Zarządzanie i dostosowywanie usług AD FS przy użyciu usługi Microsoft Entra Połączenie

  • Artykuł

W tym artykule opisano sposób zarządzania i dostosowywania usług Active Directory Federation Services (AD FS) przy użyciu usługi Microsoft Entra Połączenie.

Poznasz również inne typowe zadania usług AD FS, które mogą być konieczne do całkowitego skonfigurowania farmy usług AD FS. Te zadania są wymienione w poniższej tabeli:

Zadanie Opis
Zarządzanie usługami AD FS
Naprawianie zaufania Dowiedz się, jak naprawić zaufanie federacji za pomocą platformy Microsoft 365.
Federate with Microsoft Entra ID by using an alternative sign-in ID Dowiedz się, jak skonfigurować federację przy użyciu alternatywnego identyfikatora logowania.
Dodawanie serwera usług AD FS Dowiedz się, jak rozszerzyć farmę usług AD FS przy użyciu dodatkowego serwera usług AD FS.
Dodawanie serwera serwer proxy aplikacji sieci Web usług AD FS (WAP) Dowiedz się, jak rozszerzyć farmę usług AD FS przy użyciu dodatkowego serwera WAP.
Dodawanie domeny federacyjnej Dowiedz się, jak dodać domenę federacyjną.
Aktualizowanie certyfikatu TLS/SSL Dowiedz się, jak zaktualizować certyfikat TLS/SSL dla farmy usług AD FS.
Dostosowywanie usług AD FS
Dodawanie niestandardowego logo firmy lub ilustracji Dowiedz się, jak dostosować stronę logowania usług AD FS przy użyciu logo firmy i ilustracji.
Dodawanie opisu logowania Dowiedz się, jak dodać opis strony logowania.
Modyfikowanie reguł oświadczeń usług AD FS Dowiedz się, jak modyfikować oświadczenia usług AD FS dla różnych scenariuszy federacji.

Zarządzanie usługami AD FS

Różne zadania związane z usługami AD FS można wykonywać w usłudze Microsoft Entra Połączenie przy minimalnym interwencji użytkownika za pomocą kreatora microsoft Entra Połączenie. Po zakończeniu instalowania programu Microsoft Entra Połączenie, uruchamiając kreatora, możesz uruchomić go ponownie, aby wykonać inne zadania.

Naprawianie zaufania

Możesz użyć usługi Microsoft Entra Połączenie, aby sprawdzić bieżącą kondycję zaufania usług AD FS i Microsoft Entra ID, a następnie podjąć odpowiednie działania w celu naprawy zaufania. Aby naprawić identyfikator Entra firmy Microsoft i zaufanie usług AD FS, wykonaj następujące czynności:

  1. Wybierz pozycję Napraw identyfikator Firmy Microsoft Entra i zaufanie usług ADFS z listy zadań.

    Screenshot of the

  2. Na stronie Połączenie do identyfikatora entra firmy Microsoft podaj swoje poświadczenia tożsamości hybrydowej Administracja istrator dla identyfikatora Entra firmy Microsoft, a następnie wybierz przycisk Dalej.

    Screenshot that shows the

  3. Na stronie Poświadczenia dostępu zdalnego wprowadź poświadczenia administratora domeny.

    Screenshot that shows the

  4. Wybierz Dalej.

    Firma Microsoft Entra Połączenie sprawdza kondycję certyfikatu i pokazuje wszelkie problemy.

    Screenshot of the

    Na stronie Gotowe do skonfigurowania zostanie wyświetlona lista akcji, które zostaną wykonane w celu naprawy zaufania.

    Screenshot that shows the

  5. Wybierz pozycję Zainstaluj , aby naprawić zaufanie.

Uwaga

Firma Microsoft Entra Połączenie może naprawiać lub wykonywać działania tylko na certyfikatach z podpisem własnym. Firma Microsoft Entra Połączenie nie może naprawić certyfikatów innych firm.

Federate z identyfikatorem Entra firmy Microsoft przy użyciu identyfikatora alternatywnego

Zalecamy zachowanie nazwy głównej użytkownika w środowisku lokalnym (UPN) i głównej nazwy użytkownika w chmurze w taki sam sposób. Jeśli lokalna nazwa UPN używa domeny innej niż routing (na przykład Contoso.local) lub nie można jej zmienić z powodu zależności aplikacji lokalnych, zalecamy skonfigurowanie alternatywnego identyfikatora logowania. Korzystając z alternatywnego identyfikatora logowania, można skonfigurować środowisko logowania, w którym użytkownicy mogą logować się za pomocą atrybutu innego niż nazwa UPN, takiego jak adres e-mail.

