Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essa lista de verificação inclui as tarefas de implantação necessárias para preparar um servidor que executa o Windows Server® 2012 para a função de servidor de federação nos Serviços de Federação do Active Directory (AD FS).
Observação
Execute as tarefas desta lista de verificação na ordem indicada. Quando um link de referência levar você a um procedimento, retorne a este tópico depois de concluir as etapas nesse procedimento para que você possa continuar com as tarefas restantes nesta lista de verificação.
Lista de verificação: Configuração de um servidor de federação
| Tarefa | Referência |
|---|---|
| Antes de começar a implantar seus servidores de federação do AD FS, examine: 1.) vantagens e desvantagens de escolher o Banco de Dados Interno do Windows (WID) ou o SQL Server para armazenar o banco de dados de configuração do AD FS 2.) Tipos de topologia de implantação do AD FS e suas recomendações de posicionamento de servidor e layout de rede associados. |
Determinar a topologia de implantação do AD FS |
| Examine as diretrizes de planejamento de capacidade do AD FS para determinar o número adequado de servidores de federação que você deve usar em seu ambiente de produção. |
Planejando a capacidade do servidor de federação |
| Examine as informações no Guia de Design do AD FS sobre onde colocar servidores de federação em sua organização |
Planejamento da colocação do servidor de federação |
| Determine se um servidor de federação autônomo ou um farm de servidores de federação é melhor para sua implantação. |
Quando criar um servidor de federação |
| Determine se esse novo servidor de federação será criado na organização do parceiro de conta ou na organização do parceiro de recursos. |
Analisar a Função do Servidor de Federação no Parceiro de Conta
|
| Examine as informações sobre como os servidores de federação usam certificados de comunicação de serviço e certificados de assinatura de token para autenticar com segurança solicitações de proxy de servidor de federação e cliente. Cuidado: Embora tenha sido uma prática comum usar certificados com nomes de host não qualificados, como https://myserver, esses certificados não têm valor de segurança e podem permitir que um invasor represente o Serviço de Federação do AD FS para clientes corporativos. Portanto, é recomendável que você use um FQDN (nome de domínio totalmente qualificado), como https://myserver.contoso.com e use apenas certificados SSL emitidos para o FQDN do serviço de federação. |
Requisitos de certificado para servidores de federação |
| Examine as informações sobre como atualizar o DNS (Sistema de Nomes de Domínio) da rede corporativa para que a resolução de nomes bem-sucedida para servidores de federação possa ocorrer. |
Requisitos de resolução de nomes para servidores de federação |
| Adicione o computador que se tornará o servidor de federação a um domínio na floresta de parceiros de conta ou na floresta de parceiros de recursos. Ele será usado para autenticar os usuários dessa floresta ou de florestas confiáveis. Nota: Se você quiser configurar um servidor de federação na organização parceira de conta, o computador deverá primeiro ser adicionado a qualquer domínio na floresta onde seu servidor de federação será usado para autenticar usuários dessa floresta ou de florestas confiáveis. |
Ingressar um Computador em um Domínio |
| Crie um novo registro de recurso no DNS da rede corporativa que aponta o nome do host DNS do servidor de federação para o endereço IP do servidor de federação. |
Adicionar um Registro de Recurso Host (A) ao DNS Corporativo para um Servidor de Federação |
| (Opcional) Se você estiver adicionando um servidor de federação a um farm de servidores de federação, talvez seja necessário primeiro exportar a chave privada do certificado de assinatura de token existente (no primeiro servidor de federação do farm) para que você tenha um formato de arquivo do certificado pronto quando outros servidores de federação precisarem importar o mesmo certificado. A exportação da chave privada não é necessária quando o certificado de autenticação de servidor emitido pode ser reutilizado por vários computadores (sem a necessidade de exportar) ou quando você obterá certificados de autenticação de servidor exclusivos para cada servidor de federação no farm. Observação: o snap-in Gerenciamento do AD FS refere-se a certificados de autenticação de servidor para servidores de federação como certificados de comunicação de serviço. |
Exportar a parte de chave privada de um certificado de autenticação de servidor |
| Depois de obter um certificado de autenticação de servidor (ou chave privada) de uma AC (autoridade de certificação), você deverá importar o arquivo de certificado para o site padrão para cada servidor de federação. Nota: Instalar esse certificado no site padrão é um requisito para que você possa usar o Assistente de Configuração do Servidor de Federação do AD FS. |
Importar um certificado de autenticação de servidor para o site padrão |
| (Opcional) Como alternativa para obter um certificado de autenticação de servidor de uma AC, você pode usar o IIS (Serviços de Informações da Internet) para criar um certificado de exemplo para o servidor de federação. Cuidado: Não é uma prática recomendada de segurança implantar um servidor de federação em um ambiente de produção usando um certificado de autenticação de servidor autoassinado. |
IIS: Criar um certificado de servidor Self-Signed e, em seguida, concluir o procedimento Importar um certificado de autenticação de servidor para o site padrão |
| Se você estiver configurando um ambiente de fazenda de servidores de federação em uma organização parceira de conta, deverá criar e configurar uma conta de serviço dedicada nos Serviços de Domínio Active Directory (AD DS), onde a fazenda residirá, e configurar cada servidor de federação na fazenda para usar essa conta. Ao executar esse procedimento, você permitirá que os clientes na rede corporativa se autentiquem em qualquer um dos servidores de federação no farm usando a Autenticação Integrada do Windows. |
Configurar manualmente uma conta de serviço para um farm de servidores de federação |
| Instale o serviço de função do Serviço de Federação no computador que se tornará o servidor de federação. |
Instalar o Serviço de Função da Federação |
| Configure o software do AD FS no computador para atuar na função de servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS. Siga este procedimento quando quiser configurar um servidor de federação autônomo, criar o primeiro servidor de federação em um novo farm ou ingressar um computador em um farm de servidores de federação existente. Nota: Para o design do SSO (Federated Web Single Sign-On), você deve ter pelo menos um servidor de federação na organização do parceiro de conta e pelo menos um servidor de federação na organização do parceiro de recursos. |
Criar um servidor de federação Stand-Alone
|
| (Opcional) Use o snap-in de Gerenciamento do AD FS para adicionar e configurar os certificados do AD FS necessários para implantar seu design. Para obter mais informações sobre quando adicionar ou alterar certificados usando o snap-in, consulte Os Requisitos de Certificado para Servidores de Federação. |
Adicionar um certificado Token-Signing |
| Se este for o primeiro servidor de federação em sua organização, configure o Serviço de Federação para que ele esteja em conformidade com seu design do AD FS. |
Lista de Verificação: Configurando a Organização Parceira de Conta
|
| Em um computador cliente, verifique se o servidor de federação está operacional. |
, verifique se um servidor de federação está operacional |