Często zadawane pytania dotyczące usług AD FS

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usług Active Directory Federation Services (AD FS). Jest on podzielony na sekcje, które są oparte na typie pytania.

Wdrożenie

Jak uaktualnić/przeprowadzić migrację z poprzednich wersji usług AD FS?

Usługi AD FS można uaktualnić/przeprowadzić migrację, wykonując kroki opisane w jednym z następujących połączonych artykułów:

• Windows Server 2012 R2 AD FS do systemu Windows Server 2016 AD FS lub nowszej. (Proces jest taki sam, jeśli uaktualniasz z systemu Windows Server 2016 AD FS do systemu Windows Server 2019 AD FS).
  • Uaktualnianie do usług AD FS w systemie Windows Server 2016 przy użyciu bazy danych WID
  • Uaktualnianie do usług AD FS w systemie Windows Server 2016 przy użyciu bazy danych SQL
• Windows Server 2012 AD FS do Windows Server 2012 R2 AD FS:
  • Migrowanie do usług AD FS w systemie Windows Server 2012 R2
• Usługi AD FS 2.0 do systemu Windows Server 2012 AD FS:
  • Migrowanie do usług AD FS w systemie Windows Server 2012
• USŁUGI AD FS 1. x do usług AD FS 2.0:
  • Uaktualnij z usług AD FS 1. x do usług AD FS 2.0

Jeśli musisz przeprowadzić uaktualnienie z usług AD FS 2.0 lub 2.1 (Windows Server 2008 R2 lub Windows Server 2012), użyj skryptów wbudowanych znajdujących się w folderze C:\Windows\ADFS.

Dlaczego instalacja usług AD FS wymaga ponownego uruchomienia serwera?

Dodano obsługę protokołu HTTP/2 w systemie Windows Server 2016, ale protokół HTTP/2 nie może być używany do uwierzytelniania certyfikatu klienta. Wiele scenariuszy usług AD FS używa uwierzytelniania certyfikatu klienta. Wielu klientów nie obsługuje ponawiania żądań przy użyciu protokołu HTTP/1.1. Dlatego konfiguracja farmy usług AD FS ponownie konfiguruje ustawienia HTTP serwera lokalnego do HTTP/1.1. Ta ponowna konfiguracja wymaga ponownego uruchomienia serwera.

Czy można używać serwerów proxy aplikacji sieci Web systemu Windows Server 2016 do publikowania farmy usług AD FS w Internecie bez uaktualniania farmy usług AD FS zaplecza?

Ta konfiguracja jest obsługiwana, ale nie są w niej obsługiwane żadne nowe funkcje usług AD FS 2016. Ta konfiguracja ma być tymczasowa podczas migracji z usług AD FS 2012 R2 do usług AD FS 2016. Nie należy jej używać przez długi czas.

Czy można wdrożyć usługi AD FS dla usługi Office 365 bez publikowania serwera proxy w usłudze Office 365?

Tak, ale jako efekt uboczny:

• Należy ręcznie zarządzać aktualizacjami certyfikatów podpisywania tokenu, ponieważ identyfikator Entra firmy Microsoft nie będzie mógł uzyskać dostępu do metadanych federacji. Aby uzyskać więcej informacji na temat ręcznego aktualizowania certyfikatów podpisywania tokenów, zobacz Odnawianie certyfikatów federacyjnych dla usługi Office 365 i identyfikatora Entra firmy Microsoft.
• Nie będzie można używać starszych przepływów uwierzytelniania (na przykład przepływu uwierzytelniania serwera proxy ExO).

Jakie są wymagania dotyczące równoważenia obciążenia dla usług AD FS i serwerów proxy aplikacji internetowej?

Usługi AD FS to system bezstanowy, więc równoważenie obciążenia jest dość proste w przypadku logowania. Poniżej przedstawiono kilka kluczowych zaleceń dotyczących systemów równoważenia obciążenia:

• Moduły równoważenia obciążenia nie powinny być konfigurowane z koligacją adresów IP. Koligacja adresów IP może spowodować nadmierne obciążenie podzestawu serwerów w niektórych scenariuszach usługi Exchange Online.
• Moduły równoważenia obciążenia nie mogą przerywać połączeń HTTPS i uruchamiać nowe połączenie z serwerem usług AD FS.
• Moduły równoważenia obciążenia powinny zapewnić, że adres IP połączenia powinien zostać przetłumaczony jako źródłowy adres IP w pakiecie HTTP, gdy jest wysyłany do usług AD FS. Jeśli moduł równoważenia obciążenia nie może wysłać źródłowego adresu IP w pakiecie HTTP, moduł równoważenia obciążenia musi dodać adres IP do nagłówka X-Forwarded-For. Ten krok jest wymagany do prawidłowej obsługi niektórych funkcji związanych z adresami IP (takich jak zakazany adres IP i blokada inteligentna ekstranetu). Jeśli ta konfiguracja nie jest poprawnie zaimplementowana, zabezpieczenia można zmniejszyć.
• Moduły równoważenia obciążenia powinny obsługiwać interfejs SNI. Jeśli tak nie jest, upewnij się, że usługi AD FS są skonfigurowane do tworzenia powiązań HTTPS do obsługi klientów, którzy nie obsługują sieci SNI.
• Moduły równoważenia obciążenia powinny używać punktu końcowego sondy kondycji HTTP usług AD FS do wykrywania, czy serwery proxy usług AD FS lub serwera proxy aplikacji internetowej są uruchomione. Jeśli wartość 200 OK nie zostanie zwrócona, należy je wykluczyć.

Jakie konfiguracje wieloforestowe obsługuje usługi AD FS?

Usługi AD FS obsługują wiele konfiguracji wieloforowych. Opiera się ona na podstawowej sieci zaufania usług AD DS do uwierzytelniania użytkowników w wielu zaufanych obszarach. Zdecydowanie zalecamy dwukierunkowe relacje zaufania lasu, ponieważ są one łatwiejsze do skonfigurowania, co pomaga zapewnić prawidłowe działanie systemu zaufania.

Dodatkowo:

• Jeśli masz jednokierunkowe zaufanie lasu, takie jak las sieci obwodowej (znany również jako DMZ), który zawiera tożsamości partnerów, zalecamy wdrożenie usług AD FS w lesie firmowym. Traktuj las sieci obwodowej jako innego lokalnego dostawcy oświadczeń zaufanie połączone za pośrednictwem protokołu LDAP. W takim przypadku zintegrowane uwierzytelnianie systemu Windows nie będzie działać dla użytkowników lasu sieci obwodowej. Należy użyć uwierzytelniania za pomocą hasła, ponieważ jest to jedyny obsługiwany mechanizm protokołu LDAP.

  Jeśli nie możesz użyć tej opcji, musisz skonfigurować inny serwer usług AD FS w lesie sieci obwodowej. Dodaj go jako zaufanie dostawcy oświadczeń do serwera usług AD FS w lesie firmowym. Użytkownicy będą musieli wykonać odnajdywanie obszaru głównego, ale zarówno zintegrowane uwierzytelnianie systemu Windows, jak i uwierzytelnianie haseł będą działać. Wprowadź odpowiednie zmiany w regułach wystawiania w usługach AD FS w lesie sieci obwodowej, ponieważ usługi AD FS w lesie firmowym nie będą mogły uzyskać więcej informacji o użytkownikach z lasu sieci obwodowej.

• Relacje zaufania na poziomie domeny są obsługiwane i mogą działać. Zdecydowanie zalecamy jednak przejście do modelu zaufania na poziomie lasu. Należy również upewnić się, że routing nazwy UPN i rozpoznawanie nazw NetBIOS działają poprawnie.

Uwaga / Notatka

Jeśli używasz uwierzytelniania wybieranego z konfiguracją zaufania dwukierunkowego, upewnij się, że użytkownik wywołujący ma przyznane uprawnienie Dozwolone do uwierzytelniania na docelowym koncie usługi.

Czy inteligentna blokada ekstranetu usług AD FS obsługuje protokół IPv6?

Tak, adresy IPv6 są uznawane za znane i nieznane lokalizacje.

Projektowanie

Jakie dostawcy uwierzytelniania wieloskładnikowego innej firmy są dostępni dla usług AD FS?

Usługi AD FS udostępnia rozszerzalny mechanizm integrowania dostawców uwierzytelniania wieloskładnikowego innych firm. W tym celu nie ma ustawionego programu certyfikacji. Przyjęto założenie, że dostawca wykonał niezbędne weryfikacje przed wydaniem.

Lista dostawców, którzy powiadomili firmę Microsoft, jest dostępna tutaj: Dostawcy uwierzytelniania wieloskładnikowego dla usług AD FS. Mogą istnieć dostawcy, o których nie wiemy. Zaktualizujemy listę w miarę odnajdywania nowych.

Czy serwery proxy innych firm są obsługiwane w usługach AD FS?

Tak, serwery proxy innych firm można umieścić przed usługami AD FS, ale każdy serwer proxy innej firmy musi obsługiwać protokółMS-ADFSPIP , który ma być używany zamiast serwera proxy aplikacji internetowej.

Obecnie wiemy o następujących dostawcach innych firm. Mogą istnieć dostawcy, o których nie wiemy. Zaktualizujemy tę listę w miarę odnajdywania nowych.

• Menedżer zasad dostępu F5
• Citrix Application Delivery Controller (ADC)

Gdzie znajduje się arkusz kalkulacyjny ustalania rozmiaru pojemności dla usług AD FS 2016?

Możesz pobrać wersję arkusza kalkulacyjnego usług AD FS 2016. Możesz również użyć tego arkusza kalkulacyjnego dla usług AD FS w systemie Windows Server 2012 R2.

Jak mogę zapewnić, że serwery proxy usług AD FS i serwerów proxy aplikacji internetowej obsługują wymagania usługi ATP firmy Apple?

Firma Apple wydała zestaw wymagań o nazwie App Transport Security (ATS), które mogą mieć wpływ na wywołania z aplikacji systemu iOS uwierzytelniających się w usługach AD FS. Możesz zapewnić zgodność serwerów usług AD FS i serwera proxy aplikacji internetowej, upewniając się, że obsługują one wymagania dotyczące nawiązywania połączenia przy użyciu usługi ATS. W szczególności należy sprawdzić, czy:

• Serwery usług AD FS i serwera proxy aplikacji internetowej obsługują protokół TLS 1.2.
• Wynegocjowany zestaw szyfrowania TLS będzie obsługiwać doskonałą tajemnicę przesyłania dalej.

