Implantar Serviços de Federação do Active Directory no Azure
Os Serviços de Federação do Active Directory (AD FS) oferecem funcionalidades seguras e simplificadas de federação de identidade e logon único (SSO) da Web. A federação com o Microsoft Entra ID ou o Microsoft 365 permite que os usuários se autentiquem usando credenciais locais e acessem todos os recursos da nuvem. Como resultado, é importante ter uma infraestrutura altamente disponível do AD FS para garantir o acesso a recursos locais e na nuvem.
Implantar o AD FS no Azure pode ajudar a atingir a alta disponibilidade necessária com esforço mínimo. Há várias vantagens de implantar o AD FS no Azure:
- Alta disponibilidade – com o poder dos conjuntos de disponibilidade do Azure, você garante uma infraestrutura altamente disponível.
- Fácil de dimensionar – precisa de mais desempenho? Migre facilmente para computadores mais poderosos com apenas algumas ações no Azure.
- Redundância entre áreas geográficas – com a redundância geográfica do Azure, você pode ter certeza de que sua infraestrutura está altamente disponível em todo o mundo.
- Fácil de gerenciar – com opções de gerenciamento altamente simplificadas no portal do Azure, o gerenciamento da sua infraestrutura é fácil e sem complicações.
Princípios de design
Este diagrama mostra a topologia básica recomendada para começar a implantar sua infraestrutura de AD FS no Azure.
Veja a seguir os princípios por trás dos vários componentes da topologia:
- Servidores de AD FS/DC: se tiver menos de 1.000 usuários, você pode instalar a função do AD FS nos controladores de domínio (DCs). Se você não quiser nenhum efeito de desempenho nos DCs ou se tiver mais de 1.000 usuários, implante o AD FS em servidores separados.
- Servidor WAP – é necessário implantar servidores proxy de aplicativo Web para que os usuários possam acessar o AD FS quando não estiverem na rede da empresa.
- DMZ: os servidores proxy de aplicativo Web são colocados na DMZ e somente o acesso TCP/443 é permitido entre a DMZ e a sub-rede interna.
- Balanceadores de carga: para garantir a alta disponibilidade do AD FS e servidores proxy de aplicativo Web, recomendamos usar um balanceador de carga interno para servidores do AD FS e o Azure Load Balancer para servidores proxy de aplicativo Web.
- Conjuntos de disponibilidade: para fornecer redundância à sua implantação do AD FS, recomendamos que você agrupe duas ou mais máquinas virtuais (VMs) em um conjunto de disponibilidade para cargas de trabalho semelhantes. Essa configuração garante que, durante qualquer evento de manutenção planejada ou não planejada, pelo menos uma VM está disponível.
- Contas de armazenamento: recomendamos que você tenha duas contas de armazenamento. Ter uma única conta de armazenamento pode levar à criação de um único ponto de falha. Se você só tiver uma conta de armazenamento, isso pode fazer com que a implantação fique indisponível em uma eventual falha da conta de armazenamento. Duas contas de armazenamento ajudam a associar uma conta de armazenamento para cada linha de falha.
- Segregação de rede: é necessário implantar os servidores proxy de aplicativo Web em uma rede de DMZ separada. Você pode dividir uma rede virtual em duas sub-redes e, em seguida, implantar os servidores proxy de aplicativo Web em uma sub-rede isolada. Você pode definir as configurações do grupo de segurança de rede para cada sub-rede e permitir apenas a comunicação que for necessária entre as duas sub-redes. Mais detalhes são fornecidos de acordo com o cenário de implantação a seguir.
Etapas para implantar o AD FS no Azure
Esta seção descreve as etapas para implantar uma infraestrutura do AD FS no Azure.
Implantar a rede
Conforme descrito anteriormente, é possível criar duas sub-redes em uma única rede virtual ou criar duas redes virtuais diferentes. Este artigo se concentra na implantação de uma única rede virtual e na divisão dela em duas sub-redes. No momento, essa abordagem é mais fácil, pois duas redes virtuais separadas exigiriam uma rede virtual para o gateway de rede virtual para comunicações.
Criar uma rede virtual
Entre no portal do Azure com sua conta do Azure.
No portal do Azure, pesquise e selecione Redes virtuais.
Na página Redes virtuais, selecione Criar.