Wybór nazwy UPN w usłudze Microsoft Entra Połączenie domyślny atrybut userPrincipalName w usłudze Active Directory. Jeśli wybierzesz inny atrybut nazwy UPN i sfederujesz przy użyciu usług AD FS, Microsoft Entra Połączenie konfiguruje usługi AD FS dla alternatywnego identyfikatora logowania.

Przykład wybierania innego atrybutu dla nazwy UPN jest pokazany na poniższej ilustracji:

Screenshot that shows the

Konfigurowanie alternatywnego identyfikatora logowania dla usług AD FS składa się z dwóch głównych kroków:

  1. Skonfiguruj odpowiedni zestaw oświadczeń wystawiania: reguły oświadczeń wystawiania w relacji zaufania jednostki uzależnionej identyfikatora firmy Microsoft są modyfikowane w celu użycia wybranego atrybutu UserPrincipalName jako alternatywnego identyfikatora użytkownika.

  2. Włącz alternatywny identyfikator logowania w konfiguracji usług AD FS: Konfiguracja usług AD FS jest aktualizowana, aby usługi AD FS mogły wyszukać użytkowników w odpowiednich lasach przy użyciu alternatywnego identyfikatora. Ta konfiguracja jest obsługiwana w usługach AD FS w systemie Windows Server 2012 R2 (z KB2919355) lub nowszym. Jeśli serwery usług AD FS mają wartość 2012 R2, firma Microsoft Entra Połączenie sprawdza obecność wymaganej bazy wiedzy. Jeśli baza wiedzy nie zostanie wykryta, po zakończeniu konfiguracji zostanie wyświetlone ostrzeżenie, jak pokazano na poniższej ilustracji:

    Screenshot of the

    Jeśli brakuje bazy wiedzy, możesz rozwiązać ten problem, instalując wymagane KB2919355. Następnie możesz postępować zgodnie z instrukcjami w temacie naprawiania zaufania.

Uwaga

Aby uzyskać więcej informacji na temat identyfikatora alternatywnego i kroków ręcznego konfigurowania go, zobacz Konfigurowanie alternatywnego identyfikatora logowania.

Dodawanie serwera usług AD FS

Uwaga

Aby dodać serwer usług AD FS, firma Microsoft Entra Połączenie wymaga certyfikatu PFX. W związku z tym można wykonać tę operację tylko wtedy, gdy skonfigurowano farmę usług AD FS przy użyciu usługi Microsoft Entra Połączenie.

  1. Wybierz pozycję Wdróż dodatkowy serwer federacyjny, a następnie wybierz przycisk Dalej.

    Screenshot of the

  2. Na stronie Połączenie do identyfikatora entra firmy Microsoft wprowadź swoje poświadczenia tożsamości hybrydowej Administracja istrator dla identyfikatora Entra firmy Microsoft, a następnie wybierz przycisk Dalej.

    Screenshot that shows the

  3. Podaj poświadczenia administratora domeny.

    Screenshot that shows the

  4. Firma Microsoft Entra Połączenie prosi o podanie hasła pliku PFX podanego podczas konfigurowania nowej farmy usług AD FS za pomocą usługi Microsoft Entra Połączenie. Wybierz pozycję Wprowadź hasło , aby podać hasło dla pliku PFX.

    Screenshot of the

    Screenshot that shows the

  5. Na stronie Serwery usług AD FS wprowadź nazwę serwera lub adres IP, który ma zostać dodany do farmy usług AD FS.

    Screenshot that shows the

  6. Wybierz przycisk Dalej, a następnie kontynuuj kończenie ostatniej strony Konfigurowanie .

    Po zakończeniu dodawania serwerów do farmy usług AD FS przez firmę Microsoft Entra Połączenie będzie dostępna opcja zweryfikowania łączności.

    Screenshot that shows the

    Screenshot that shows the

Dodawanie serwera WAP usług AD FS

Uwaga

Aby dodać serwer serwer proxy aplikacji sieci Web, firma Microsoft Entra Połączenie wymaga certyfikatu PFX. W związku z tym tę operację można wykonać dopiero po skonfigurowaniu farmy usług AD FS przy użyciu usługi Microsoft Entra Połączenie.

