Implementowanie federacji i zarządzanie nią

  • 1 minuta

Federacja może używać nowej lub istniejącej farmy lokalna usługa Active Directory w systemie Windows Server 2012 R2 (lub nowszym), a firma Microsoft Entra Połączenie umożliwia użytkownikom logowanie się do zasobów firmy Microsoft Entra przy użyciu hasła lokalnego.

Diagram of federation between on-premises and Microsoft Entra ID. Shows users able log into both on-premises and cloud resources with a single shared login.

Federacja to kolekcja domen, które mają ustanowioną relację zaufania. Poziom zaufania różni się, ale zazwyczaj obejmuje uwierzytelnianie i prawie zawsze obejmuje autoryzację. Typowa federacja może obejmować kilka organizacji, które mają ustanowioną relację zaufania na potrzeby dostępu współdzielonego do zestawu zasobów.

Środowisko lokalne można sfederować przy użyciu identyfikatora Entra firmy Microsoft i użyć tej federacji do uwierzytelniania i autoryzacji. Dzięki tej metodzie logowania cały proces uwierzytelniania użytkowników odbywa się lokalnie. Ta metoda umożliwia administratorom wdrożenie bardziej rygorystycznych poziomów kontroli dostępu. Dostępne są federacje w usługach AD FS i PingFederate.

Po federacyjnym logowaniu użytkownicy mogą logować się do usług firmy Microsoft Entra przy użyciu haseł lokalnych. Chociaż są w sieci firmowej, nawet nie muszą wprowadzać swoich haseł. Za pomocą opcji federacji z usługami AD FS można wdrożyć nową lub istniejącą farmę z usługami AD FS w systemie Windows Server 2012 R2 lub nowszym. Jeśli zdecydujesz się określić istniejącą farmę, firma Microsoft Entra Połączenie konfiguruje zaufanie między farmą a identyfikatorem Entra firmy Microsoft, aby użytkownicy mogli się zalogować.

Wymaganie wdrożenia federacji z usługami AD FS i Microsoft Entra Połączenie

Wdrożenie w farmie usług AD FS jest potrzebne:

  • Poświadczenia administratora lokalnego na serwerach federacyjnych.
  • Poświadczenia administratora lokalnego na wszystkich serwerach grupy roboczej (nie przyłączone do domeny), na których zamierzasz wdrożyć rolę serwer proxy aplikacji sieci Web.
  • Na maszynie, na której uruchomiono kreatora, można nawiązać połączenie z innymi maszynami, na których chcesz zainstalować usługi AD FS lub serwer proxy aplikacji sieci Web przy użyciu zdalnego zarządzania systemem Windows.

Konfigurowanie federacji przy użyciu usługi Microsoft Entra Połączenie do nawiązywania połączenia z farmą usług AD FS

Screenshot of Microsoft Entra Connect application showing the create and connect to an AD FS farm dialog.

Określ serwery usług AD FS Określ serwery , na których chcesz zainstalować usługi AD FS. W zależności od potrzeb dotyczących pojemności można dodać jeden lub więcej serwerów. Przed skonfigurowaniem tej konfiguracji dołącz wszystkie serwery usług AD FS do usługi Active Directory. Ten krok nie jest wymagany dla serwerów serwer proxy aplikacji sieci Web. Firma Microsoft zaleca instalowanie jednego serwera usług AD FS do celów wdrożeń testowych i pilotażowych. Po początkowej konfiguracji można dodać i wdrożyć więcej serwerów, aby spełnić potrzeby skalowania, uruchamiając ponownie aplikację Microsoft Entra Połączenie.

Określ serwery serwer proxy aplikacji sieci Web Określ serwery serwer proxy aplikacji sieci Web. Serwer serwer proxy aplikacji sieci Web jest wdrażany w sieci obwodowej, w którym znajduje się ekstranet. Obsługuje żądania uwierzytelniania z ekstranetu. W zależności od potrzeb dotyczących pojemności można dodać jeden lub więcej serwerów. Po początkowej konfiguracji można dodać i wdrożyć więcej serwerów, aby spełnić potrzeby skalowania, uruchamiając ponownie aplikację Microsoft Entra Połączenie.