Em Criar rede virtual, insira ou selecione estas informações na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione o grupo de recursos. Ou selecione Criar novo para criar um. Detalhes da instância Nome da rede virtual Insira um nome para sua rede virtual. Região Escolha uma região. Selecione Avançar.
Na guia Segurança, habilite qualquer serviço de segurança desejado e selecione Avançar.
Na guia Endereços IP, uma sub-rede padrão já está criada e pronta para que as VMs sejam adicionadas. Para este exemplo, selecione padrão para editar a sub-rede.
- Na página Editar sub-rede, renomeie a sub-rede para INT.
- Insira as informações de Endereço IP e o tamanho da sub-rede, conforme necessário, para definir um Espaço de endereço IP.
- Em Grupo de segurança de rede, selecione Criar novo.
- Para este exemplo, insira o nome NSG_INT e selecione OK e, em seguida, selecione Salvar. Você criou sua primeira sub-rede.
- Para criar sua segunda sub-rede, selecione + Adicionar uma sub-rede.
- Na página Adicionar uma sub-rede, insira DMZ no segundo nome da sub-rede e insira as informações que forem necessárias para definir um Espaço de endereço IP.
- Em Grupo de segurança de rede, selecione Criar novo.
- Insira o nome NSG_DMZ, selecione OK e, em seguida, selecione Adicionar.
Selecione Examinar + criar e, se tudo estiver certo, selecione Criar.
Agora você tem uma rede virtual que inclui duas sub-redes, cada uma com um grupo de segurança de rede associado.
Proteger a rede virtual
Um NSG (Grupo de segurança de rede) contém uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam o tráfego de rede para suas instâncias de VM em uma Rede Virtual. Os NSGs podem ser associados a sub-redes ou instâncias de VM individuais dentro dessa sub-rede. Quando um grupo de segurança de rede é associado a uma sub-rede, as regras de ACL se aplicam a todas as instâncias de VM nessa sub-rede.
Os NSGs associados às suas sub-redes incluem automaticamente algumas regras de entrada e saída predefinidas. Não é possível excluir as regras de segurança padrão, porém você pode substituí-las por regras com prioridade mais alta. Além disso, você pode adicionar mais regras de entrada e saída, dependendo do nível de segurança desejado.
Agora, adicione algumas regras a cada um de nossos dois grupos de segurança. Para o primeiro exemplo, vamos adicionar uma regra de segurança de entrada ao grupo de segurança NSG_INT .
Na página Sub-redes da sua rede virtual, selecione NSG_INT.
À esquerda, selecione Regras de segurança de entrada e, em seguida, selecione + Adicionar.
Em Adicionar regra de segurança de entrada, insira ou selecione estas informações:
Configuração Valor Fonte 10.0.1.0/24. Intervalos de portas de origem Deixe (ou selecione) o asterisco. Um asterisco (*) permite o tráfego em qualquer porta. Para este exemplo, escolha um asterisco para todas as regras criadas. Destino 10.0.0.0/24. Serviço Selecione HTTPS.
As configurações para os Intervalos de porta de destino e Protocolo são preenchidas automaticamente com base no Serviço especificado.Ação Escolha Permitir. Prioridade 1010.
As regras são processadas em ordem de prioridade. Quanto menor o número, maior a prioridade.Name AllowHTTPSFromDMZ. Descrição Permitir a comunicação HTTPS da DMZ. Depois de fazer suas escolhas, selecione Adicionar.
A nova regra de segurança de entrada agora é adicionada no topo da lista de regras do NSG_INT.Repita estas etapas com os valores mostrados na tabela a seguir. Além da nova regra que você criou, adicione as seguintes regras, extras na ordem de prioridade listada, para ajudar na proteção da sua sub-rede interna e DMZ.
NSG Tipo de regra Fonte Destino Serviço Ação Prioridade Nome Descrição NSG_INT Saída Qualquer Marca de Serviço/Internet Personalizado (80/Qualquer) Negar 100 DenyInternetOutbound Não há acesso à Internet. NSG_DMZ Entrada Qualquer Qualquer Personalizado (Asterisco (*)/Qualquer) Permitir 1010 AllowHTTPSFromInternet Permitir HTTPS da Internet para a DMZ. NSG_DMZ Saída Qualquer Marca de Serviço/Internet Personalizado (80/Qualquer) Negar 100 DenyInternetOutbound Tudo, exceto HTTPS para Internet, é bloqueado. Depois de inserir os valores de cada nova regra, selecione Adicionar e prossiga para a próxima até que as duas novas regras de segurança sejam adicionadas em cada NSG.
