Configurar manualmente uma conta de serviço para um farm de servidores de federação

  • Artigo

Caso pretenda configurar um ambiente de Farm de servidor de federação no AD FS (Serviços de Federação do Active Directory (AD FS)), deverá criar e configurar uma conta de serviço dedicada no AD DS (Serviços de Domínio Active Directory) onde o Farm ficará. Você deverá configurar cada servidor de federação no farm para usar esta conta. Será necessário concluir as tarefas a seguir na organização quando você desejar permitir que os computadores cliente na rede corporativa sejam autenticados para qualquer um dos servidores de federação em um Farm do AD FS usando a Autenticação Integrada do Windows.

Importante

A partir do AD FS 3.0 (Windows Server 2012 R2), o AD FS dá suporte ao uso de uma gMSA (Conta de Serviço Gerenciado de Grupo) como a conta de serviço. Essa é a opção recomendada, pois elimina a necessidade de gerenciar a senha da conta de serviço ao longo do tempo. Este documento aborda o caso alternativo de usar uma conta de serviço tradicional, como em domínios que ainda executam um Windows Server 2008 R2 ou um DFL (nível funcional de domínio anterior).

Observação

Você tem que executar as tarefas neste procedimento somente uma vez para todo o farm de servidores de federação. Posteriormente, quando criar um servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS, deverá especificar esta mesma conta na página do assistente Conta de Serviço em cada servidor de federação no farm.

Criar uma conta de serviço dedicada

  1. Crie uma conta de usuário/serviço dedicada na floresta do Active Directory localizada na organização do provedor de identidade. Esta conta é necessária para que o protocolo de autenticação Kerberos funcione em um cenário de Farm e para permitir autenticação de passagem em cada um dos servidores de federação. Use essa conta somente para fins do Farm de servidores de federação.

  2. Edite as propriedades da conta do usuário e selecione a caixa de seleção A senha nunca expira. Esta ação garante que a função da conta de serviço não seja interrompida devido aos requisitos de alteração de senha do domínio.

    Observação

    Usar a conta de Serviço de Rede para esta conta dedicada resultará em falhas aleatórias ao tentar acesso por meio da Autenticação Integrada do Windows, devido aos tíquetes do Kerberos não estarem sendo validados de um servidor para outro.

Para definir o SPN da conta de serviço

  1. Como a identidade do pool de aplicativos do AppPool do AD FS está sendo executada como uma conta de usuário/serviço do domínio, você deverá configurar o SPN (Nome da Entidade de Serviço) para esta conta no domínio com a ferramenta de linha de comando Setspn.exe. O Setspn.exe é instalado por padrão em computadores que executam o Windows Server 2008. Execute o seguinte comando no computador associado ao mesmo domínio onde a conta de usuário/serviço reside:

    setspn -a host/<server name> <service account>

    Por exemplo, em um cenário no qual todos os servidores de federação estão clusterizados no nome de host do DNS (Sistema de Nome de Domínio), fs.fabrikam.com, e o nome da conta de serviço atribuída ao AppPool do AD FS é adfs2farm, digite o comando a seguir, pressionando ENTER em seguida:

    setspn -a host/fs.fabrikam.com adfs2farm

    Será necessário executar esta tarefa somente uma vez para esta conta.

  2. Depois de a identidade do AppPool do AD FS ser alterada para a conta de serviço, defina as ACLs (listas de controle de acesso) no banco de dados do SQL Server para permitir acesso de Leitura a esta nova conta para que o AppPool do AD FS possa ler os dados de política.