  1. Wybierz pozycję Wdróż serwer proxy aplikacji sieci Web z listy dostępnych zadań.

    Deploy Web Application Proxy

  2. Podaj poświadczenia Administracja istratora tożsamości hybrydowej platformy Azure.

    Screenshot that shows the

  3. Na stronie Określanie certyfikatu SSL podaj hasło do pliku PFX podanego podczas konfigurowania farmy usług AD FS z usługą Microsoft Entra Połączenie. Certificate password

    Specify TLS/SSL certificate

  4. Dodaj serwer do dodania jako serwer WAP. Ponieważ serwer WAP może nie być przyłączony do domeny, kreator prosi o poświadczenia administracyjne do dodawanego serwera.

    Administrative server credentials

  5. Na stronie Poświadczenia zaufania serwera proxy podaj poświadczenia administracyjne, aby skonfigurować zaufanie serwera proxy i uzyskać dostęp do serwera podstawowego w farmie usług AD FS.

    Proxy trust credentials

  6. Na stronie Gotowe do skonfigurowania kreator wyświetli listę akcji, które zostaną wykonane.

    Screenshot that shows the

  7. Wybierz pozycję Zainstaluj , aby zakończyć konfigurację. Po zakończeniu konfiguracji kreator umożliwia zweryfikowanie łączności z serwerami. Wybierz pozycję Weryfikuj , aby sprawdzić łączność.

    Installation complete

Dodawanie domeny federacyjnej

Dodawanie domeny do federacyjnej za pomocą identyfikatora Entra firmy Microsoft przy użyciu usługi Microsoft Entra Połączenie jest łatwe. Firma Microsoft Entra Połączenie dodaje domenę dla federacji i modyfikuje reguły oświadczeń w celu poprawnego odzwierciedlenia wystawcy, gdy masz wiele domen federacyjnych z identyfikatorem Entra firmy Microsoft.

  1. Aby dodać domenę federacyjną, wybierz pozycję Dodaj dodatkową domenę Firmy Microsoft Entra.

    Screenshot of the

  2. Na następnej stronie kreatora podaj poświadczenia administratora globalnego dla identyfikatora Entra firmy Microsoft.

    Screenshot that shows the

  3. Na stronie Poświadczenia dostępu zdalnego podaj poświadczenia administratora domeny.

    Screenshot showing the

  4. Na następnej stronie kreator udostępnia listę domen firmy Microsoft Entra, za pomocą których można sfederować katalog lokalny. Wybierz domenę z listy.

    Screenshot of the

    Po wybraniu domeny kreator poinformuje Cię o dalszych działaniach, które zostaną wykonane i wpływ konfiguracji. W niektórych przypadkach, jeśli wybierzesz domenę, która nie została jeszcze zweryfikowana w identyfikatorze Entra firmy Microsoft, kreator pomoże Ci zweryfikować domenę. Aby uzyskać więcej informacji, zobacz Dodawanie niestandardowej nazwy domeny do identyfikatora Entra firmy Microsoft.

  5. Wybierz Dalej.

    Na stronie Gotowość do skonfigurowania zostanie wyświetlona lista akcji, które będą wykonywane przez firmę Microsoft Entra Połączenie.

    Screenshot of the

  6. Wybierz pozycję Zainstaluj , aby zakończyć konfigurację.

Uwaga

Użytkownicy w dodanej domenie federacyjnej muszą być zsynchronizowani, zanim będą mogli zalogować się do identyfikatora Entra firmy Microsoft.

Dostosowywanie usług AD FS

Poniższe sekcje zawierają szczegółowe informacje o niektórych typowych zadaniach, które mogą być konieczne do dostosowania strony logowania usług AD FS.

Aby zmienić logo firmy wyświetlanej na stronie logowania , użyj następującego polecenia cmdlet i składni programu PowerShell.

Uwaga

Zalecane wymiary logo to 260 x 35 @ 96 dpi z rozmiarem pliku nie większym niż 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Uwaga

Parametr TargetName jest wymagany. Domyślny motyw wydany z usługami AD FS ma nazwę Domyślna.

Dodawanie opisu logowania

Aby dodać opis strony logowania do strony logowania, użyj następującego polecenia cmdlet i składni programu PowerShell.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modyfikowanie reguł oświadczeń usług AD FS

Usługi AD FS obsługują zaawansowany język oświadczeń, którego można użyć do tworzenia niestandardowych reguł oświadczeń. Aby uzyskać więcej informacji, zobacz Role of the Claim Rule Language (Rola języka reguł oświadczeń).