Após a configuração, as páginas NSG ficarão como este exemplo:
Observação
Se a autenticação de certificado de usuário de cliente (autenticação clientTLS usando certificados de usuário X.509) for necessária, o AD FS exigirá que a porta TCP 49443 seja habilitada para acesso de entrada.
Criar conexão com o local
Você precisa de uma conexão com o local para implantar o DC no Azure. O Azure oferece várias opções para conectar sua infraestrutura local à infraestrutura do Azure.
- Ponto a site
- Rede Virtual site a site
- ExpressRoute
Recomendamos que você use o ExpressRoute. O ExpressRoute permite criar conexões privadas entre os datacenters do Azure e a infraestrutura em que estão as instalações ou em um ambiente de colocalização. As conexões do ExpressRoute não passam pela Internet pública. Oferecem mais confiabilidade, velocidades mais rápidas, latências menores e maior segurança que as conexões típicas através da internet.
Apesar de recomendarmos o uso do ExpressRoute, você pode escolher o método de conexão mais adequado para a sua organização. Para saber mais sobre o ExpressRoute e as diversas opções de conectividade que o utilizam, confira Visão geral técnica do ExpressRoute.
Criar contas de armazenamento
Para manter a alta disponibilidade e evitar a dependência de uma única conta de armazenamento, crie duas contas de armazenamento. Divida as máquinas em cada conjunto de disponibilidade em dois grupos e, em seguida, atribua a cada grupo uma conta de armazenamento separada.
Para criar suas duas contas de armazenamento, pesquise e selecione Contas de armazenamento no portal do Azure e escolha + Criar
Em Criar conta de armazenamento, insira ou selecione estas informações na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione o grupo de recursos. Ou selecione Criar novo para criar um. Detalhes da instância Nome da conta de armazenamento Insira um nome para a conta de armazenamento. Para este exemplo, insira contososac1. Região Selecione sua região. Desempenho Selecione Premium para o nível de desempenho. tipo de conta Premium Selecione o tipo de conta de armazenamento de que você precisa: blobs de blocos, compartilhamentos de arquivos ou blobs de páginas. Redundância Selecione LRS (armazenamento com redundância local). Continue passando pelas guias restantes. Quando terminar, selecione Criar na guia Revisão .
Repita as etapas anteriores para criar uma segunda conta de armazenamento com o nome contososac2.
Criar conjuntos de disponibilidade
Para cada função (DC/AD FS e WAP), crie conjuntos de disponibilidade que contêm pelo menos duas máquinas cada. Essa configuração ajuda a obter maior disponibilidade para cada função. Ao criar os conjuntos de disponibilidade, você deve decidir sobre os seguintes domínios:
- Domínios de Falha: as VMs no mesmo domínio de falha compartilham a mesma fonte de energia e um comutador de rede física. Recomendamos no mínimo dois domínios de falha. O valor padrão é 2 e você pode deixá-lo como está para essa implantação.
- Atualizar domínios: computadores que pertencem ao mesmo domínio de atualização são reiniciados juntos durante uma atualização. Recomendamos no mínimo dois domínios de atualização. O valor padrão é 5 e você pode deixá-lo como está para essa implantação.
Para criar conjuntos de disponibilidade, pesquise e selecione Conjuntos de disponibilidade no portal do Azure e escolha + Criar
Em Criar domínio de disponibilidade, insira ou selecione estas informações na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione o grupo de recursos. Ou selecione Criar novo para criar um. Detalhes da instância Nome Insira um nome para o conjunto de disponibilidade. Para este exemplo, insira contosodcset. Região Selecione sua região. Domínios de falha 2 Domínios de atualização 5 Usar discos gerenciados Para este exemplo, selecione Não (Clássico). 
Depois de fazer todas as suas escolhas, selecione Revisar + Criar e, se tudo estiver certo, selecione Criar.
Repita as etapas anteriores para criar um segundo conjunto de disponibilidade com o nome contososac2.
