Configurar um computador para a função de proxy do servidor de federação

  • Artigo

Depois de configurar um computador com os certificados necessários e instalar o serviço de função do Proxy do Serviço de Federação, você está pronto para configurar o computador para se tornar um proxy do serviço de federação. Use o procedimento a seguir para que o computador atue na função proxy de servidor de federação.

Importante

Antes de usar este procedimento para configurar o computador proxy de servidor de federação, siga todas as etapas emLista de verificação: configurar um proxy de servidor de federação na ordem em que estão listadas. Verifique se pelo menos um servidor de federação foi implantado e se todas as credenciais necessárias para autorização de uma configuração proxy de servidor de federação foram implementadas. Você também deve configurar associações de protocolo SSL no site da Web padrão, ou o assistente não será iniciado. Todas essas tarefas devem ser concluídas antes do funcionamento desse servidor de federação.

Depois que você terminar de configurar o computador, verifique se o proxy de servidor de federação está funcionando como esperado. Para mais informações, consulte Verificar se um Proxy do Servidor de Federação está operacional.

A associação em Administradores, ou equivalente, no computador local é o mínimo necessário para concluir este procedimento. Examine os detalhes sobre como usar as contas e associações de grupo apropriadas em Grupos padrão locais e de domínio.

Para configurar um computador para a função de proxy do servidor de federação

  1. Ha duas maneiras para iniciar o Assistente de Configuração do Servidor de Federação AD FS. Para iniciar o assistente, tome uma das seguintes ações:

    • Na tela Iniciar, digite o Assistente de Configuração do Proxy de Servidor de Federação do AD FS, e pressione ENTER.

    • Qualquer momento após que o assistente de instalação for concluído, abra o Windows Explorer, navegue até a pasta C:\Windows\ADFS, e clique duas vezes no FspConfigWizard.exe.

  2. Usando qualquer método, Iniciar o assistente, e em seguida, na página Bem-vindo, clique em Próximo.

  3. Na página Especificar o Nome de Serviço de Federação, em Nome de Serviço de Federação, digite o nome que representa o Serviço de Federação para o qual este computador atua na função de proxy.

  4. Com base em seus requisitos de rede específicos, determine se você precisará usar um servidor proxy HTTP para encaminhar solicitações ao Serviço de Federação. Se for assim, marque a caixa de seleção Use um servidor proxy HTTP ao enviar solicitações para este Serviço de Federação, em Endereço de servidor proxy HTTP digite o endereço no servidor proxy, clique em Testar a Conexão para verificar a conectividade, e em seguida clique em Próximo.

  5. Quando for solicitado, especifique as credenciais necessárias para estabelecer uma relação de confiança entre o proxy do servidor de federação e o Serviço de Federação.

    Por padrão, somente a conta de serviço usada pelo Serviço de Federação ou um membro do grupo BUILTIN\Administrators local pode autorizar um proxy de servidor de federação.

  6. Na página Pronto para Aplicar as Configurações, verificar os detalhes. Se as configurações parecem estar certas, clique em Próximo para começar configurar este computador com estas configurações de proxy.

  7. Na página Resultados de Configuração, analise os resultados. Quando todas as etapas de configuração concluíram clique em Fechar para sair do assistente.

    Não há um snap-in do Console de Gerenciamento da Microsoft (MMC) para usar para administrar os proxys do servidor de federação. Para definir as configurações para cada um dos proxys do servidor de federação na sua organização, use os cmdlets do PowerShell do Windows.

Configurando uma porta TCP/IP alternativa para operações de proxy

Por padrão, o serviço de proxy do servidor de federação é configurado para usar a porta TCP 443 para o tráfego HTTPS e a porta 80 para tráfego HTTP para comunicação com o servidor de federação. Para configurar portas diferentes, como a porta TCP 444 para HTTPS e a porta 81 para HTTP, as seguintes tarefas devem ser concluídas.

Observação

Caso pretenda implantar inicialmente o AD FS para funcionar com portas TCP/IP alternativas, primeiro modifique as portas em suas associações de protocolos IIS para HTTP e HTTPS no servidor de federação e nos computadores proxy do servidor de federação. Isso deve ocorrer antes de executar os assistentes de configuração do AD FS para configuração inicial. Caso configure o IIS (Serviços de Informações da Internet) primeiro, as configurações da porta TCP/IP alternativa serão descobertas quando a configuração baseada em assistente ocorrer no AD FS, e o seguinte procedimento não for necessário. Para alterar as configurações de porta depois, atualize as associações do protocolo IIS primeiro e, depois, use o seguinte procedimento para atualizar as configurações da porta de forma adequada. Para obter mais informações sobre como editar associações do IIS, consulte o artigo 149605 na Base de Dados de Conhecimento Microsoft.

Para configurar portas TCP/IP alternativas a serem usadas pelo proxy de servidor de federação

  1. Configure o servidor de federação para usar as portas não padrão.

    Para fazer isso, especifique o número da porta não padrão, incluindo-o com as opções HttpsPort e HttpPort como parte do cmdlet Set-ADFSProperties. Por exemplo, para configurar essas portas, use os seguintes comandos na sessão do PowerShell do Windows no computador do servidor de federação:

    Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81

  2. Configure o proxy do servidor de federação para usar a porta não padrão.

    Para isso, especifique o número da porta não padrão, incluindo-o com as opções HttpsPort e HttpPort como parte do cmdlet Set-ADFSProxyProperties. Por exemplo, para configurar essas portas, use os seguintes comandos na sessão do PowerShell do Windows no computador do servidor de federação:

    Set-ADFSProxyProperties -HttpsPort 444
Set-ADFSProxyProperties -HttpPort 81

    Observação

    As URLs de ponto de extremidade não estão habilitadas por padrão para o serviço de proxy do servidor de federação. Caso esteja configurando uma nova instalação do servidor de federação, primeiro deverá habilitar os pontos de extremidade de serviço proxy do servidor de federação. Por exemplo, supõe-se que todos os pontos de extremidade aos quais o exemplo deste procedimento se refere foram habilitados para proxy selecionando-os no snap-in de gerenciamento do AD FS e selecionando Habilitar no proxy.

  3. Atualize a instalação do IIS no proxy do servidor de federação para que os ponto de extremidade do SAML (Security Assertion Markup Language) e WS-Trust sejam configurados para refletir o número de porta atualizado. Para fazer isso, você pode usar o Bloco de Notas para modificar o seguinte no arquivo Web.config, que está localizado em systemdrive%\inetpub\adfs\ls\ no computador proxy do servidor de federação. Por exemplo, supondo tenha um servidor de federação chamado sts1.contoso.com e o novo número da porta seja 444, procure e abra o arquivo Web.config no Bloco de Notas do computador proxy do servidor de federação, localize a seção seguinte, modifique o número da porta como destacado abaixo, salve e saia do Bloco de Notas.

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
      wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />

  4. Adicione a conta de usuário do serviço de proxy do servidor de federação à ACL (Lista de Controle de Acesso) para os URLs de pontos de extremidade relacionados. Por exemplo, se o número da porta for 1234 e a conta de usuário usada para executar o serviço de proxy do servidor de federação do AD FS abaixo for a conta de serviço de rede interna, digite o seguinte comando em um prompt de comando:

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"

netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"

    Os comandos anteriores devem ser executados no servidor de federação e nos computadores proxy do servidor de federação.

Referências adicionais

Lista de verificação: Como configurar um proxy do servidor de federação