Aby uzyskać informacje o włączaniu i wyłączaniu protokołów SSL 2.0 i 3.0 i TLS 1.0, 1.1 i 1.2, zobacz Zarządzanie protokołami SSL w usługach AD FS.

Aby zapewnić, że serwery usług AD FS i serwera proxy aplikacji sieci Web negocjują tylko pakiety szyfrowania TLS obsługujące usługę ATP, można wyłączyć wszystkie zestawy szyfrowania, które nie znajdują się na liście zestawów szyfrowania zgodnych z usługą ATP. Aby je wyłączyć, użyj poleceń cmdlet programu Windows TLS PowerShell.

Programista

Kiedy usługi AD FS generuje id_token dla użytkownika uwierzytelnionego w usłudze Active Directory, jak jest generowane oświadczenie "sub" w id_token?

Wartość oświadczenia "sub" to skrót identyfikatora klienta i wartość oświadczenia zakotwiczenia.

Jakie są okresy istnienia tokenu odświeżania i token dostępu, gdy użytkownik loguje się za pośrednictwem zaufania dostawcy oświadczeń zdalnych za pośrednictwem usług WS-Fed/SAML-P?

Okres istnienia tokenu odświeżania będzie okresem istnienia tokenu, który usługi AD FS otrzymał od zaufania dostawcy oświadczeń zdalnych. Okres istnienia tokenu dostępu będzie okresem istnienia tokenu jednostki uzależnionej, dla której jest wystawiany token dostępu.

Chcę zwrócić zakresy profilów i wiadomości e-mail oprócz zakresu openid. Czy mogę uzyskać więcej informacji przy użyciu zakresów? Jak to zrobić w usługach AD FS?

Możesz użyć dostosowanego id_token, aby dodać odpowiednie informacje w samym id_token. Aby uzyskać więcej informacji, zobacz Dostosowywanie oświadczeń do emitowania w id_token.

Jak wydać obiekty blob JSON w tokenach JWT?

Dodano specjalny znak ValueType (http://www.w3.org/2001/XMLSchema#json) i znak ucieczki (\x22) dla tego scenariusza w usługach AD FS 2016. Użyj poniższych przykładów dla reguły wystawiania i końcowych danych wyjściowych z tokenu dostępu.

Przykładowa reguła wystawiania:

=> issue(Type = "array_in_json", ValueType = "http://www.w3.org/2001/XMLSchema#json", Value = "{\x22Items\x22:[{\x22Name\x22:\x22Apple\x22,\x22Price\x22:12.3},{\x22Name\x22:\x22Grape\x22,\x22Price\x22:3.21}],\x22Date\x22:\x2221/11/2010\x22}");

Oświadczenie wystawione w tokenie dostępu:

"array_in_json":{"Items":[{"Name":"Apple","Price":12.3},{"Name":"Grape","Price":3.21}],"Date":"21/11/2010"}

Czy mogę przekazać wartość zasobu jako część wartości zakresu w taki sam sposób, w jaki żądania są wysyłane względem identyfikatora Entra firmy Microsoft?

Dzięki usługom AD FS w systemie Windows Server 2019 można teraz przekazać wartość zasobu osadzoną w parametrze zakresu. Parametr zakresu można zorganizować jako listę rozdzielaną spacjami, gdzie każdy wpis jest ustrukturyzowany jako zasób/zakres.

Czy usługi AD FS obsługują rozszerzenie PKCE?

Usługi AD FS w systemie Windows Server 2019 obsługują klucz dowodowy dla wymiany kodu (PKCE) dla przepływu udzielania kodu autoryzacji OAuth.

Jakie dozwolone zakresy są obsługiwane przez usługi AD FS?

Obsługiwane:

• aza. Jeśli używasz rozszerzeń protokołu OAuth 2.0 dla klientów brokera , a parametr zakresu zawiera aza zakresu, serwer wystawia nowy podstawowy token odświeżania i ustawia go w polu refresh_token odpowiedzi. Ustawia również pole refresh_token_expires_in na okres istnienia nowego podstawowego tokenu odświeżania, jeśli jest wymuszany.
• openid. Umożliwia aplikacji żądanie użycia protokołu autoryzacji OpenID Connect.
• logon_cert. Umożliwia aplikacji żądanie certyfikatów logowania, które mogą służyć do interakcyjnego logowania użytkowników uwierzytelnionych. Serwer usług AD FS pomija parametr access_token z odpowiedzi i zamiast tego udostępnia łańcuch certyfikatów CMS zakodowany w formacie Base64 lub pełną odpowiedź PKI CMC. Aby uzyskać więcej informacji, zobacz Przetwarzanie szczegółów.
• user_impersonation. Wymagane, jeśli chcesz zażądać tokenu dostępu w imieniu z usług AD FS. Aby uzyskać więcej informacji na temat korzystania z tego zakresu, zobacz Tworzenie aplikacji wielowarstwowej przy użyciuBehalf-Of (OBO) przy użyciu protokołu OAuth z usługami AD FS 2016.

Nie obsługiwane

• vpn_cert. Umożliwia aplikacji żądanie certyfikatów sieci VPN, które mogą służyć do nawiązywania połączeń sieci VPN przy użyciu uwierzytelniania EAP-TLS. Ten zakres nie jest już obsługiwany.
• E-mail. Umożliwia aplikacji żądanie oświadczenia e-mail dla zalogowanego użytkownika. Ten zakres nie jest już obsługiwany.
• profil. Umożliwia aplikacji żądanie oświadczeń związanych z profilem dla zalogowanego użytkownika. Ten zakres nie jest już obsługiwany.

Operacji

Jak zastąpić certyfikat SSL dla usług AD FS?

Certyfikat SSL usług AD FS nie jest taki sam jak certyfikat komunikacji usług AD FS w przystawce zarządzania usługami AD FS. Aby zmienić certyfikat SSL usług AD FS, należy użyć programu PowerShell. Postępuj zgodnie ze wskazówkami w temacie Zarządzanie certyfikatami SSL w usługach AD FS i WAP 2016.

Jak włączyć lub wyłączyć ustawienia protokołu TLS/SSL dla usług AD FS?

Aby uzyskać informacje na temat wyłączania i włączania protokołów SSL i zestawów szyfrowania, zobacz Zarządzanie protokołami SSL w usługach AD FS.

Czy certyfikat SSL serwera proxy musi być taki sam jak certyfikat SSL usług AD FS?

• Jeśli serwer proxy jest używany do proxy żądań usług AD FS korzystających ze zintegrowanego uwierzytelniania systemu Windows, certyfikat SSL serwera proxy musi używać tego samego klucza co certyfikat SSL serwera federacyjnego.
• Jeśli właściwość ExtendedProtectionTokenCheck usług AD FS jest włączona (ustawienie domyślne w usługach AD FS), certyfikat SSL serwera proxy musi używać tego samego klucza co certyfikat SSL serwera federacyjnego.
• W przeciwnym razie certyfikat SSL serwera proxy może mieć inny klucz niż certyfikat SSL usług AD FS. Musi spełniać te same wymagania.

Dlaczego widzę tylko logowanie przy użyciu haseł w usługach AD FS, a nie inne metody uwierzytelniania, które skonfigurowano?

Usługi AD FS wyświetla tylko jedną metodę uwierzytelniania na ekranie logowania, gdy aplikacja jawnie wymaga określonego identyfikatora URI uwierzytelniania, który jest mapowany na skonfigurowaną i włączoną metodę uwierzytelniania. Metoda jest przekazywana w parametrze wauth w WS-Federation żądań. Jest on przekazywany w parametrze RequestedAuthnCtxRef w żądaniach protokołu SAML. Zostanie wyświetlona tylko żądana metoda uwierzytelniania. (Na przykład logowanie przy użyciu hasła).

W przypadku korzystania z usług AD FS z identyfikatorem Entra firmy Microsoft często aplikacje wysyłają parametr prompt=login do identyfikatora Entra firmy Microsoft. Identyfikator entra firmy Microsoft domyślnie tłumaczy ten parametr na żądanie nowego logowania opartego na hasłach do usług AD FS. Ten scenariusz jest najczęstszą przyczyną, dla której może zostać wyświetlone logowanie przy użyciu hasła w usługach AD FS w sieci lub nie jest widoczna opcja logowania się przy użyciu certyfikatu. Ten problem można łatwo rozwiązać, wprowadzając zmianę ustawień domeny federacyjnej w identyfikatorze Entra firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Obsługa parametrów prompt=login w usługach Active Directory Federation Services.

Jak mogę zmienić konto usługi AD FS?

Aby zmienić konto usługi AD FS, użyj modułu PowerShell konta usługi ad FS przybornika. Aby uzyskać instrukcje, zobacz Zmienianie konta usługi AD FS.

Jak skonfigurować przeglądarki do używania zintegrowanego uwierzytelniania systemu Windows (WIA) z usługami AD FS?

Zobacz Konfigurowanie przeglądarek do używania zintegrowanego uwierzytelniania systemu Windows (WIA) z usługami AD FS.

Czy mogę wyłączyć opcję BrowserSsoEnabled?

Jeśli nie masz zasad kontroli dostępu na podstawie urządzenia w usługach AD FS lub rejestracji certyfikatów usługi Windows Hello dla firm za pośrednictwem usług AD FS, możesz wyłączyć opcję BrowserSsoEnabled. BrowserSsoEnabled umożliwia usługom AD FS zbieranie podstawowego tokenu odświeżania (PRT) z klienta zawierającego informacje o urządzeniu. Bez tego tokenu uwierzytelnianie urządzeń usług AD FS nie będzie działać na urządzeniach z systemem Windows 10.

Jak długo są prawidłowe tokeny usług AD FS?