Implantar máquinas virtuais
A próxima etapa é implantar VMs que hospedam as diferentes funções em sua infraestrutura. Recomendamos um mínimo de duas máquinas em cada conjunto de disponibilidade. Portanto, para este exemplo, criamos quatro VMs para a implantação básica.
Para criar VMs, pesquise e selecione Máquinas virtuais no portal do Azure.
Na página Máquinas virtuais, selecione + Criar e escolha Máquina virtual do Azure.
Em Criar máquina virtual, insira ou selecione estas informações na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione o grupo de recursos. Ou selecione Criar novo para criar um. Detalhes da instância Nome da máquina virtual Insira um nome para sua VM. Para a primeira máquina, insira contosodc1. Região Selecione sua região. Opções de disponibilidade Selecione Conjunto de disponibilidade. Conjunto de disponibilidade Selecione contosodcset. Tipo de segurança Selecione Padrão. Imagem Selecione sua imagem. Em seguida, selecione Configurar a geração da VM e selecione Gen 1. Para este exemplo, você precisa usar uma imagem Gen 1. Conta de administrador Tipo de autenticação Selecione Chave pública SSH. Nome de Usuário Insira um nome de usuário. Nome do par de chaves Insira um nome de par de chaves. Para qualquer coisa que não esteja especificada, você pode deixar os padrões e, quando terminar, selecione Avançar: Discos.
Na guia Discos em Avançado, desmarque Usar discos gerenciados e selecione a conta de armazenamento contososac1 que você criou anteriormente. Quando terminar, selecione Avançar: Rede.
Na guia Rede, insira ou selecione estas informações:
Configuração Valor Rede virtual Selecione sua rede virtual que contém as sub-redes que você criou anteriormente. Sub-rede Para esta primeira VM, selecione sua sub-rede INT . Grupo de segurança de rede da NIC Selecione Nenhum. Para qualquer coisa que não esteja especificada, você pode deixar os padrões.
Depois de fazer todas as suas escolhas, selecione Revisar + Criar e, se tudo estiver certo, selecione Criar.
Repita estas etapas usando as informações nesta tabela para criar as três VMs restantes:
| Nome da máquina virtual | Sub-rede | Opções de disponibilidade | Conjunto de disponibilidade | Conta de armazenamento |
|---|---|---|---|---|
| contosodc2 | INT | Conjunto de disponibilidade | contosodcset | contososac2 |
| contosowap1 | Rede de Perímetro | Conjunto de disponibilidade | contosowapset | contososac1 |
| contosowap2 | Rede de Perímetro | Conjunto de disponibilidade | contosowapset | contososac2 |
Como você deve ter notado, nenhum NSG é especificado, pois o Azure permite que você use o NSG no nível da sub-rede. Em seguida, você pode controlar o tráfego de rede da máquina usando o NSG individual associado à sub-rede ou ao objeto NIC. Para obter mais informações, confira O que é um NSG (grupo de segurança de rede).
Se você estiver gerenciando o DNS, recomendamos que você use um endereço IP estático. Você pode usar o DNS do Azure e consultar as novas máquinas pelos FQDNs do Azure nos registros DNS do seu domínio. Para obter mais informações, confira Alterar um endereço IP privado para estático.
Sua página de Máquinas virtuais deve mostrar todas as quatro VMs após a conclusão da implantação.
Configurar os servidores DC/AD FS
Para autenticar qualquer solicitação de entrada, o AD FS precisa entrar em contato com o DC. Para evitar a necessidade de uma viagem dispendiosa do Azure para o DC local para fazer a autenticação, recomendamos que você implante uma réplica do DC no Azure. Para obter alta disponibilidade, é melhor criar um conjunto de disponibilidade de pelo menos dois DCs.
| Controlador de domínio | Função | Conta de armazenamento |
|---|---|---|
| contosodc1 | Réplica | contososac1 |
| contosodc2 | Réplica | contososac2 |
- Promover os dois servidores como DCs de réplica com o DNS
- Configure os servidores do AD FS instalando a função AD FS usando o gerenciador de servidores.
Criar e implantar o ILB (balanceador de carga interno)
Para criar e implantar um ILB, pesquise e selecione Balanceadores de Carga no portal do Azure e escolha + Criar.
