Compartilhar via


Requisitos do AD FS

Os seguintes itens são os requisitos para implantar o AD FS (Serviços de Federação do Active Directory):

Requisitos de certificado

Certificados TLS/SSL

Cada servidor do AD FS e do Proxy de Aplicativo Web tem um certificado TLS/SSL para atender a solicitações HTTPS para o serviço de federação. O Proxy de Aplicativo Web pode ter certificados adicionais para solicitações de serviço para aplicativos publicados.

Recomendações para Certificados TLS/SSL

Use o mesmo certificado TLS/SSL para todos os servidores de federação do AD FS e proxies de Aplicativo Web.

Requisitos para Certificados TLS/SSL

Os certificados TLS/SSL em servidores de federação devem atender aos seguintes requisitos:

  • O certificado é publicamente confiável (para implantações de produção).
  • O certificado contém o valor de EKU (Uso Avançado de Chave) de Autenticação do Servidor.
  • O certificado contém o nome do serviço de federação, como fs.contoso.com, na Entidade ou no SAN (Nome Alternativo da Entidade).
  • Para autenticação do certificado do usuário na porta 443, o certificado contém certauth.\<federation service name\>, como certauth.fs.contoso.com no SAN.
  • Para registro do dispositivo ou para a autenticação moderna em recursos locais usando clientes anteriores ao Windows 10, o SAN deve conter enterpriseregistration.\<upn suffix\> para cada sufixo do UPN (Nome Principal do Usuário) em uso na sua organização.

Os certificados TLS/SSL no Proxy de Aplicativo Web devem atender aos seguintes requisitos:

  • Se o proxy for usado para representar solicitações do AD FS que usam a Autenticação Integrada do Windows, o certificado TLS/SSL do proxy deverá ser igual (usar a mesma chave) ao certificado TLS/SSL do servidor de federação.
  • Se a propriedade ExtendedProtectionTokenCheck do AD FS estiver habilitada (a configuração padrão no AD FS), o certificado TLS/SSL do proxy deverá ser igual (usar a mesma chave) que o certificado TLS/SSL do servidor de federação.
  • Caso contrário, os requisitos do certificado TLS/SSL do proxy são os mesmos que os requisitos do certificado TLS/SSL do servidor de federação.

Certificado de Comunicação de Serviço

Esse certificado não é necessário para a maioria dos cenários do AD FS, incluindo o Microsoft Entra ID e o Office 365. Por padrão, o AD FS configura o certificado TLS/SSL fornecido na configuração inicial como o certificado de comunicação de serviço.

Recomendação para Certificado de Comunicação de Serviço

  • Use o mesmo certificado que você usa para TLS/SSL.

Certificado de Autenticação de Tokens

Esse certificado é usado para assinar tokens emitidos para terceiras partes confiáveis; assim, os aplicativos de terceira parte confiável devem reconhecer o certificado e a chave associada dele como conhecidos e confiáveis. Quando o certificado de autenticação de tokens é alterado, como quando ele expira e você configura um novo certificado, todas as terceiras partes confiáveis devem ser atualizadas.

Recomendação para Certificado de Autenticação de Tokens

use os certificados de autenticação de tokens autoassinados padrão e gerados internamente do AD FS.

Requisitos para Certificado de Autenticação de Tokens

  • Se a sua organização exige que os certificados da PKI (Infraestrutura de Chave Pública) corporativa sejam usados para assinatura de token, você pode atender esse requisito usando o parâmetro SigningCertificateThumbprint do cmdlet Install-AdfsFarm.
  • Se você usar os certificados padrão gerados internamente ou os certificados registrados externamente, quando o certificado de autenticação de tokens for alterado, você deverá verificar se todas as terceiras partes confiáveis estão atualizadas com as novas informações de certificado. Caso contrário, essas partes confiáveis não poderão entrar.

Certificado de criptografia/descriptografia de tokens

Esse certificado é usado por provedores de declarações que criptografam tokens emitidos para o AD FS.

Recomendação para certificado de criptografia/descriptografia de token

use os certificados de descriptografia de tokens autoassinados padrão e gerados internamente do AD FS.

