della registrazione automatica del modello di certificato di autenticazione, ad esempio Window Hello for Business Users. Il gruppo di sicurezza fornisce al servizio AD FS le autorizzazioni necessarie per registrare un certificato di autenticazione Windows Hello for Business per conto dell'utente di provisioning.

Suggerimento

L'account adfssvc è l'account del servizio AD FS.

Accedi a una workstation di gestione o controller di dominio con le credenziali equivalenti Domain Admin.

  1. Apri Utenti e computer di Active Directory
  2. Cercare il gruppo di sicurezza di destinazione della registrazione automatica del modello di certificato di autenticazione (ad esempio, Window Hello for Business Users)
  3. Selezionare la scheda Membri e selezionare Aggiungi
  4. Nella casella di testo Immettere i nomi degli oggetti da selezionare digitare adfssvc o sostituire il nome dell'account del servizio AD FS nella distribuzione > di AD FS OK
  5. Selezionare OK per tornare a Utenti e computer di Active Directory
  6. Riavviare il server AD FS

Nota

Per AD FS 2019 in un modello di attendibilità del certificato ibrido, esiste un problema PRT. È possibile che si verifichi questo errore nei registri eventi di AD FS Amministrazione: richiesta Oauth non valida ricevuta. Il client 'NAME' non è autorizzato ad accedere alla risorsa con ambito 'ugs'. Per correggere questo errore:

  1. Avviare la console di gestione di AD FS e passare a Descrizioni ambito servizi >
  2. Fare clic con il pulsante destro del mouse su Descrizioni ambito e scegliere Aggiungi descrizione ambito
  3. In Tipo di ugs nome selezionare Applica > OK
  4. Avviare PowerShell come amministratore
  5. Ottenere l'oggetto ObjectIdentifier dell'autorizzazione dell'applicazione con il ClientRoleIdentifier parametro uguale a 38aa3b87-a06d-4817-b275-7a316988d93b:
(Get-AdfsApplicationPermission -ServerRoleIdentifiers 'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{ $_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b' }).ObjectIdentifier
  1. Eseguire il comando Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'.
  2. Riavviare il servizio AD FS
  3. Nel client: riavviare il client. All'utente deve essere richiesto di effettuare il provisioning Windows Hello for Business

Revisione della sezione e passaggi successivi

Prima di passare alla sezione successiva, verificare che i passaggi seguenti siano completati:

  • Configurare l'autorità di registrazione certificati
  • Aggiornare le appartenenze ai gruppi per l'account del servizio AD FS

Avanti: configurare le impostazioni dei criteri >