Em Criar balanceador de carga, insira ou selecione estas informações na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione o grupo de recursos. Ou selecione Criar novo para criar um. Detalhes da instância Nome Insira um nome para o seu balanceador de carga. Região Selecione sua região. Digite Como esse balanceador de carga é colocado na frente dos servidores de AD FS e se destina apenas a conexões de rede internas, selecione Interno. Deixe o SKU e a Camada como padrão e selecione Avançar: Configuração de IP de front-end
Selecione + Adicionar uma configuração de IP de front-end e, em seguida, insira ou selecione essas informações na página Adicionar configuração de IP de front-end.
Configuração Valor Nome Insira um nome de configuração de IP de front-end. Rede virtual Selecione a rede virtual na qual você está implantando o AD FS. Sub-rede Escolha a sub-rede interna INT. Atribuição Escolha Estático. Endereço IP Insira seu endereço IP. Deixe a Zona de disponibilidade como padrão e selecione Adicionar.
Selecione Avançar: Pools de back-end e, em seguida, selecione + Adicionar um pool de back-end.
Na página Adicionar pool de back-end, insira um Nome e, na área Configurações de IP, selecione + Adicionar.
Na página Adicionar pool de back-end, selecione uma VM para alinhar com o pool de back-end, selecione Adicionar e, em seguida, selecione Salvar.
Selecione Avançar: Regras de Entrada.
Na guia Regras de Entrada, selecione Adicionar uma regra de balanceamento de carga e, em seguida, insira ou selecione essas informações na página Adicionar regra de balanceamento de carga.
Configuração Valor Nome Insira um nome para a regra. Endereço IP de front-end Selecione o endereço IP de front-end criado nas etapas anteriores. Pool de back-end Selecione o pool de back-end criado nas etapas anteriores. Protocolo selecione TCP. Porta Inserir 443. Porta de back-end Inserir 443. Investigação de integridade Selecione Criar novo e, em seguida, insira estes valores para criar uma investigação de integridade:
Nome: nome da investigação de integridade
Protocolo: HTTP
Porta: 80 (HTTP)
Caminho: /adfs/probe
Intervalo: 5 (valor padrão) – o intervalo no qual o ILB investiga as máquinas no pool de back-end
Selecione Save.Selecione Salvar para salvar a regra de entrada.
Selecione Examinar + Criar e, se tudo estiver certo, selecione Criar.
Depois de selecionar Criar e o ILB for implantado, você poderá vê-lo na lista de balanceadores de carga.
Atualizar o servidor DNS com o ILB
Usando o servidor DNS interno, crie um registro A para o ILB. O registro A deverá ser para o serviço de federação com o endereço IP apontando para o endereço IP do ILB. Por exemplo, se o endereço IP do ILB for 10.3.0.8 e o serviço de federação instalado for fs.contoso.com, crie um registro A para fs.contoso.com apontando para 10.3.0.8.
Essa configuração garante que todos os dados transmitidos para fs.contoso.com encerrem no ILB e sejam roteados adequadamente.
Aviso
Se você estiver usando o WID (Banco de Dados Interno do Windows) para o banco de dados do AD FS, defina esse valor para apontar temporariamente para o servidor AD FS primário, senão o proxy do aplicativo Web falhará no registro. Após registrar com sucesso todos os servidores proxy de aplicativo Web, altere essa entrada de DNS para apontar para o balanceador de carga.
Observação
Se a implantação também estiver usando IPv6, crie um registro AAAA correspondente.
Configurar os servidores proxy de aplicativo Web para acessar servidores do AD FS
Para garantir que os servidores proxy de aplicativo Web sejam capazes de alcançar os servidores do AD FS por trás do ILB, crie um registro no arquivo %systemroot%\system32\drivers\etc\hosts para o ILB. O DN (nome diferenciado) deve ser o nome do serviço de federação, como fs.contoso.com. E a entrada de IP deverá ser o endereço IP do ILB (10.3.0.8, como no exemplo).
Aviso
Se você estiver usando o WID (Banco de Dados Interno do Windows) para o banco de dados do AD FS, defina esse valor para apontar temporariamente para o servidor AD FS primário, senão o proxy do aplicativo Web falhará no registro. Depois de registrar com sucesso todos os servidores proxy de aplicativo Web, altere essa entrada de DNS para apontar para o balanceador de carga.