Administratorzy często zastanawiają się, jak długo użytkownicy uzyskują logowanie jednokrotne bez konieczności wprowadzania nowych poświadczeń oraz jak administratorzy mogą kontrolować to zachowanie. To zachowanie i ustawienia konfiguracji, które go kontrolują, są opisane w ustawieniach logowania jednokrotnego usług AD FS.

Domyślne okresy istnienia różnych plików cookie i tokenów są wymienione tutaj (wraz z parametrami, które zarządzają okresami istnienia):

Zarejestrowane urządzenia

• Pliki cookie PRT i SSO: maksymalnie 90 dni podlegających PSSOLifeTimeMins. (Jeśli urządzenie jest używane co najmniej co 14 dni. To okno czasowe jest kontrolowane przez deviceUsageWindow.

• Token odświeżania: obliczany na podstawie powyższych parametrów w celu zapewnienia spójnego zachowania.

• access_token: domyślnie jedna godzina na podstawie jednostki uzależnionej.

• id_token: tak samo jak access_token.

Niezarejestrowane urządzenia

• Pliki cookie logowania jednokrotnego: domyślnie osiem godzin podlega SSOLifetimeMins. Po włączeniu opcji Nie wylogowuj mnie (KMSI) wartość domyślna to 24 godziny. To ustawienie domyślne można skonfigurować za pomocą polecenia KMSILifetimeMins.

• Token odświeżania: domyślnie osiem godzin. 24 godziny, jeśli usługa KMSI jest włączona.

• access_token: domyślnie jedna godzina na podstawie jednostki uzależnionej.

• id_token: tak samo jak access_token.

Czy usługi AD FS obsługują niejawne przepływy dla klienta poufnego?

Usługi AD FS nie obsługują niejawnych przepływów dla poufnego klienta. Uwierzytelnianie klienta jest włączone tylko dla punktu końcowego tokenu, a usługi AD FS nie będą wystawiać tokenu dostępu bez uwierzytelniania klienta. Jeśli poufny klient potrzebuje tokenu dostępu, a także wymaga uwierzytelniania użytkownika, będzie musiał użyć przepływu kodu autoryzacji.

Czy usługi AD FS obsługują protokół HTTP Strict Transport Security (HSTS)?

HSTS to mechanizm zasad zabezpieczeń sieci Web. Pomaga to wyeliminować ataki na starszą dół protokołu i przejęcie plików cookie dla usług, które mają punkty końcowe HTTP i HTTPS. Umożliwia ona serwerom internetowym deklarowanie, że przeglądarki sieci Web (lub inne zgodne agenty użytkowników) powinny wchodzić z nimi w interakcje tylko przy użyciu protokołu HTTPS i nigdy nie za pośrednictwem protokołu HTTP.

Wszystkie punkty końcowe usług AD FS dla ruchu uwierzytelniania internetowego są otwierane wyłącznie za pośrednictwem protokołu HTTPS. W związku z tym usługi AD FS ogranicza zagrożenia tworzone przez mechanizm zasad HSTS. (Zgodnie z projektem nie ma zmiany na starszą dół do protokołu HTTP, ponieważ nie ma odbiorników w protokole HTTP). Usługi AD FS uniemożliwiają również wysyłanie plików cookie do innego serwera, który ma punkty końcowe protokołu HTTP, oznaczając wszystkie pliki cookie z flagą secure.

W związku z tym nie potrzebujesz usługi HSTS na serwerze usług AD FS, ponieważ nie można obniżyć klasyfikacji HSTS. Serwery usług AD FS spełniają wymagania zgodności, ponieważ nie mogą używać protokołu HTTP i ponieważ pliki cookie są oznaczone jako bezpieczne.

Na koniec usługi AD FS 2016 (z najbardziej up-to-date patches) i AD FS 2019 obsługują emitowanie nagłówka HSTS. Aby skonfigurować to zachowanie, zobacz Dostosowywanie nagłówków odpowiedzi zabezpieczeń HTTP za pomocą usług AD FS.

X-MS-Forwarded—Client-IP nie zawiera adresu IP klienta. Zawiera on adres IP zapory przed serwerem proxy. Gdzie mogę uzyskać adres IP klienta?

Nie zalecamy kończenia żądań ssl przed serwerem proxy aplikacji internetowej. Jeśli odbywa się to przed serwerem proxy aplikacji internetowej,Client-IP X-MS-Forwarded- będzie zawierać adres IP urządzenia sieciowego przed serwerem proxy aplikacji internetowej. Oto krótki opis różnych oświadczeń związanych z adresami IP obsługiwanych przez usługi AD FS:

• X-MS-Client-IP. Adres IP sieci urządzenia połączonego z usługą STS. W przypadku żądań ekstranetu to oświadczenie zawsze zawiera adres IP serwera proxy aplikacji internetowej.
• X-MS-Forwarded-Client-IP. Oświadczenie wielowartościowe zawierające wszystkie wartości przekazywane do usług AD FS przez usługę Exchange Online. Zawiera również adres IP urządzenia połączonego z serwerem proxy aplikacji internetowej.
• Userip. W przypadku żądań ekstranetu to oświadczenie zawiera wartość X-MS-Forwarded-Client-IP. W przypadku żądań intranetowych to oświadczenie zawiera tę samą wartość co X-MS-Client-IP.

Usługi AD FS 2016 (z najbardziej up-to-poprawki daty) i nowsze wersje obsługują również przechwytywanie nagłówka X-Forwarded-For. Każdy moduł równoważenia obciążenia lub urządzenie sieciowe, które nie przekazuje dalej w warstwie 3 (adres IP jest zachowywany), powinny dodać przychodzący adres IP klienta do nagłówka X-Forwarded-For standardu branżowego.

Próbuję uzyskać więcej oświadczeń w punkcie końcowym UserInfo, ale zwraca tylko temat. Jak uzyskać więcej oświadczeń?

Punkt końcowy Ad FS UserInfo zawsze zwraca oświadczenie podmiotu, jak określono w standardach OpenID. Usługi AD FS nie obsługują dodatkowych oświadczeń żądanych za pośrednictwem punktu końcowego UserInfo. Jeśli potrzebujesz więcej oświadczeń w tokenie identyfikatora, zobacz Niestandardowe tokeny identyfikatorów w usługach AD FS.

Dlaczego widzę ostrzeżenie o niepowodzeniu dodawania konta usługi AD FS do grupy Administratorzy kluczy przedsiębiorstwa?

Ta grupa jest tworzona tylko wtedy, gdy kontroler domeny systemu Windows Server 2016 z rolą KONTROLERA PDC FSMO istnieje w domenie. Aby rozwiązać ten problem, możesz utworzyć grupę ręcznie. Wykonaj następujące kroki, aby dodać wymagane uprawnienia po dodaniu konta usługi jako członka grupy:

1. Otwórz Użytkownicy i komputery usługi Active Directory.
2. Kliknij prawym przyciskiem myszy nazwę domeny w okienku po lewej stronie, a następnie wybierz pozycję Właściwości.
3. Wybierz pozycję Zabezpieczenia. (Jeśli brakuje karty Zabezpieczenia , włącz pozycję Funkcje zaawansowane w menu Widok ).
4. Wybierz pozycję Zaawansowane, Dodaj, a następnie Wybierz podmiot zabezpieczeń.
5. Zostanie wyświetlone okno dialogowe Wybieranie użytkownika, komputera, konta usługi lub grupy . W polu Wprowadź nazwę obiektu do wybrania wprowadź ciąg Grupa administratorów kluczy. Kliknij przycisk OK.
6. W polu Dotyczy wybierz pozycję Obiekty użytkownika potomnych.
7. Przewiń do dołu strony i wybierz pozycję Wyczyść wszystko.
8. W sekcji Właściwości wybierz pozycję Odczyt msDS-KeyCredentialLink i Zapis msDS-KeyCredentialLink.

Dlaczego nowoczesne uwierzytelnianie z urządzeń z systemem Android kończy się niepowodzeniem, jeśli serwer nie wysyła wszystkich certyfikatów pośrednich w łańcuchu przy użyciu certyfikatu SSL?

W przypadku aplikacji korzystających z biblioteki ADAL systemu Android uwierzytelnianie do identyfikatora Entra firmy Microsoft może zakończyć się niepowodzeniem dla użytkowników federacyjnych. Aplikacja otrzyma wyjątek AuthenticationException podczas próby wyświetlenia strony logowania. W przeglądarce Chrome strona logowania usług AD FS może być opisana jako niebezpieczna.

W przypadku wszystkich wersji i wszystkich urządzeń system Android nie obsługuje pobierania dodatkowych certyfikatów z pola authorityInformationAccess certyfikatu. To ograniczenie dotyczy również przeglądarki Chrome. Każdy certyfikat uwierzytelniania serwera, który nie ma certyfikatów pośrednich, spowoduje ten błąd, jeśli cały łańcuch certyfikatów nie zostanie przekazany z usług AD FS.

Ten problem można rozwiązać, konfigurując usługi AD FS i serwery proxy aplikacji internetowej w celu wysyłania niezbędnych certyfikatów pośrednich wraz z certyfikatem SSL.

Podczas eksportowania certyfikatu SSL z jednego komputera do zaimportowania do osobistego magazynu komputerów serwerów usług AD FS i serwera proxy aplikacji internetowej należy wyeksportować klucz prywatny i wybrać opcję Wymiana informacji osobistych — PKCS #12.

Ponadto należy wybrać opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikatu, jeśli to możliwe , i Eksportuj wszystkie właściwości rozszerzone.

Uruchom polecenie certlm.msc na serwerach z systemem Windows i zaimportuj plik *.pfx do osobistego magazynu certyfikatów komputera. W ten sposób serwer przekaże cały łańcuch certyfikatów do biblioteki biblioteki ADAL.

Uwaga / Notatka

Magazyn certyfikatów modułów równoważenia obciążenia sieciowego powinien zostać również zaktualizowany w celu uwzględnienia całego łańcucha certyfikatów, jeśli istnieje.

Czy usługi AD FS obsługują żądania HEAD?

Usługi AD FS nie obsługują żądań HEAD. Aplikacje nie powinny używać żądań HEAD względem punktów końcowych usług AD FS. Użycie tych żądań może spowodować nieoczekiwane lub opóźnione odpowiedzi na błędy HTTP. W dzienniku zdarzeń usług AD FS mogą być również widoczne nieoczekiwane zdarzenia błędów.