Requisitos para certificado de criptografia/descriptografia de token

  • Se a sua organização exige que os certificados da PKI corporativa sejam usados para assinatura de token, você pode atender esse requisito usando o parâmetro DecryptingCertificateThumbprint do cmdlet Install-AdfsFarm.
  • Se você usar os certificados padrão gerados internamente ou os certificados registrados externamente, quando o certificado de descriptografia de tokens for alterado, você deverá verificar se todos os provedores de declarações estão atualizados com as novas informações de certificado. Caso contrário, as entradas que usam provedores de declarações não atualizados falharão.

Cuidado

Os certificados utilizados para assinatura de token e descriptografia/criptografia de token são essenciais para a estabilidade do Serviço de Federação. Clientes que gerenciam seus próprios certificados de assinatura de token e descriptografia/criptografia de token deverão garantir que o backup desses certificados seja feito e que estejam disponíveis de forma independente durante um evento de recuperação.

Certificados do usuário

  • Ao usar a autenticação de certificado de usuário x509 com o AD FS, todos os certificados de usuário devem se ligar a uma autoridade de certificação raiz que tem a confiança dos servidores AD FS e Proxy de Aplicativo Web.

Requisitos de hardware

Os requisitos de hardware (físicos ou virtuais) do AD FS e do Proxy de Aplicativo Web são controlados na CPU. Portanto, você deve dimensionar seu farm para capacidade de processamento.

Os requisitos de memória e disco do AD FS são razoavelmente estáticos. Os requisitos são mostradas na seguinte tabela:

Requisito de hardware Requisito mínimo Requisito recomendado
RAM 2 GB 4 GB
Espaço em disco 32 GB 100 GB

Requisitos de hardware do SQL Server

Se você estiver usando o SQL do Azure para seu banco de dados de configuração do AD FS, dimensione o SQL Server de acordo com as recomendações mais básicas do SQL Server. O tamanho do banco de dados do AD FS é pequeno e o AD FS não coloca uma carga de processamento significativa na instância do banco de dados. O AD FS, no entanto, se conecta ao banco de dados várias vezes durante uma autenticação; portanto, a conexão de rede deve ser robusta. Infelizmente, não há suporte para o SQL Azure no banco de dados de configuração do AD FS.

Requisitos de proxy

  • Para acesso à extranet, será necessário implantar o serviço de função do Proxy de aplicativo Web – parte da função de servidor Acesso Remoto.

  • Proxies de terceiros devem dar suporte ao protocolo MS-ADFSPIP para ter suporte como um proxy do AD FS. Para obter uma lista de fornecedores terceirizados, confira as Perguntas frequentes sobre o AD FS.

  • O AD FS 2016 requer servidores de Proxy de Aplicativo Web no Windows Server 2016. Um proxy de nível inferior não pode ser configurado para um farm do AD FS 2016 em execução no nível de comportamento do farm 2016.

  • Um servidor de federação e o serviço de função do Proxy de Aplicativo Web não podem ser instalados no mesmo computador.

Requisitos de AD DS

Requisitos de controlador de domínio

  • O AD FS requer controladores de domínio que executam o Windows Server 2008 ou posterior.

  • Pelo menos um controlador de domínio do Windows Server 2016 é necessário para o Windows Hello para Empresas.

Observação

Todo o suporte para ambientes com controladores de domínio do Windows Server 2003 foi encerrado. Para obter mais informações, confira as Informações de Ciclo de Vida da Microsoft.

Requisitos de nível funcional de domínio

  • Todos os domínios de conta de usuário e o domínio em que os servidores AD FS são ingressados devem estar operando no nível funcional de domínios do Windows Server 2003 ou posterior.

  • O nível funcional de domínio do Windows Server 2008 ou posterior é exigido para a autenticação de certificados do cliente caso o certificado esteja associado explicitamente à conta do usuário no AD DS.

Requisitos de esquema

  • Novas instalações do AD FS 2016 exigem o esquema do Active Directory 2016 (versão mínima 85).

  • Aumentar o FBL (nível de comportamento do farm) do AD FS para o nível 2016 requer o esquema do Active Directory 2016 (versão mínima 85).

Requisitos de conta de serviço

  • Qualquer conta de domínio padrão pode ser usada como uma conta de serviço para o AD FS. Também há suporte para Contas de Serviço Gerenciado de Grupo. As permissões necessárias em runtime são adicionadas automaticamente de volta quando você configura o AD FS.