Określ konto usługi dla usługi AD FS Usługi AD FS usługi wymaga konta usługi domeny do uwierzytelniania użytkowników i wyszukiwania informacji o użytkowniku w usłudze Active Directory. Obsługiwane są dwa typy kont usługi:

  • Konto usługi zarządzanej przez grupę
  • Konto użytkownika domeny

Wybierz domenę Microsoft Entra, którą chcesz sfederować , użyj strony domeny Microsoft Entra, aby skonfigurować relację federacyjną między usługami AD FS i Microsoft Entra ID. W tym miejscu skonfigurujesz usługi AD FS w celu zapewnienia tokenów zabezpieczających identyfikatorowi entra firmy Microsoft. Należy również skonfigurować identyfikator entra firmy Microsoft, aby ufać tokenom z tego wystąpienia usług AD FS. Na tej stronie można skonfigurować tylko jedną domenę w początkowej instalacji. Więcej domen można skonfigurować później, uruchamiając ponownie Połączenie firmy Microsoft.

Microsoft Entra Połączenie narzędzi do zarządzania federacją

Różne zadania związane z usługami AD FS można wykonać w usłudze Microsoft Entra Połączenie z minimalną interwencją użytkownika przy użyciu kreatora microsoft Entra Połączenie. Nawet po zakończeniu instalowania programu Microsoft Entra Połączenie, uruchamiając kreatora, możesz ponownie uruchomić kreatora, aby wykonać inne zadania. Na przykład można użyć kreatora, aby naprawić zaufanie za pomocą platformy Microsoft 365, federować z identyfikatorem Entra firmy Microsoft przy użyciu alternatywnego identyfikatora logowania i dodać serwer serwer proxy aplikacji sieci Web usług AD FS (WAP).

Napraw relację zaufania Możesz użyć usługi Microsoft Entra Połączenie, aby sprawdzić bieżącą kondycję zaufania usług AD FS i Microsoft Entra ID i podjąć odpowiednie działania w celu naprawy zaufania.

Federate with Microsoft Entra ID using AlternateID (Federate with Microsoft Entra ID using AlternateID ) Zaleca się, aby lokalne główne nazwy użytkownika (UPN) i nazwa główna użytkownika w chmurze były zachowywane tak samo. Jeśli lokalna nazwa UPN używa domeny innej niż routing (np. Contoso.local) lub nie można jej zmienić z powodu zależności aplikacji lokalnych, zalecamy skonfigurowanie alternatywnego identyfikatora logowania. Alternatywny identyfikator logowania umożliwia skonfigurowanie środowiska logowania, w którym użytkownicy mogą logować się za pomocą atrybutu innego niż nazwa UPN, takiego jak poczta. Wybór głównej nazwy użytkownika w identyfikatorze Entra firmy Microsoft Połączenie domyślnie atrybut userPrincipalName w usłudze Active Directory. W przypadku wybrania innego atrybutu dla głównej nazwy użytkownika i federowania przy użyciu usług AD FS, firma Microsoft Entra Połączenie skonfiguruje usługi AD FS pod kątem alternatywnego identyfikatora logowania.

Dodawanie domeny federacyjnej Można łatwo dodać domenę, która ma być sfederowany z identyfikatorem Entra firmy Microsoft przy użyciu usługi Microsoft Entra Połączenie. Firma Microsoft Entra Połączenie dodaje domenę dla federacji i modyfikuje reguły oświadczeń w celu poprawnego odzwierciedlenia wystawcy, gdy masz wiele domen federacyjnych z identyfikatorem Entra firmy Microsoft.

Wraz z dodawaniem i serwerem usług AD FS oraz Dodawanie serwera serwer proxy aplikacji sieci Web usług AD FS.

Zapisywanie zwrotne urządzeń

Funkcja zapisywania zwrotnego urządzeń służy do włączania dostępu warunkowego opartego na urządzeniach chronionych przez usługę ADFS. Ten dostęp warunkowy zapewnia dodatkowe zabezpieczenia i pewność, że dostęp do aplikacji jest udzielany tylko zaufanym urządzeniom. Zapisywanie zwrotne urządzeń umożliwia synchronizację wszystkich urządzeń zarejestrowanych na platformie Azure z powrotem do lokalna usługa Active Directory. Po skonfigurowaniu podczas instalacji następujące operacje są wykonywane w celu przygotowania lasu usługi AD:

  • Jeśli jeszcze nie istnieją, utwórz i skonfiguruj nowe kontenery i obiekty w obszarze: CN=Konfiguracja rejestracji urządzeń,CN=Services,CN=Configuration,[forest dn ].
  • Jeśli jeszcze nie istnieją, utwórz i skonfiguruj nowe kontenery i obiekty w obszarze: CN=RegisteredDevices,[domain-dn]. Obiekty urządzeń zostaną utworzone w tym kontenerze.
  • Ustaw niezbędne uprawnienia na koncie microsoft Entra Połączenie or, aby zarządzać urządzeniami w usłudze Active Directory.