W poniższych sekcjach opisano sposób pisania niestandardowych reguł dla niektórych scenariuszy związanych z identyfikatorem Entra firmy Microsoft i federacją usług AD FS.

Niezmienny identyfikator warunkowy dla wartości obecnej w atrybucie

Microsoft Entra Połączenie umożliwia określenie atrybutu, który ma być używany jako kotwica źródłowa, gdy obiekty są synchronizowane z identyfikatorem Entra firmy Microsoft. Jeśli wartość w atrybucie niestandardowym nie jest pusta, możesz wydać niezmienne oświadczenie o identyfikatorze.

Można na przykład wybrać ms-ds-consistencyguid jako atrybut kotwicy źródłowej i wydać immutableID , tak jak ms-ds-consistencyguid w przypadku, gdy atrybut ma dla niego wartość. Jeśli nie ma wartości względem atrybutu, problem objectGuid jako niezmienny identyfikator. Zestaw niestandardowych reguł oświadczeń można utworzyć zgodnie z opisem w poniższej sekcji.

Reguła 1. Atrybuty kwerendy

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

W tej regule wysyłasz zapytania o wartości ms-ds-consistencyguid i objectGuid dla użytkownika z usługi Active Directory. Zmień nazwę magazynu na odpowiednią nazwę magazynu we wdrożeniu usług AD FS. Zmień również typ oświadczeń na odpowiedni typ oświadczenia dla federacji, zgodnie z definicją dla objectGuid i ms-ds-consistencyguid.

Ponadto przy użyciu elementu add i nie issuenależy unikać dodawania problemu wychodzącego dla jednostki i można użyć wartości jako wartości pośrednich. Oświadczenie zostanie wyświetlone w późniejszej regule po ustaleniu, która wartość ma być używana jako niezmienny identyfikator.

Reguła 2. Sprawdź, czy ms-ds-consistencyguid istnieje dla użytkownika

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Ta reguła definiuje flagę tymczasową o nazwie idflag , która jest ustawiona na useguid wartość , jeśli użytkownik nie jest ms-ds-consistencyguid wypełniony. Logiką tego jest to, że usługi AD FS nie zezwalają na puste oświadczenia. Po dodaniu oświadczeń http://contoso.com/ws/2016/02/identity/claims/objectguid i http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid w regule 1 kończy się oświadczeniem msdsconsistencyguid tylko wtedy, gdy wartość zostanie wypełniona dla użytkownika. Jeśli nie zostanie wypełniony, usługi AD FS zobaczą, że będzie mieć pustą wartość i natychmiast ją pomniejsi. Wszystkie obiekty będą miały objectGuidwartość , aby oświadczenie zawsze było dostępne po wykonaniu reguły 1.

Reguła 3. Problem z identyfikatorem ms-ds-consistencyguid jako niezmiennym identyfikatorem, jeśli jest obecny

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Jest to niejawne Exist sprawdzanie. Jeśli wartość oświadczenia istnieje, wydaj go jako niezmienny identyfikator. W poprzednim przykładzie użyto nameidentifier oświadczenia. Musisz zmienić to na odpowiedni typ oświadczenia dla niezmiennego identyfikatora w środowisku.

Reguła 4. Wystawianie identyfikatora objectGuid jako niezmiennego identyfikatora, jeśli identyfikator ms-ds-consistencyGuid nie jest obecny

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Przy użyciu tej reguły po prostu sprawdzasz flagę idflagtymczasową . Decydujesz, czy wydać oświadczenie na podstawie jego wartości.

Uwaga

Sekwencja tych reguł jest ważna.

Logowanie jednokrotne z nazwą UPN poddomeny

Można dodać więcej niż jedną domenę do federacyjnej przy użyciu usługi Microsoft Entra Połączenie, zgodnie z opisem w temacie Dodawanie nowej domeny federacyjnej. Microsoft Entra Połączenie w wersji 1.1.553.0 i nowszych utwórz poprawną regułę oświadczenia automatycznieissuerID. Jeśli nie możesz użyć usługi Microsoft Entra Połączenie w wersji 1.1.553.0 lub nowszej, zalecamy użycie narzędzia Reguł oświadczeń RPT firmy Microsoft do generowania i ustawiania prawidłowych reguł oświadczeń dla zaufania jednostki uzależnionej identyfikatora entra firmy Microsoft.

Następne kroki

Dowiedz się więcej o opcjach logowania użytkowników.