Dlaczego nie widzę tokenu odświeżania po zalogowaniu się przy użyciu zdalnego dostawcy tożsamości?

Token odświeżania nie jest wystawiany, jeśli token wystawiony przez dostawcę tożsamości ma ważność krótszą niż jedną godzinę. Aby upewnić się, że token odświeżania jest wystawiany, zwiększ ważność tokenu wystawionego przez dostawcę tożsamości do więcej niż jednej godziny.

Czy istnieje sposób zmiany algorytmu szyfrowania tokenu RP?

Szyfrowanie tokenu RP jest ustawione na AES256. Nie można zmienić jej na inną wartość.

W farmie w trybie mieszanym otrzymuję błąd podczas próby ustawienia nowego certyfikatu SSL przy użyciu Set-AdfsSslCertificate -Thumbprint. Jak zaktualizować certyfikat SSL w farmie usług AD FS w trybie mieszanym?

Farmy usług AD FS w trybie mieszanym mają być tymczasowe. Zalecamy, aby podczas planowania przerzucić certyfikat SSL przed procesem uaktualniania lub ukończyć proces i zwiększyć poziom zachowania farmy przed zaktualizowaniem certyfikatu SSL. Jeśli nie wykonano tej rekomendacji, skorzystaj z poniższych instrukcji, aby zaktualizować certyfikat SSL.

Na serwerach proxy aplikacji internetowej nadal można używać programu Set-WebApplicationProxySslCertificate. Na serwerach usług AD FS należy użyć netsh. Wykonaj następujące kroki:

1. Wybierz podzbiór serwerów usług AD FS 2016 na potrzeby konserwacji.

2. Na serwerach wybranych w poprzednim kroku zaimportuj nowy certyfikat za pośrednictwem programu MMC.

3. Usuń istniejące certyfikaty:

   a. netsh http delete sslcert hostnameport=fs.contoso.com:443

   b. netsh http delete sslcert hostnameport=localhost:443

   c. netsh http delete sslcert hostnameport=fs.contoso.com:49443

4. Dodaj nowe certyfikaty:

   a. netsh http add sslcert hostnameport=fs.contoso.com:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable sslctlstorename=AdfsTrustedDevices

   b. netsh http add sslcert hostnameport=localhost:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable

   c. netsh http add sslcert hostnameport=fs.contoso.com:49443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable clientcertnegotiation=Enable

5. Uruchom ponownie usługę AD FS na wybranym serwerze.

6. Usuń podzbiór serwerów proxy aplikacji internetowej na potrzeby konserwacji.

7. Na wybranych serwerach proxy aplikacji internetowej zaimportuj nowy certyfikat za pośrednictwem programu MMC.

8. Ustaw nowy certyfikat na serwerze proxy aplikacji internetowej przy użyciu tego polecenia cmdlet:

   • Set-WebApplicationProxySslCertificate -Thumbprint " CERTTHUMBPRINT"

9. Uruchom ponownie usługę na wybranych serwerach proxy aplikacji internetowej.

10. Umieść wybrany serwer proxy aplikacji internetowej i serwery usług AD FS z powrotem w środowisku produkcyjnym.

Zaktualizuj pozostałe serwery usług AD FS i serwera proxy aplikacji internetowej w taki sam sposób.

Czy usługi AD FS są obsługiwane, gdy serwery proxy aplikacji internetowej znajdują się za zaporą aplikacji internetowej platformy Azure?

Serwery usług AD FS i aplikacji internetowej obsługują wszelkie zapory, które nie wykonują kończenia żądań SSL w punkcie końcowym. Ponadto serwery proxy usług AD FS/aplikacji internetowej mają wbudowane mechanizmy:

• Pomoc w zapobieganiu typowym atakom internetowym, takich jak wykonywanie skryptów między witrynami.
• Wykonaj serwer proxy usług AD FS.
• Spełnij wszystkie wymagania zdefiniowane przez protokółMS-ADFSPIP.

Otrzymuję komunikat "Zdarzenie 441: Znaleziono token z nieprawidłowym kluczem powiązania tokenu". Co należy zrobić, aby rozwiązać to zdarzenie?

W usługach AD FS 2016 powiązanie tokenu jest automatycznie włączone i powoduje wiele znanych problemów z serwerem proxy i scenariuszami federacji. Te problemy powodują to zdarzenie. Aby rozwiązać to zdarzenie, uruchom następujące polecenie programu PowerShell, aby usunąć obsługę powiązania tokenu:

Set-AdfsProperties -IgnoreTokenBinding $true

Moja farma została uaktualniona z usług AD FS w systemie Windows Server 2016 do usług AD FS w systemie Windows Server 2019. Poziom zachowania farmy dla farmy usług AD FS został podniesiony do systemu Windows Server 2019, ale konfiguracja serwera proxy aplikacji internetowej nadal jest wyświetlana jako Windows Server 2016.

Po uaktualnieniu do systemu Windows Server 2019 wersja konfiguracji serwera proxy aplikacji internetowej będzie nadal wyświetlana jako Windows Server 2016. Serwer proxy aplikacji internetowej nie ma nowych funkcji specyficznych dla wersji systemu Windows Server 2019. Jeśli poziom zachowania farmy został podniesiony w usługach AD FS, serwer proxy aplikacji internetowej będzie nadal wyświetlany jako Windows Server 2016. Jest to zamierzone działanie.

Czy mogę oszacować rozmiar magazynu ADFSArtifactStore przed włączeniem ESL?

Po włączeniu ESL usługi AD FS śledzą aktywność konta i znane lokalizacje dla użytkowników w bazie danych ADFSArtifactStore. Ta baza danych jest skalowana w stosunku do liczby użytkowników i śledzonych znanych lokalizacji. Podczas planowania włączenia programu ESL można oszacować, że baza danych ADFSArtifactStore wzrośnie w tempie do 1 GB na 100 000 użytkowników.

Jeśli farma usług AD FS używa wewnętrznej bazy danych systemu Windows, domyślną lokalizacją plików bazy danych jest C:\Windows\WID\Data. Aby zapobiec wypełnianiu tego dysku, pamiętaj, aby mieć co najmniej 5 GB wolnego miejsca do magazynowania przed włączeniem pakietu ESL. Oprócz magazynu na dysku zaplanuj wzrost całkowitej pamięci procesowej po włączeniu ESL przez kolejne 1 GB pamięci RAM dla populacji użytkowników 500 000 lub mniej.

Otrzymuję zdarzenie o identyfikatorze 570 w usługach AD FS 2019. Jak rozwiązać ten problem?

Oto tekst zdarzenia:

Active Directory trust enumeration was unable to enumerate one of more domains due to the following error. Enumeration will continue but the Active Directory identifier list may not be correct. Validate that all expected Active Directory identifiers are present by running Get-ADFSDirectoryProperties.

To zdarzenie występuje, gdy lasy nie są zaufane, gdy usługi AD FS próbuje wyliczyć wszystkie lasy w łańcuchu zaufanych lasów i połączyć się we wszystkich lasach. Załóżmy na przykład, że las A i las B usług AD FS są zaufane, a las B i las C są zaufane. Usługi AD FS wyliczają wszystkie trzy lasy i próbują znaleźć zaufanie między lasem A a lasem C. Jeśli użytkownicy z lasu, który kończy się niepowodzeniem, powinni być uwierzytelnieni przez usługi AD FS, skonfiguruj relację zaufania między lasem usług AD FS a lasem, który kończy się niepowodzeniem. Jeśli użytkownicy z lasu zakończonego niepowodzeniem nie powinni być uwierzytelniani przez usługi AD FS, zignoruj to zdarzenie.

Otrzymuję identyfikator zdarzenia 364. Co należy zrobić, aby rozwiązać ten problem?

Oto tekst zdarzenia:

Microsoft.IdentityServer.AuthenticationFailedException: MSIS5015: Authentication of the presented token failed. Token Binding claim in token must match the binding provided by the channel.

W usługach AD FS 2016 powiązanie tokenu jest automatycznie włączone i powoduje wiele znanych problemów z serwerem proxy i scenariuszami federacji. Te problemy powodują to zdarzenie. Aby rozwiązać to zdarzenie, uruchom następujące polecenie programu PowerShell, aby usunąć obsługę powiązania tokenu:

Set-AdfsProperties -IgnoreTokenBinding $true

Otrzymuję zdarzenie o identyfikatorze 543. Jak rozwiązać ten problem?

Oto tekst zdarzenia:

System.ServiceModel.FaultException: The formatter threw an error while trying to deserialize the message: There was an error while trying to deserialize parameter schemas.microsoft.com/ws/2009/12/identityserver/protocols/policystore:maxBehaviorLevel". The InnerException message was "Invalid enum value 'Win2019' cannot be deserialized into type 'Microsoft.IdentityServer.FarmBehavior'. Ensure that the necessary enum values are present and are marked with EnumMemberAttribute attribute if the type has DataContractAttribute attribute.

To zdarzenie jest oczekiwane, gdy obie te instrukcje są prawdziwe:

• Masz farmę w trybie mieszanym.
• Usługi AD FS 2019 udostępnia informacje o maksymalnym poziomie zachowania farmy do podstawowego serwera federacyjnego i nie jest rozpoznawany przez serwer federacyjny w wersji 2016.

Usługi AD FS 2019 nadal próbuje udostępnić w farmie wartość Win2019 MaxBehaviorLevel, dopóki nie stanie się nieaktualna po dwóch miesiącach i zostanie automatycznie usunięta z farmy. Aby uniknąć pobierania tego zdarzenia, zmigruj podstawową rolę federacyjną do serwera federacyjnego z najnowszą wersją. Postępuj zgodnie z instrukcjami w temacie Aby uaktualnić farmę usług AD FS do poziomu zachowania farmy systemu Windows Server 2019.

Jak rozwiązać problem z błędem dzienników zdarzeń administratora usług AD FS: "Odebrano nieprawidłowe żądanie Oauth. Klient <NAME> jest zabroniony dostępu do zasobu z zakresem ugs"?

