Gerenciar e personalizar o AD FS usando o Microsoft Entra Connect
Este artigo descreve como gerenciar e personalizar os Serviços de Federação do Ative Directory (AD FS) usando o Microsoft Entra Connect.
Você também aprenderá sobre outras tarefas comuns do AD FS que talvez seja necessário executar para configurar completamente um farm do AD FS. Essas tarefas estão listadas na tabela a seguir:
Tarefa | Descrição |
---|---|
Gerir o AD FS | |
Reparar a confiança | Saiba como reparar a confiança de federação com o Microsoft 365. |
Federar com a ID do Microsoft Entra usando uma ID de entrada alternativa | Saiba como configurar a federação usando uma ID de entrada alternativa. |
Adicionar um servidor AD FS | Saiba como expandir um farm do AD FS com um servidor AD FS extra. |
Adicionar um servidor WAP (Proxy de Aplicativo Web) do AD FS | Saiba como expandir um farm do AD FS com um servidor WAP adicional. |
Adicionar um domínio federado | Saiba como adicionar um domínio federado. |
Atualizar o certificado TLS/SSL | Saiba como atualizar o certificado TLS/SSL para um farm do AD FS. |
Personalizar o AD FS | |
Adicionar um logótipo ou ilustração personalizada da empresa | Saiba como personalizar uma página de início de sessão do AD FS com um logótipo e uma ilustração da empresa. |
Adicionar uma descrição de início de sessão | Saiba como adicionar uma descrição de página de início de sessão. |
Modificar regras de declaração do AD FS | Saiba como modificar declarações do AD FS para vários cenários de federação. |
Gerir o AD FS
Você pode executar várias tarefas relacionadas ao AD FS no Microsoft Entra Connect com intervenção mínima do usuário usando o assistente do Microsoft Entra Connect. Depois de concluir a instalação do Microsoft Entra Connect executando o assistente, você pode executá-lo novamente para executar outras tarefas.
Reparar a confiança
Você pode usar o Microsoft Entra Connect para verificar a integridade atual da confiança do AD FS e da ID do Microsoft Entra e, em seguida, tomar as ações apropriadas para reparar a confiança. Para reparar a sua ID do Microsoft Entra e a confiança do AD FS, faça o seguinte:
Selecione Reparar ID do Microsoft Entra e Confiança do ADFS na lista de tarefas.
Na página Conectar à ID do Microsoft Entra, forneça suas credenciais de Administrador de Identidade Híbrida para a ID do Microsoft Entra e selecione Avançar.
Na página Credenciais de acesso remoto, insira as credenciais do administrador do domínio.
Selecione Seguinte.
O Microsoft Entra Connect verifica a integridade do certificado e mostra quaisquer problemas.
A página Pronto para configurar mostra a lista de ações que serão executadas para reparar a confiança.
Selecione Instalar para reparar a confiança.
Nota
O Microsoft Entra Connect pode reparar ou agir apenas em certificados autoassinados. O Microsoft Entra Connect não pode reparar certificados de terceiros.
Federar com o Microsoft Entra ID usando alternateID
Recomendamos que você mantenha o UPN (Nome Principal do Usuário) local e o Nome Principal do Usuário na nuvem iguais. Se o UPN local usar um domínio não roteável (por exemplo, Contoso.local) ou não puder ser alterado devido a dependências de aplicativos locais, recomendamos configurar uma ID de entrada alternativa. Usando uma ID de entrada alternativa, você pode configurar uma experiência de entrada em que os usuários podem entrar com um atributo diferente de seu UPN, como um endereço de email.
A escolha de UPN no Microsoft Entra Connect assume como padrão o atributo userPrincipalName no Ative Directory. Se você escolher qualquer outro atributo para o UPN e estiver federando usando o AD FS, o Microsoft Entra Connect configurará o AD FS para uma ID de entrada alternativa.
Um exemplo de escolha de um atributo diferente para o UPN é mostrado na imagem a seguir:
A configuração de um ID de início de sessão alternativo para o AD FS consiste em dois passos principais:
Configure o conjunto certo de declarações de emissão: As regras de declaração de emissão na confiança de terceira parte confiável do Microsoft Entra ID são modificadas para usar o atributo UserPrincipalName selecionado como a ID alternativa do usuário.
Habilitar uma ID de entrada alternativa na configuração do AD FS: a configuração do AD FS é atualizada para que o AD FS possa procurar usuários nas florestas apropriadas usando a ID alternativa. Esta configuração é suportada para AD FS no Windows Server 2012 R2 (com KB2919355) ou posterior. Se os servidores AD FS forem 2012 R2, o Microsoft Entra Connect verificará a presença do KB necessário. Se o KB não for detetado, um aviso será exibido após a conclusão da configuração, conforme mostrado na imagem a seguir:
Se houver um KB ausente, você pode corrigir a configuração instalando o KB2919355 necessário. Em seguida, você pode seguir as instruções em reparar a confiança.
Nota
Para obter mais informações sobre alternateID e etapas para configurá-lo manualmente, consulte Configurar um ID de entrada alternativo.