Instalar a função de proxy do aplicativo Web
Depois de garantir que os servidores proxy de aplicativo Web conseguem acessar os servidores do AD FS por trás do ILB, você poderá instalar os servidores proxy de aplicativo Web. Os servidores proxy de aplicativo Web não precisam estar ingressados no domínio. Instale as funções de proxy de aplicativo Web nos dois servidores proxy de aplicativo Web selecionando a função Acesso Remoto. O gerenciador de servidores orienta que você conclua a instalação do WAP.
Para obter mais informações sobre como implantar o WAP, confira Instalar e configurar o servidor proxy de aplicativo Web.
Criar e implantar o balanceador de carga para a Internet (público)
No portal do Azure, selecione Balanceadores de carga e, em seguida, escolha Criar.
Em Criar balanceador de carga, insira ou selecione estas informações na guia Básico:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione o grupo de recursos. Ou selecione Criar novo para criar um. Detalhes da instância Nome Insira um nome para o seu balanceador de carga. Região Selecione sua região. Digite Como esse balanceador de carga requer um endereço IP público, selecione Público. Deixe o SKU e a Camada como padrão e selecione Avançar: Configuração de IP de front-end
Selecione + Adicionar uma configuração de IP de front-end e, em seguida, insira ou selecione essas informações na página Adicionar configuração de IP de front-end.
Configuração Valor Nome Insira um nome de configuração de IP de front-end. Tipo de IP Selecione Endereço IP. Endereço IP público Selecione um Endereço IP público na lista suspensa ou, se for necessário, crie um novo e selecione Adicionar. 
Selecione Avançar: Pools de back-end e, em seguida, selecione + Adicionar um pool de back-end.
Na página Adicionar pool de back-end, insira um Nome e, na área Configurações de IP, selecione + Adicionar.
Na página Adicionar pool de back-end, selecione uma VM para alinhar com o pool de back-end, selecione Adicionar e, em seguida, selecione Salvar.
Selecione Avançar: Regras de Entrada, selecione Adicionar uma regra de balanceamento de carga e, em seguida, insira ou selecione essas informações na página Adicionar regra de balanceamento de carga.
Configuração Valor Nome Insira um nome para a regra. Endereço IP de front-end Selecione o endereço IP de front-end criado nas etapas anteriores. Pool de back-end Selecione o pool de back-end criado nas etapas anteriores. Protocolo selecione TCP. Porta Inserir 443. Porta de back-end Inserir 443. Investigação de integridade Selecione Criar novo e, em seguida, insira estes valores para criar uma investigação de integridade:
Nome: nome da investigação de integridade
Protocolo: HTTP
Porta: 80 (HTTP)
Caminho: /adfs/probe
Intervalo: 5 (valor padrão) – o intervalo no qual o ILB investiga as máquinas no pool de back-end
Selecione Save.Selecione Salvar para salvar a regra de entrada.
Selecione Examinar + Criar e, se tudo estiver certo, selecione Criar.
Depois de selecionar Criar e o ILB público for implantado, você poderá vê-lo na lista de balanceadores de carga.
Atribuir um rótulo DNS ao IP público
Use a ferramenta Pesquisar recursos e procure por Endereços IP públicos. Use as etapas a seguir para configurar o rótulo DNS para o IP público.
- Selecione seu recurso, em Configurações, selecione Configuração.
- Em Fornecer um rótulo DNS (opcional), adicione uma entrada no campo de texto (como fs.contoso.com) que resolva para o rótulo DNS do balanceador de carga externo (como contosofs.westus.cloudapp.azure.com).
- Selecione Salvar para concluir a atribuição de um rótulo DNS.
Testar a entrada no AD FS
A maneira mais fácil de testar o AD FS é usar a página IdpInitiatedSignon.aspx. Para fazer isso, você deve habilitar o IdpInitiatedSignOn nas propriedades do AD FS. Use as etapas a seguir para verificar a configuração do AD FS.
- No PowerShell, execute o cmdlet a seguir no servidor do AD FS para defini-lo como habilitado.
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true - A partir de qualquer computador externo, acesse
https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx. - Você deverá ver a seguinte página do AD FS:
Quando a entrada é bem-sucedida, uma mensagem de sucesso é exibida, conforme mostrado aqui:
Modelo de implantação do AD FS no Azure
O modelo implanta uma configuração de seis computadores, duas para Controladores de Domínio, AD FS e WAP.