Aby rozwiązać problem, wykonaj następujące kroki:

1. Uruchom konsolę zarządzania usług AD FS.
2. Przejdź dopozycji Opisy zakresów>.
3. W obszarze "Opisy zakresu wybierz pozycję Więcej opcji, a następnie wybierz pozycję Dodaj opis zakresu.
4. W obszarze Nazwa wprowadź wartość ugs, a następnie wybierz pozycję Zastosuj>ok.
5. Uruchom program PowerShell jako administrator.
6. Uruchom polecenie Get-AdfsApplicationPermission. ScopeNames :{openid, aza} Wyszukaj wartość , która ClientRoleIdentifier ma wartość . Zanotuj wartość parametru ObjectIdentifier.
7. Uruchom polecenie Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'.
8. Uruchom ponownie usługę AD FS.
9. Na kliencie uruchom ponownie klienta. Powinien zostać wyświetlony monit o skonfigurowanie usługi Windows Hello dla firm.
10. Jeśli okno konfiguracji nie jest wyskakujące, musisz zebrać dzienniki śledzenia i rozwiązać problemy.

Czy mogę przekazać wartość zasobu w ramach wartości zakresu, takiej jak typowe żądanie względem usługi Azure AD?

Tak, ale tylko w systemie Windows Server 2019 lub nowszym. Parametr zakresu można zorganizować jako listę rozdzielaną spacjami, gdzie każdy wpis ma strukturę jako zasób lub zakres, taki jak <create a valid sample request>.

Czy usługi AD FS obsługują rozszerzenie PKCE?

Tak, ale tylko w systemie Windows Server 2019 lub nowszym. Usługi AD FS obsługują klucz dowodowy dla wymiany kodu (PKCE) dla przepływu udzielania kodu autoryzacji OAuth.

Jak uzyskać rozszerzenie identyfikatora zabezpieczeń (SID) w certyfikatach zarejestrowanych za pośrednictwem usług AD FS w celu spełnienia silnych kryteriów mapowania wymuszonych w Centrum dystrybucji kluczy (KDC)?

Usługi AD FS są rejestrowane dla certyfikatów logowania w imieniu uwierzytelnionych kont w niektórych scenariuszach usługi Windows Hello dla firm, zgodnie z opisem w artykule Konfigurowanie logowania jednokrotnego dla usługi Azure Virtual Desktop przy użyciu usług AD FS. Domyślnie te certyfikaty nie zawierają rozszerzenia SID i są odrzucane przez centrum dystrybucji kluczy. Aby uzyskać więcej informacji na temat wymagań centrum dystrybucji kluczy, zobacz KB5014754: Zmiany uwierzytelniania opartego na certyfikatach na kontrolerach domeny systemu Windows. Aktualizacje są dostępne dla usług AD FS w systemie Windows Server 2019, Windows Server 2022 i Windows Server 2025, aby upewnić się, że wystawione certyfikaty obejmują rozszerzenie SID spełniające silne wymagania mapowania. Aby włączyć to zachowanie, zainstaluj najnowsze aktualizacje systemu Windows na wszystkich serwerach usług AD FS farmy i uruchom następujące polecenie cmdlet na podstawowym serwerze usług AD FS:

• Set-AdfsCertificateAuthority -EnrollmentAgent -AddSIDCertificateExtension $true

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usług Active Directory Federation Services (AD FS). Jest on podzielony na sekcje, które są oparte na typie pytania.

Usługi AD FS można uaktualnić/przeprowadzić migrację, wykonując kroki opisane w jednym z następujących połączonych artykułów:

• Windows Server 2012 R2 AD FS do systemu Windows Server 2016 AD FS lub nowszej. (Proces jest taki sam, jeśli uaktualniasz z systemu Windows Server 2016 AD FS do systemu Windows Server 2019 AD FS).
  • Uaktualnianie do usług AD FS w systemie Windows Server 2016 przy użyciu bazy danych WID
  • Uaktualnianie do usług AD FS w systemie Windows Server 2016 przy użyciu bazy danych SQL
• Windows Server 2012 AD FS do Windows Server 2012 R2 AD FS:
  • Migrowanie do usług AD FS w systemie Windows Server 2012 R2
• Usługi AD FS 2.0 do systemu Windows Server 2012 AD FS:
  • Migrowanie do usług AD FS w systemie Windows Server 2012
• USŁUGI AD FS 1. x do usług AD FS 2.0:
  • Uaktualnij z usług AD FS 1. x do usług AD FS 2.0

Jeśli musisz przeprowadzić uaktualnienie z usług AD FS 2.0 lub 2.1 (Windows Server 2008 R2 lub Windows Server 2012), użyj skryptów wbudowanych znajdujących się w folderze C:\Windows\ADFS.

Dodano obsługę protokołu HTTP/2 w systemie Windows Server 2016, ale protokół HTTP/2 nie może być używany do uwierzytelniania certyfikatu klienta. Wiele scenariuszy usług AD FS używa uwierzytelniania certyfikatu klienta. Wielu klientów nie obsługuje ponawiania żądań przy użyciu protokołu HTTP/1.1. Dlatego konfiguracja farmy usług AD FS ponownie konfiguruje ustawienia HTTP serwera lokalnego do HTTP/1.1. Ta ponowna konfiguracja wymaga ponownego uruchomienia serwera.

Ta konfiguracja jest obsługiwana, ale nie są w niej obsługiwane żadne nowe funkcje usług AD FS 2016. Ta konfiguracja ma być tymczasowa podczas migracji z usług AD FS 2012 R2 do usług AD FS 2016. Nie należy jej używać przez długi czas.

Tak, ale jako efekt uboczny:

• Należy ręcznie zarządzać aktualizacjami certyfikatów podpisywania tokenu, ponieważ identyfikator Entra firmy Microsoft nie będzie mógł uzyskać dostępu do metadanych federacji. Aby uzyskać więcej informacji na temat ręcznego aktualizowania certyfikatów podpisywania tokenów, zobacz Odnawianie certyfikatów federacyjnych dla usługi Office 365 i identyfikatora Entra firmy Microsoft.
• Nie będzie można używać starszych przepływów uwierzytelniania (na przykład przepływu uwierzytelniania serwera proxy ExO).

Usługi AD FS to system bezstanowy, więc równoważenie obciążenia jest dość proste w przypadku logowania. Poniżej przedstawiono kilka kluczowych zaleceń dotyczących systemów równoważenia obciążenia:

• Moduły równoważenia obciążenia nie powinny być konfigurowane z koligacją adresów IP. Koligacja adresów IP może spowodować nadmierne obciążenie podzestawu serwerów w niektórych scenariuszach usługi Exchange Online.
• Moduły równoważenia obciążenia nie mogą przerywać połączeń HTTPS i uruchamiać nowe połączenie z serwerem usług AD FS.
• Moduły równoważenia obciążenia powinny zapewnić, że adres IP połączenia powinien zostać przetłumaczony jako źródłowy adres IP w pakiecie HTTP, gdy jest wysyłany do usług AD FS. Jeśli moduł równoważenia obciążenia nie może wysłać źródłowego adresu IP w pakiecie HTTP, moduł równoważenia obciążenia musi dodać adres IP do nagłówka X-Forwarded-For. Ten krok jest wymagany do prawidłowej obsługi niektórych funkcji związanych z adresami IP (takich jak zakazany adres IP i blokada inteligentna ekstranetu). Jeśli ta konfiguracja nie jest poprawnie zaimplementowana, zabezpieczenia można zmniejszyć.
• Moduły równoważenia obciążenia powinny obsługiwać interfejs SNI. Jeśli tak nie jest, upewnij się, że usługi AD FS są skonfigurowane do tworzenia powiązań HTTPS do obsługi klientów, którzy nie obsługują sieci SNI.
• Moduły równoważenia obciążenia powinny używać punktu końcowego sondy kondycji HTTP usług AD FS do wykrywania, czy serwery proxy usług AD FS lub serwera proxy aplikacji internetowej są uruchomione. Jeśli wartość 200 OK nie zostanie zwrócona, należy je wykluczyć.

Usługi AD FS obsługują wiele konfiguracji wieloforowych. Opiera się ona na podstawowej sieci zaufania usług AD DS do uwierzytelniania użytkowników w wielu zaufanych obszarach. Zdecydowanie zalecamy dwukierunkowe relacje zaufania lasu, ponieważ są one łatwiejsze do skonfigurowania, co pomaga zapewnić prawidłowe działanie systemu zaufania.

Dodatkowo:

• Jeśli masz jednokierunkowe zaufanie lasu, takie jak las sieci obwodowej (znany również jako DMZ), który zawiera tożsamości partnerów, zalecamy wdrożenie usług AD FS w lesie firmowym. Traktuj las sieci obwodowej jako innego lokalnego dostawcy oświadczeń zaufanie połączone za pośrednictwem protokołu LDAP. W takim przypadku zintegrowane uwierzytelnianie systemu Windows nie będzie działać dla użytkowników lasu sieci obwodowej. Należy użyć uwierzytelniania za pomocą hasła, ponieważ jest to jedyny obsługiwany mechanizm protokołu LDAP.

  Jeśli nie możesz użyć tej opcji, musisz skonfigurować inny serwer usług AD FS w lesie sieci obwodowej. Dodaj go jako zaufanie dostawcy oświadczeń do serwera usług AD FS w lesie firmowym. Użytkownicy będą musieli wykonać odnajdywanie obszaru głównego, ale zarówno zintegrowane uwierzytelnianie systemu Windows, jak i uwierzytelnianie haseł będą działać. Wprowadź odpowiednie zmiany w regułach wystawiania w usługach AD FS w lesie sieci obwodowej, ponieważ usługi AD FS w lesie firmowym nie będą mogły uzyskać więcej informacji o użytkownikach z lasu sieci obwodowej.

• Relacje zaufania na poziomie domeny są obsługiwane i mogą działać. Zdecydowanie zalecamy jednak przejście do modelu zaufania na poziomie lasu. Należy również upewnić się, że routing nazwy UPN i rozpoznawanie nazw NetBIOS działają poprawnie.

Uwaga / Notatka

Jeśli używasz uwierzytelniania wybieranego z konfiguracją zaufania dwukierunkowego, upewnij się, że użytkownik wywołujący ma przyznane uprawnienie Dozwolone do uwierzytelniania na docelowym koncie usługi.