  • A Atribuição de Direitos de Usuário necessária para a conta de serviço do AD é Fazer logon como um serviço.

  • As Atribuições de Direitos de Usuário necessárias para o NT Service\adfssrv e o NT Service\drs são Gerar auditorias de segurança e Fazer logon como um serviço.

  • As contas de serviço gerenciado de grupo exigem pelo menos um controlador de domínio que execute o Windows Server 2012 ou posterior. A gMSA (Conta de Serviço Gerenciado de grupo) deve residir no contêiner padrão CN=Managed Service Accounts.

  • Para a autenticação do Kerberos, o nome da entidade de serviço 'HOST/<adfs\_service\_name>' deve ser registrado na conta de serviço do AD FS. Por padrão, o AD FS configura esse requisito ao criar um farm do AD FS. Se esse processo falha, como no caso de haver uma colisão ou permissões insuficientes, você vê um aviso e deve adicioná-lo manualmente.

Requisitos de Domínio

  • Todos os servidores AD FS devem ser ingressados em um domínio do AD DS.

  • Todos os servidores AD FS em um farm devem ser implantados no mesmo domínio.

  • A instalação do primeiro nó do farm do AD FS depende da disponibilidade do PDC.

Requisitos de várias florestas

  • O domínio no qual os servidores AD FS são ingressados deve confiar em todos os domínios ou florestas que contenham usuários que se autenticam no serviço do AD FS.

  • A floresta da qual a conta de serviço do AD FS é membro deve confiar em todas as florestas de logon do usuário.

  • A conta de serviço do AD FS deve ter permissões para ler atributos de usuário em cada domínio que contenha usuários que se autenticam no serviço do AD FS.

Requisitos de banco de dados de configuração

Esta seção descreve os requisitos e as restrições para farms do AD FS que usam respectivamente o WID (Banco de Dados Interno do Windows) ou o SQL Server como o banco de dados:

WID

  • Não há suporte para o perfil de resolução de artefatos do SAML 2.0 em um farm do WID.

  • Não há suporte para a detecção de reprodução de tokens em um farm do WID. Essa funcionalidade é usada apenas em cenários em que o AD FS está agindo como o provedor de federação e consumindo tokens de segurança de provedores de declarações externos.

A tabela a seguir fornece um resumo de quantos servidores AD FS têm suporte em um WID versus um farm do SQL Server.

1 a 100 relações de confiança de RP Mais de 100 relações de confiança de RP
1 a 30 nós do AD FS: Suporte ao WID 1 a 30 nós do AD FS: Sem suporte para uso do WID – O SQL é exigido
Mais de 30 Nós do AD FS: Sem suporte para uso do WID – O SQL é exigido Mais de 30 Nós do AD FS: Sem suporte para uso do WID – O SQL é exigido

SQL Server

  • Para o AD FS no Windows Server 2016, há suporte para o SQL Server 2008 e versões posteriores.

  • Há suporte para a resolução de artefato SAML e a detecção de reprodução de tokens em um farm do SQL Server.

Requisitos de navegador

Quando a autenticação do AD FS for realizada por meio de um navegador ou controle de navegador, o navegador deverá atender aos seguintes requisitos:

  • O JavaScript precisa estar habilitado.

  • Para logon único, o navegador do cliente deve estar configurado para permitir cookies.

  • Deve haver suporte para a SNI (Indicação de Nome de Servidor).

  • Para a autenticação de certificado do usuário e do dispositivo, o navegador deve dar suporte à autenticação de certificado de cliente TLS/SSL.

  • Para um logon contínuo usando a Autenticação Integrada do Windows, o nome do serviço de federação (como https:\/\/fs.contoso.com) deverá ser configurado na zona da intranet local ou na zona de sites confiáveis.

Requisitos de rede

Requisitos de firewall

Ambos os firewalls localizados entre o Proxy de Aplicativo Web e o farm de servidores de federação e entre os clientes e o Proxy de Aplicativo Web devem contar com a porta TCP 443 habilitada para entrada.