AD FS no modelo de implantação do Azure
Você pode usar uma rede virtual existente ou criar uma nova rede virtual ao implantar esse modelo. Esta tabela lista os vários parâmetros disponíveis para personalizar a implantação, incluindo uma descrição de como usar os parâmetros no processo de implantação.
| Parâmetro | Descrição |
|---|---|
| Localidade | A região em que os recursos serão implantados, por exemplo, o leste dos EUA |
| StorageAccountType | O tipo da conta de armazenamento criada |
| VirtualNetworkUsage | Indica se uma nova rede virtual será criada ou se será usada uma já existente |
| VirtualNetworkName | O nome da rede virtual a ser criada, obrigatório para o uso de redes virtuais novas ou existentes |
| VirtualNetworkResourceGroupName | Especifica o nome do grupo de recursos onde reside a rede virtual existente. Quando você usa uma rede virtual existente, essa opção é um parâmetro obrigatório para que a implantação possa encontrar a ID da rede virtual existente. |
| VirtualNetworkAddressRange | O intervalo de endereços da nova rede virtual, obrigatório se estiver criando uma nova rede virtual |
| InternalSubnetName | O nome da sub-rede interna, obrigatório em ambas as opções de uso de rede virtual, nova ou existente |
| InternalSubnetAddressRange | O intervalo de endereços da sub-rede interna, que contém os Controladores de Domínio e os servidores de AD FS, obrigatório ao criar uma nova rede virtual |
| DMZSubnetAddressRange | O intervalo de endereços da sub-rede DMZ, que contém os servidores proxy de aplicativos do Windows, é obrigatório ao criar uma nova rede virtual |
| DMZSubnetName | O nome da sub-rede interna, obrigatório em ambas as opções de uso de rede virtual (novas ou existentes) |
| ADDC01NICIPAddress | O endereço IP interno do primeiro Controlador de Domínio, esse endereço IP é atribuído estaticamente ao DC e deve ser um endereço IP válido na sub-rede interna |
| ADDC02NICIPAddress | O endereço IP interno do segundo Controlador de Domínio, esse endereço IP é atribuído estaticamente ao DC e deve ser um endereço IP válido na sub-rede interna |
| ADFS01NICIPAddress | O endereço IP interno do primeiro servidor do AD FS, esse endereço IP é atribuído estaticamente ao servidor do AD FS e deve ser um endereço IP válido na sub-rede interna |
| ADFS02NICIPAddress | O endereço IP interno do segundo servidor do AD FS, esse endereço IP é atribuído estaticamente ao servidor do AD FS e deve ser um endereço IP válido na sub-rede interna |
| WAP01NICIPAddress | O endereço IP interno do primeiro servidor WAP esse endereço IP é atribuído estaticamente ao servidor WAP e deve ser um endereço IP válido na sub-rede DMZ |
| WAP02NICIPAddress | O endereço IP interno do segundo servidor WAP esse endereço IP é atribuído estaticamente ao servidor WAP e deve ser um endereço IP válido na sub-rede DMZ |
| ADFSLoadBalancerPrivateIPAddress | O endereço IP interno do balanceador de carga de AD FS, esse endereço IP é atribuído estaticamente ao balanceador de carga e deve ser um endereço IP válido na sub-rede interna |
| ADDCVMNamePrefix | Prefixo do nome da VM para controladores de domínio |
| ADFSVMNamePrefix | Prefixo do nome da VM para servidores do AD FS |
| WAPVMNamePrefix | Prefixo do nome da VM para servidores WAP |
| ADDCVMSize | O tamanho da VM dos Controladores de Domínio |
| ADFSVMSize | O tamanho da VM dos servidores do AD FS |
| WAPVMSize | O tamanho da VM dos servidores WAP |
| AdminUserName | O nome do administrador local das VMs |
| AdminPassword | A senha da conta do Administrador local das VMs |
Links relacionados
- Conjuntos de disponibilidade
- Azure Load Balancer
- Balanceador de carga interno
- Balanceador de carga para a Internet
- Contas de Armazenamento
- Redes Virtuais do Azure
- Links de proxy de aplicativo Web e do AD FS