Tak, adresy IPv6 są uznawane za znane i nieznane lokalizacje.

Usługi AD FS udostępnia rozszerzalny mechanizm integrowania dostawców uwierzytelniania wieloskładnikowego innych firm. W tym celu nie ma ustawionego programu certyfikacji. Przyjęto założenie, że dostawca wykonał niezbędne weryfikacje przed wydaniem.

Lista dostawców, którzy powiadomili firmę Microsoft, jest dostępna tutaj: Dostawcy uwierzytelniania wieloskładnikowego dla usług AD FS. Mogą istnieć dostawcy, o których nie wiemy. Zaktualizujemy listę w miarę odnajdywania nowych.

Tak, serwery proxy innych firm można umieścić przed usługami AD FS, ale każdy serwer proxy innej firmy musi obsługiwać protokółMS-ADFSPIP , który ma być używany zamiast serwera proxy aplikacji internetowej.

Obecnie wiemy o następujących dostawcach innych firm. Mogą istnieć dostawcy, o których nie wiemy. Zaktualizujemy tę listę w miarę odnajdywania nowych.

• Menedżer zasad dostępu F5
• Citrix Application Delivery Controller (ADC)

Możesz pobrać wersję arkusza kalkulacyjnego usług AD FS 2016. Możesz również użyć tego arkusza kalkulacyjnego dla usług AD FS w systemie Windows Server 2012 R2.

Firma Apple wydała zestaw wymagań o nazwie App Transport Security (ATS), które mogą mieć wpływ na wywołania z aplikacji systemu iOS uwierzytelniających się w usługach AD FS. Możesz zapewnić zgodność serwerów usług AD FS i serwera proxy aplikacji internetowej, upewniając się, że obsługują one wymagania dotyczące nawiązywania połączenia przy użyciu usługi ATS. W szczególności należy sprawdzić, czy:

• Serwery usług AD FS i serwera proxy aplikacji internetowej obsługują protokół TLS 1.2.
• Wynegocjowany zestaw szyfrowania TLS będzie obsługiwać doskonałą tajemnicę przesyłania dalej.

Aby uzyskać informacje o włączaniu i wyłączaniu protokołów SSL 2.0 i 3.0 i TLS 1.0, 1.1 i 1.2, zobacz Zarządzanie protokołami SSL w usługach AD FS.

Aby zapewnić, że serwery usług AD FS i serwera proxy aplikacji sieci Web negocjują tylko pakiety szyfrowania TLS obsługujące usługę ATP, można wyłączyć wszystkie zestawy szyfrowania, które nie znajdują się na liście zestawów szyfrowania zgodnych z usługą ATP. Aby je wyłączyć, użyj poleceń cmdlet programu Windows TLS PowerShell.

Wartość oświadczenia "sub" to skrót identyfikatora klienta i wartość oświadczenia zakotwiczenia.

Okres istnienia tokenu odświeżania będzie okresem istnienia tokenu, który usługi AD FS otrzymał od zaufania dostawcy oświadczeń zdalnych. Okres istnienia tokenu dostępu będzie okresem istnienia tokenu jednostki uzależnionej, dla której jest wystawiany token dostępu.

Możesz użyć dostosowanego id_token, aby dodać odpowiednie informacje w samym id_token. Aby uzyskać więcej informacji, zobacz Dostosowywanie oświadczeń do emitowania w id_token.

Dodano specjalny znak ValueType (http://www.w3.org/2001/XMLSchema#json) i znak ucieczki (\x22) dla tego scenariusza w usługach AD FS 2016. Użyj poniższych przykładów dla reguły wystawiania i końcowych danych wyjściowych z tokenu dostępu.

Przykładowa reguła wystawiania:

=> issue(Type = "array_in_json", ValueType = "http://www.w3.org/2001/XMLSchema#json", Value = "{\x22Items\x22:[{\x22Name\x22:\x22Apple\x22,\x22Price\x22:12.3},{\x22Name\x22:\x22Grape\x22,\x22Price\x22:3.21}],\x22Date\x22:\x2221/11/2010\x22}");

Oświadczenie wystawione w tokenie dostępu:

"array_in_json":{"Items":[{"Name":"Apple","Price":12.3},{"Name":"Grape","Price":3.21}],"Date":"21/11/2010"}

Dzięki usługom AD FS w systemie Windows Server 2019 można teraz przekazać wartość zasobu osadzoną w parametrze zakresu. Parametr zakresu można zorganizować jako listę rozdzielaną spacjami, gdzie każdy wpis jest ustrukturyzowany jako zasób/zakres.

Usługi AD FS w systemie Windows Server 2019 obsługują klucz dowodowy dla wymiany kodu (PKCE) dla przepływu udzielania kodu autoryzacji OAuth.

Obsługiwane:

• aza. Jeśli używasz rozszerzeń protokołu OAuth 2.0 dla klientów brokera , a parametr zakresu zawiera aza zakresu, serwer wystawia nowy podstawowy token odświeżania i ustawia go w polu refresh_token odpowiedzi. Ustawia również pole refresh_token_expires_in na okres istnienia nowego podstawowego tokenu odświeżania, jeśli jest wymuszany.
• openid. Umożliwia aplikacji żądanie użycia protokołu autoryzacji OpenID Connect.
• logon_cert. Umożliwia aplikacji żądanie certyfikatów logowania, które mogą służyć do interakcyjnego logowania użytkowników uwierzytelnionych. Serwer usług AD FS pomija parametr access_token z odpowiedzi i zamiast tego udostępnia łańcuch certyfikatów CMS zakodowany w formacie Base64 lub pełną odpowiedź PKI CMC. Aby uzyskać więcej informacji, zobacz Przetwarzanie szczegółów.
• user_impersonation. Wymagane, jeśli chcesz zażądać tokenu dostępu w imieniu z usług AD FS. Aby uzyskać więcej informacji na temat korzystania z tego zakresu, zobacz Tworzenie aplikacji wielowarstwowej przy użyciuBehalf-Of (OBO) przy użyciu protokołu OAuth z usługami AD FS 2016.

Nie obsługiwane

• vpn_cert. Umożliwia aplikacji żądanie certyfikatów sieci VPN, które mogą służyć do nawiązywania połączeń sieci VPN przy użyciu uwierzytelniania EAP-TLS. Ten zakres nie jest już obsługiwany.
• E-mail. Umożliwia aplikacji żądanie oświadczenia e-mail dla zalogowanego użytkownika. Ten zakres nie jest już obsługiwany.
• profil. Umożliwia aplikacji żądanie oświadczeń związanych z profilem dla zalogowanego użytkownika. Ten zakres nie jest już obsługiwany.

Certyfikat SSL usług AD FS nie jest taki sam jak certyfikat komunikacji usług AD FS w przystawce zarządzania usługami AD FS. Aby zmienić certyfikat SSL usług AD FS, należy użyć programu PowerShell. Postępuj zgodnie ze wskazówkami w temacie Zarządzanie certyfikatami SSL w usługach AD FS i WAP 2016.

Aby uzyskać informacje na temat wyłączania i włączania protokołów SSL i zestawów szyfrowania, zobacz Zarządzanie protokołami SSL w usługach AD FS.

• Jeśli serwer proxy jest używany do proxy żądań usług AD FS korzystających ze zintegrowanego uwierzytelniania systemu Windows, certyfikat SSL serwera proxy musi używać tego samego klucza co certyfikat SSL serwera federacyjnego.
• Jeśli właściwość ExtendedProtectionTokenCheck usług AD FS jest włączona (ustawienie domyślne w usługach AD FS), certyfikat SSL serwera proxy musi używać tego samego klucza co certyfikat SSL serwera federacyjnego.
• W przeciwnym razie certyfikat SSL serwera proxy może mieć inny klucz niż certyfikat SSL usług AD FS. Musi spełniać te same wymagania.

Usługi AD FS wyświetla tylko jedną metodę uwierzytelniania na ekranie logowania, gdy aplikacja jawnie wymaga określonego identyfikatora URI uwierzytelniania, który jest mapowany na skonfigurowaną i włączoną metodę uwierzytelniania. Metoda jest przekazywana w parametrze wauth w WS-Federation żądań. Jest on przekazywany w parametrze RequestedAuthnCtxRef w żądaniach protokołu SAML. Zostanie wyświetlona tylko żądana metoda uwierzytelniania. (Na przykład logowanie przy użyciu hasła).

W przypadku korzystania z usług AD FS z identyfikatorem Entra firmy Microsoft często aplikacje wysyłają parametr prompt=login do identyfikatora Entra firmy Microsoft. Identyfikator entra firmy Microsoft domyślnie tłumaczy ten parametr na żądanie nowego logowania opartego na hasłach do usług AD FS. Ten scenariusz jest najczęstszą przyczyną, dla której może zostać wyświetlone logowanie przy użyciu hasła w usługach AD FS w sieci lub nie jest widoczna opcja logowania się przy użyciu certyfikatu. Ten problem można łatwo rozwiązać, wprowadzając zmianę ustawień domeny federacyjnej w identyfikatorze Entra firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Obsługa parametrów prompt=login w usługach Active Directory Federation Services.

Aby zmienić konto usługi AD FS, użyj modułu PowerShell konta usługi ad FS przybornika. Aby uzyskać instrukcje, zobacz Zmienianie konta usługi AD FS.

Zobacz Konfigurowanie przeglądarek do używania zintegrowanego uwierzytelniania systemu Windows (WIA) z usługami AD FS.

Jeśli nie masz zasad kontroli dostępu na podstawie urządzenia w usługach AD FS lub rejestracji certyfikatów usługi Windows Hello dla firm za pośrednictwem usług AD FS, możesz wyłączyć opcję BrowserSsoEnabled. BrowserSsoEnabled umożliwia usługom AD FS zbieranie podstawowego tokenu odświeżania (PRT) z klienta zawierającego informacje o urządzeniu. Bez tego tokenu uwierzytelnianie urządzeń usług AD FS nie będzie działać na urządzeniach z systemem Windows 10.