Além disso, se você precisar de autenticação de certificado do usuário cliente (autenticação clientTLS usando certificados de usuário X509) e não tiver a porta 443 habilitada no ponto de extremidade certauth. O AD FS 2016 exige que você habilite a porta TCP 49443 de entrada no firewall entre os clientes e o Proxy de Aplicativo Web. Esse requisito não se aplica ao firewall entre o Proxy de Aplicativo Web e os servidores de federação.

Para obter mais informações sobre os requisitos de porta híbrida, confira Portas Necessárias de Identidade Híbrida e Protocolos.

Para obter mais informações, confira Melhores práticas para proteção dos Serviços de Federação do Active Directory

Requisitos de DNS

  • Para acesso à intranet, é necessário que todos os clientes que acessam o serviço do AD FS na rede corporativa interna (intranet) possam resolver o nome de serviço do AD FS para o balanceador de carga dos servidores do AD FS ou do servidor do AD FS.

  • Para acesso à extranet, é necessário que todos os clientes que acessam o serviço do AD FS de fora da rede corporativa (extranet/internet) possam resolver o nome de serviço do AD FS para o balanceador de carga dos servidores do Proxy de aplicativo Web ou do servidor do Proxy de aplicativo Web.

  • Cada servidor do Proxy de Aplicativo Web na DMZ (zona desmilitarizada) deve poder resolver o nome do serviço do AD FS para o balanceador de carga dos servidores do AD FS. Você pode criar essa configuração usando um servidor DNS (Sistema de Nomes de Domínio) alternativo na rede DMZ ou alterando a resolução do servidor local usando o arquivo HOSTS.

  • Para autenticação integrada do Windows, será necessário usar um registro DNS tipo A (não CNAME) para o nome do serviço de federação.

  • Para a autenticação do certificado do usuário na porta 443, "certauth.<nome do serviço de federação>" deve estar configurado no DNS para resolver para o servidor de federação ou o Proxy de Aplicativo Web.

  • Para o registro do dispositivo ou para a autenticação moderna em recursos locais usando clientes anteriores ao Windows 10, enterpriseregistration.\<upn suffix\>, para cada sufixo UPN em uso na sua organização, você deve configurá-los para resolver para o servidor de federação ou o Proxy de Aplicativo Web.

Requisitos do Load Balancer

  • O balanceador de carga não deve encerrar o TLS/SSL. O AD FS dá suporte a vários casos de uso com autenticação de certificado, que é interrompido ao encerrar o TLS/SSL. Não há suporte para o encerramento do TLS/SSL no balanceador de carga em nenhum caso de uso.
  • Use um balanceador de carga com suporte para SNI. Caso ele não dê, usar a associação de fallback 0.0.0.0 em seu servidor do AD FS/Proxy de Aplicativo Web deverá fornecer uma solução alternativa.
  • Use os pontos de extremidade de investigação de integridade de HTTP (não HTTPS) para executar as verificações de integridade do balanceador de carga para tráfego de roteamento. Esse requisito evita problemas relacionados à SNI. A resposta a esses pontos de extremidade de investigação é um HTTP 200 OK e é atendida localmente sem dependência de serviços de back-end. É possível acessar a investigação de HTTP sobre HTTP usando o caminho '/adfs/probe'
    • http://<Web Application Proxy name>/adfs/probe
    • http://<AD FS server name>/adfs/probe
    • http://<Web Application Proxy IP address>/adfs/probe
    • http://<AD FS IP address>/adfs/probe
  • Não é recomendável usar o round robin de DNS como uma forma de balancear carga. O uso desse tipo de balanceamento de carga não fornece uma forma automatizada de remover um nó do balanceador de carga usando sondas de integridade.
  • Não é recomendável usar a afinidade de sessão baseada em IP ou sessões fixas para o tráfego de autenticação do AD FS no balanceador de carga. Isso pode causar uma sobrecarga de determinados nós ao usar o protocolo de autenticação herdado para clientes de email que se conectam os serviços de email do Office 365 (Exchange Online).

Requisitos de permissões

O administrador que executa a instalação e a configuração inicial do AD FS deve ter permissões de administrador local no servidor AD FS. Se o administrador local não tiver permissões para criar objetos no Active Directory, primeiro ele deverá fazer um administrador de domínio criar os objetos do AD necessários e configurar o farm do AD FS usando o parâmetro AdminConfiguration.