Administratorzy często zastanawiają się, jak długo użytkownicy uzyskują logowanie jednokrotne bez konieczności wprowadzania nowych poświadczeń oraz jak administratorzy mogą kontrolować to zachowanie. To zachowanie i ustawienia konfiguracji, które go kontrolują, są opisane w ustawieniach logowania jednokrotnego usług AD FS.

Domyślne okresy istnienia różnych plików cookie i tokenów są wymienione tutaj (wraz z parametrami, które zarządzają okresami istnienia):

Zarejestrowane urządzenia

• Pliki cookie PRT i SSO: maksymalnie 90 dni podlegających PSSOLifeTimeMins. (Jeśli urządzenie jest używane co najmniej co 14 dni. To okno czasowe jest kontrolowane przez deviceUsageWindow.

• Token odświeżania: obliczany na podstawie powyższych parametrów w celu zapewnienia spójnego zachowania.

• access_token: domyślnie jedna godzina na podstawie jednostki uzależnionej.

• id_token: tak samo jak access_token.

Niezarejestrowane urządzenia

• Pliki cookie logowania jednokrotnego: domyślnie osiem godzin podlega SSOLifetimeMins. Po włączeniu opcji Nie wylogowuj mnie (KMSI) wartość domyślna to 24 godziny. To ustawienie domyślne można skonfigurować za pomocą polecenia KMSILifetimeMins.

• Token odświeżania: domyślnie osiem godzin. 24 godziny, jeśli usługa KMSI jest włączona.

• access_token: domyślnie jedna godzina na podstawie jednostki uzależnionej.

• id_token: tak samo jak access_token.

Usługi AD FS nie obsługują niejawnych przepływów dla poufnego klienta. Uwierzytelnianie klienta jest włączone tylko dla punktu końcowego tokenu, a usługi AD FS nie będą wystawiać tokenu dostępu bez uwierzytelniania klienta. Jeśli poufny klient potrzebuje tokenu dostępu, a także wymaga uwierzytelniania użytkownika, będzie musiał użyć przepływu kodu autoryzacji.

HSTS to mechanizm zasad zabezpieczeń sieci Web. Pomaga to wyeliminować ataki na starszą dół protokołu i przejęcie plików cookie dla usług, które mają punkty końcowe HTTP i HTTPS. Umożliwia ona serwerom internetowym deklarowanie, że przeglądarki sieci Web (lub inne zgodne agenty użytkowników) powinny wchodzić z nimi w interakcje tylko przy użyciu protokołu HTTPS i nigdy nie za pośrednictwem protokołu HTTP.

Wszystkie punkty końcowe usług AD FS dla ruchu uwierzytelniania internetowego są otwierane wyłącznie za pośrednictwem protokołu HTTPS. W związku z tym usługi AD FS ogranicza zagrożenia tworzone przez mechanizm zasad HSTS. (Zgodnie z projektem nie ma zmiany na starszą dół do protokołu HTTP, ponieważ nie ma odbiorników w protokole HTTP). Usługi AD FS uniemożliwiają również wysyłanie plików cookie do innego serwera, który ma punkty końcowe protokołu HTTP, oznaczając wszystkie pliki cookie z flagą secure.

W związku z tym nie potrzebujesz usługi HSTS na serwerze usług AD FS, ponieważ nie można obniżyć klasyfikacji HSTS. Serwery usług AD FS spełniają wymagania zgodności, ponieważ nie mogą używać protokołu HTTP i ponieważ pliki cookie są oznaczone jako bezpieczne.

Na koniec usługi AD FS 2016 (z najbardziej up-to-date patches) i AD FS 2019 obsługują emitowanie nagłówka HSTS. Aby skonfigurować to zachowanie, zobacz Dostosowywanie nagłówków odpowiedzi zabezpieczeń HTTP za pomocą usług AD FS.

Nie zalecamy kończenia żądań ssl przed serwerem proxy aplikacji internetowej. Jeśli odbywa się to przed serwerem proxy aplikacji internetowej,Client-IP X-MS-Forwarded- będzie zawierać adres IP urządzenia sieciowego przed serwerem proxy aplikacji internetowej. Oto krótki opis różnych oświadczeń związanych z adresami IP obsługiwanych przez usługi AD FS:

• X-MS-Client-IP. Adres IP sieci urządzenia połączonego z usługą STS. W przypadku żądań ekstranetu to oświadczenie zawsze zawiera adres IP serwera proxy aplikacji internetowej.
• X-MS-Forwarded-Client-IP. Oświadczenie wielowartościowe zawierające wszystkie wartości przekazywane do usług AD FS przez usługę Exchange Online. Zawiera również adres IP urządzenia połączonego z serwerem proxy aplikacji internetowej.
• Userip. W przypadku żądań ekstranetu to oświadczenie zawiera wartość X-MS-Forwarded-Client-IP. W przypadku żądań intranetowych to oświadczenie zawiera tę samą wartość co X-MS-Client-IP.

Usługi AD FS 2016 (z najbardziej up-to-poprawki daty) i nowsze wersje obsługują również przechwytywanie nagłówka X-Forwarded-For. Każdy moduł równoważenia obciążenia lub urządzenie sieciowe, które nie przekazuje dalej w warstwie 3 (adres IP jest zachowywany), powinny dodać przychodzący adres IP klienta do nagłówka X-Forwarded-For standardu branżowego.

Punkt końcowy Ad FS UserInfo zawsze zwraca oświadczenie podmiotu, jak określono w standardach OpenID. Usługi AD FS nie obsługują dodatkowych oświadczeń żądanych za pośrednictwem punktu końcowego UserInfo. Jeśli potrzebujesz więcej oświadczeń w tokenie identyfikatora, zobacz Niestandardowe tokeny identyfikatorów w usługach AD FS.

Ta grupa jest tworzona tylko wtedy, gdy kontroler domeny systemu Windows Server 2016 z rolą KONTROLERA PDC FSMO istnieje w domenie. Aby rozwiązać ten problem, możesz utworzyć grupę ręcznie. Wykonaj następujące kroki, aby dodać wymagane uprawnienia po dodaniu konta usługi jako członka grupy:

1. Otwórz Użytkownicy i komputery usługi Active Directory.
2. Kliknij prawym przyciskiem myszy nazwę domeny w okienku po lewej stronie, a następnie wybierz pozycję Właściwości.
3. Wybierz pozycję Zabezpieczenia. (Jeśli brakuje karty Zabezpieczenia , włącz pozycję Funkcje zaawansowane w menu Widok ).
4. Wybierz pozycję Zaawansowane, Dodaj, a następnie Wybierz podmiot zabezpieczeń.
5. Zostanie wyświetlone okno dialogowe Wybieranie użytkownika, komputera, konta usługi lub grupy . W polu Wprowadź nazwę obiektu do wybrania wprowadź ciąg Grupa administratorów kluczy. Kliknij przycisk OK.
6. W polu Dotyczy wybierz pozycję Obiekty użytkownika potomnych.
7. Przewiń do dołu strony i wybierz pozycję Wyczyść wszystko.
8. W sekcji Właściwości wybierz pozycję Odczyt msDS-KeyCredentialLink i Zapis msDS-KeyCredentialLink.

W przypadku aplikacji korzystających z biblioteki ADAL systemu Android uwierzytelnianie do identyfikatora Entra firmy Microsoft może zakończyć się niepowodzeniem dla użytkowników federacyjnych. Aplikacja otrzyma wyjątek AuthenticationException podczas próby wyświetlenia strony logowania. W przeglądarce Chrome strona logowania usług AD FS może być opisana jako niebezpieczna.

W przypadku wszystkich wersji i wszystkich urządzeń system Android nie obsługuje pobierania dodatkowych certyfikatów z pola authorityInformationAccess certyfikatu. To ograniczenie dotyczy również przeglądarki Chrome. Każdy certyfikat uwierzytelniania serwera, który nie ma certyfikatów pośrednich, spowoduje ten błąd, jeśli cały łańcuch certyfikatów nie zostanie przekazany z usług AD FS.

Ten problem można rozwiązać, konfigurując usługi AD FS i serwery proxy aplikacji internetowej w celu wysyłania niezbędnych certyfikatów pośrednich wraz z certyfikatem SSL.

Podczas eksportowania certyfikatu SSL z jednego komputera do zaimportowania do osobistego magazynu komputerów serwerów usług AD FS i serwera proxy aplikacji internetowej należy wyeksportować klucz prywatny i wybrać opcję Wymiana informacji osobistych — PKCS #12.

Ponadto należy wybrać opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikatu, jeśli to możliwe , i Eksportuj wszystkie właściwości rozszerzone.

Uruchom polecenie certlm.msc na serwerach z systemem Windows i zaimportuj plik *.pfx do osobistego magazynu certyfikatów komputera. W ten sposób serwer przekaże cały łańcuch certyfikatów do biblioteki biblioteki ADAL.

Uwaga / Notatka

Magazyn certyfikatów modułów równoważenia obciążenia sieciowego powinien zostać również zaktualizowany w celu uwzględnienia całego łańcucha certyfikatów, jeśli istnieje.

Usługi AD FS nie obsługują żądań HEAD. Aplikacje nie powinny używać żądań HEAD względem punktów końcowych usług AD FS. Użycie tych żądań może spowodować nieoczekiwane lub opóźnione odpowiedzi na błędy HTTP. W dzienniku zdarzeń usług AD FS mogą być również widoczne nieoczekiwane zdarzenia błędów.

Token odświeżania nie jest wystawiany, jeśli token wystawiony przez dostawcę tożsamości ma ważność krótszą niż jedną godzinę. Aby upewnić się, że token odświeżania jest wystawiany, zwiększ ważność tokenu wystawionego przez dostawcę tożsamości do więcej niż jednej godziny.

Szyfrowanie tokenu RP jest ustawione na AES256. Nie można zmienić jej na inną wartość.

Farmy usług AD FS w trybie mieszanym mają być tymczasowe. Zalecamy, aby podczas planowania przerzucić certyfikat SSL przed procesem uaktualniania lub ukończyć proces i zwiększyć poziom zachowania farmy przed zaktualizowaniem certyfikatu SSL. Jeśli nie wykonano tej rekomendacji, skorzystaj z poniższych instrukcji, aby zaktualizować certyfikat SSL.

Na serwerach proxy aplikacji internetowej nadal można używać programu Set-WebApplicationProxySslCertificate. Na serwerach usług AD FS należy użyć netsh. Wykonaj następujące kroki:

1. Wybierz podzbiór serwerów usług AD FS 2016 na potrzeby konserwacji.

2. Na serwerach wybranych w poprzednim kroku zaimportuj nowy certyfikat za pośrednictwem programu MMC.

3. Usuń istniejące certyfikaty:

   a. netsh http delete sslcert hostnameport=fs.contoso.com:443

   b. netsh http delete sslcert hostnameport=localhost:443

   c. netsh http delete sslcert hostnameport=fs.contoso.com:49443

4. Dodaj nowe certyfikaty:

   a. netsh http add sslcert hostnameport=fs.contoso.com:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable sslctlstorename=AdfsTrustedDevices

   b. netsh http add sslcert hostnameport=localhost:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable

   c. netsh http add sslcert hostnameport=fs.contoso.com:49443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable clientcertnegotiation=Enable

5. Uruchom ponownie usługę AD FS na wybranym serwerze.

6. Usuń podzbiór serwerów proxy aplikacji internetowej na potrzeby konserwacji.

7. Na wybranych serwerach proxy aplikacji internetowej zaimportuj nowy certyfikat za pośrednictwem programu MMC.

8. Ustaw nowy certyfikat na serwerze proxy aplikacji internetowej przy użyciu tego polecenia cmdlet:

   • Set-WebApplicationProxySslCertificate -Thumbprint " CERTTHUMBPRINT"

9. Uruchom ponownie usługę na wybranych serwerach proxy aplikacji internetowej.

10. Umieść wybrany serwer proxy aplikacji internetowej i serwery usług AD FS z powrotem w środowisku produkcyjnym.

Zaktualizuj pozostałe serwery usług AD FS i serwera proxy aplikacji internetowej w taki sam sposób.

Serwery usług AD FS i aplikacji internetowej obsługują wszelkie zapory, które nie wykonują kończenia żądań SSL w punkcie końcowym. Ponadto serwery proxy usług AD FS/aplikacji internetowej mają wbudowane mechanizmy:

• Pomoc w zapobieganiu typowym atakom internetowym, takich jak wykonywanie skryptów między witrynami.
• Wykonaj serwer proxy usług AD FS.
• Spełnij wszystkie wymagania zdefiniowane przez protokółMS-ADFSPIP.

W usługach AD FS 2016 powiązanie tokenu jest automatycznie włączone i powoduje wiele znanych problemów z serwerem proxy i scenariuszami federacji. Te problemy powodują to zdarzenie. Aby rozwiązać to zdarzenie, uruchom następujące polecenie programu PowerShell, aby usunąć obsługę powiązania tokenu:

Set-AdfsProperties -IgnoreTokenBinding $true

Po uaktualnieniu do systemu Windows Server 2019 wersja konfiguracji serwera proxy aplikacji internetowej będzie nadal wyświetlana jako Windows Server 2016. Serwer proxy aplikacji internetowej nie ma nowych funkcji specyficznych dla wersji systemu Windows Server 2019. Jeśli poziom zachowania farmy został podniesiony w usługach AD FS, serwer proxy aplikacji internetowej będzie nadal wyświetlany jako Windows Server 2016. Jest to zamierzone działanie.

Po włączeniu ESL usługi AD FS śledzą aktywność konta i znane lokalizacje dla użytkowników w bazie danych ADFSArtifactStore. Ta baza danych jest skalowana w stosunku do liczby użytkowników i śledzonych znanych lokalizacji. Podczas planowania włączenia programu ESL można oszacować, że baza danych ADFSArtifactStore wzrośnie w tempie do 1 GB na 100 000 użytkowników.

Jeśli farma usług AD FS używa wewnętrznej bazy danych systemu Windows, domyślną lokalizacją plików bazy danych jest C:\Windows\WID\Data. Aby zapobiec wypełnianiu tego dysku, pamiętaj, aby mieć co najmniej 5 GB wolnego miejsca do magazynowania przed włączeniem pakietu ESL. Oprócz magazynu na dysku zaplanuj wzrost całkowitej pamięci procesowej po włączeniu ESL przez kolejne 1 GB pamięci RAM dla populacji użytkowników 500 000 lub mniej.

Oto tekst zdarzenia:

Active Directory trust enumeration was unable to enumerate one of more domains due to the following error. Enumeration will continue but the Active Directory identifier list may not be correct. Validate that all expected Active Directory identifiers are present by running Get-ADFSDirectoryProperties.

To zdarzenie występuje, gdy lasy nie są zaufane, gdy usługi AD FS próbuje wyliczyć wszystkie lasy w łańcuchu zaufanych lasów i połączyć się we wszystkich lasach. Załóżmy na przykład, że las A i las B usług AD FS są zaufane, a las B i las C są zaufane. Usługi AD FS wyliczają wszystkie trzy lasy i próbują znaleźć zaufanie między lasem A a lasem C. Jeśli użytkownicy z lasu, który kończy się niepowodzeniem, powinni być uwierzytelnieni przez usługi AD FS, skonfiguruj relację zaufania między lasem usług AD FS a lasem, który kończy się niepowodzeniem. Jeśli użytkownicy z lasu zakończonego niepowodzeniem nie powinni być uwierzytelniani przez usługi AD FS, zignoruj to zdarzenie.

Oto tekst zdarzenia:

Microsoft.IdentityServer.AuthenticationFailedException: MSIS5015: Authentication of the presented token failed. Token Binding claim in token must match the binding provided by the channel.

W usługach AD FS 2016 powiązanie tokenu jest automatycznie włączone i powoduje wiele znanych problemów z serwerem proxy i scenariuszami federacji. Te problemy powodują to zdarzenie. Aby rozwiązać to zdarzenie, uruchom następujące polecenie programu PowerShell, aby usunąć obsługę powiązania tokenu:

Set-AdfsProperties -IgnoreTokenBinding $true

Oto tekst zdarzenia:

System.ServiceModel.FaultException: The formatter threw an error while trying to deserialize the message: There was an error while trying to deserialize parameter schemas.microsoft.com/ws/2009/12/identityserver/protocols/policystore:maxBehaviorLevel". The InnerException message was "Invalid enum value 'Win2019' cannot be deserialized into type 'Microsoft.IdentityServer.FarmBehavior'. Ensure that the necessary enum values are present and are marked with EnumMemberAttribute attribute if the type has DataContractAttribute attribute.

To zdarzenie jest oczekiwane, gdy obie te instrukcje są prawdziwe:

• Masz farmę w trybie mieszanym.
• Usługi AD FS 2019 udostępnia informacje o maksymalnym poziomie zachowania farmy do podstawowego serwera federacyjnego i nie jest rozpoznawany przez serwer federacyjny w wersji 2016.

Usługi AD FS 2019 nadal próbuje udostępnić w farmie wartość Win2019 MaxBehaviorLevel, dopóki nie stanie się nieaktualna po dwóch miesiącach i zostanie automatycznie usunięta z farmy. Aby uniknąć pobierania tego zdarzenia, zmigruj podstawową rolę federacyjną do serwera federacyjnego z najnowszą wersją. Postępuj zgodnie z instrukcjami w temacie Aby uaktualnić farmę usług AD FS do poziomu zachowania farmy systemu Windows Server 2019.

Aby rozwiązać problem, wykonaj następujące kroki:

1. Uruchom konsolę zarządzania usług AD FS.
2. Przejdź dopozycji Opisy zakresów>.
3. W obszarze "Opisy zakresu wybierz pozycję Więcej opcji, a następnie wybierz pozycję Dodaj opis zakresu.
4. W obszarze Nazwa wprowadź wartość ugs, a następnie wybierz pozycję Zastosuj>ok.
5. Uruchom program PowerShell jako administrator.
6. Uruchom polecenie Get-AdfsApplicationPermission. ScopeNames :{openid, aza} Wyszukaj wartość , która ClientRoleIdentifier ma wartość . Zanotuj wartość parametru ObjectIdentifier.
7. Uruchom polecenie Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'.
8. Uruchom ponownie usługę AD FS.
9. Na kliencie uruchom ponownie klienta. Powinien zostać wyświetlony monit o skonfigurowanie usługi Windows Hello dla firm.
10. Jeśli okno konfiguracji nie jest wyskakujące, musisz zebrać dzienniki śledzenia i rozwiązać problemy.

Tak, ale tylko w systemie Windows Server 2019 lub nowszym. Parametr zakresu można zorganizować jako listę rozdzielaną spacjami, gdzie każdy wpis ma strukturę jako zasób lub zakres, taki jak <create a valid sample request>.

Tak, ale tylko w systemie Windows Server 2019 lub nowszym. Usługi AD FS obsługują klucz dowodowy dla wymiany kodu (PKCE) dla przepływu udzielania kodu autoryzacji OAuth.

Usługi AD FS są rejestrowane dla certyfikatów logowania w imieniu uwierzytelnionych kont w niektórych scenariuszach usługi Windows Hello dla firm, zgodnie z opisem w artykule Konfigurowanie logowania jednokrotnego dla usługi Azure Virtual Desktop przy użyciu usług AD FS. Domyślnie te certyfikaty nie zawierają rozszerzenia SID i są odrzucane przez centrum dystrybucji kluczy. Aby uzyskać więcej informacji na temat wymagań centrum dystrybucji kluczy, zobacz KB5014754: Zmiany uwierzytelniania opartego na certyfikatach na kontrolerach domeny systemu Windows. Aktualizacje są dostępne dla usług AD FS w systemie Windows Server 2019, Windows Server 2022 i Windows Server 2025, aby upewnić się, że wystawione certyfikaty obejmują rozszerzenie SID spełniające silne wymagania mapowania. Aby włączyć to zachowanie, zainstaluj najnowsze aktualizacje systemu Windows na wszystkich serwerach usług AD FS farmy i uruchom następujące polecenie cmdlet na podstawowym serwerze usług AD FS:

• Set-AdfsCertificateAuthority -EnrollmentAgent -AddSIDCertificateExtension $true