Adicionar um servidor AD FS
Nota
Para adicionar um servidor AD FS, o Microsoft Entra Connect requer um certificado PFX. Portanto, você pode executar essa operação somente se você configurou o farm do AD FS usando o Microsoft Entra Connect.
Selecione Implantar um Servidor de Federação adicional e, em seguida, selecione Avançar.
Na página Conectar à ID do Microsoft Entra, insira suas credenciais de Administrador de Identidade Híbrida para a ID do Microsoft Entra e selecione Avançar.
Forneça as credenciais de administrador do domínio.
O Microsoft Entra Connect solicita a senha do arquivo PFX que você forneceu quando configurou seu novo farm do AD FS com o Microsoft Entra Connect. Selecione Enter Password para fornecer a senha para o arquivo PFX.
Na página Servidores AD FS, insira o nome do servidor ou o endereço IP a ser adicionado ao farm do AD FS.
Selecione Avançar e continue concluindo a página Configurar final.
Depois que o Microsoft Entra Connect terminar de adicionar os servidores ao farm do AD FS, você terá a opção de verificar a conectividade.
Adicionar um servidor AD FS WAP
Nota
Para adicionar um servidor Web Application Proxy, o Microsoft Entra Connect requer o certificado PFX. Portanto, você pode executar essa operação somente depois de configurar o farm do AD FS usando o Microsoft Entra Connect.
Selecione Implantar Proxy de Aplicativo Web na lista de tarefas disponíveis.
Forneça as credenciais do Administrador de Identidade Híbrida do Azure.
Na página Especificar certificado SSL, forneça a senha para o arquivo PFX que você forneceu quando configurou o farm do AD FS com o Microsoft Entra Connect.
Adicione o servidor a ser adicionado como um servidor WAP. Como o servidor WAP pode não estar associado ao domínio, o assistente solicita credenciais administrativas para o servidor que está sendo adicionado.
Na página Credenciais de confiança de proxy, forneça credenciais administrativas para configurar a confiança de proxy e acessar o servidor primário no farm do AD FS.
Na página Pronto para configurar, o assistente mostra a lista de ações que serão executadas.
Selecione Instalar para concluir a configuração. Após a conclusão da configuração, o assistente oferece a opção de verificar a conectividade com os servidores. Selecione Verificar para verificar a conectividade.
Adicionar um domínio federado
É fácil adicionar um domínio a ser federado com o Microsoft Entra ID usando o Microsoft Entra Connect. O Microsoft Entra Connect adiciona o domínio para federação e modifica as regras de declaração para refletir corretamente o emissor quando você tem vários domínios federados com o Microsoft Entra ID.
Para adicionar um domínio federado, selecione Adicionar um domínio adicional do Microsoft Entra.
Na próxima página do assistente, forneça as credenciais de Administrador Híbrido para o Microsoft Entra ID.
Na página Credenciais de acesso remoto, forneça as credenciais de administrador do domínio.
Na página seguinte, o assistente fornece uma lista de domínios do Microsoft Entra com os quais você pode federar seu diretório local. Escolha o domínio na lista.
Depois de escolher o domínio, o assistente informa sobre outras ações que serão tomadas e o impacto da configuração. Em alguns casos, se você selecionar um domínio que ainda não está verificado no Microsoft Entra ID, o assistente o ajudará a verificar o domínio. Para obter mais informações, consulte Adicionar seu nome de domínio personalizado ao ID do Microsoft Entra.
Selecione Seguinte.
A página Pronto para configurar lista as ações que o Microsoft Entra Connect executará.
Selecione Instalar para concluir a configuração.
Nota
Os usuários no domínio federado adicionado devem ser sincronizados antes de poderem entrar no Microsoft Entra ID.
Personalizar o AD FS
As seções a seguir fornecem detalhes sobre algumas das tarefas comuns que você pode ter que executar para personalizar sua página de entrada do AD FS.
Adicionar um logótipo ou ilustração personalizada da empresa
Para alterar o logotipo da empresa exibido na página Entrar , use o cmdlet e a sintaxe do PowerShell a seguir.
Nota
As dimensões recomendadas para o logotipo são 260 x 35 @ 96 dpi com um tamanho de arquivo não superior a 10 KB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Nota
O parâmetro TargetName é obrigatório. O tema padrão lançado com o AD FS é chamado Padrão.
Adicionar uma descrição de início de sessão
Para adicionar uma descrição de página de entrada à página de entrada, use o cmdlet e a sintaxe do PowerShell a seguir.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Modificar regras de declaração do AD FS
O AD FS oferece suporte a uma linguagem de declaração avançada que você pode usar para criar regras de declaração personalizadas. Para obter mais informações, consulte A função da linguagem da regra de declaração.
As seções a seguir descrevem como você pode escrever regras personalizadas para alguns cenários relacionados à ID do Microsoft Entra e à federação do AD FS.
ID imutável condicional à presença de um valor no atributo
O Microsoft Entra Connect permite especificar um atributo a ser usado como âncora de origem quando os objetos são sincronizados com a ID do Microsoft Entra. Se o valor no atributo personalizado não estiver vazio, convém emitir uma declaração de ID imutável.
Por exemplo, você pode selecionar ms-ds-consistencyguid
como o atributo para a âncora de origem e emitir ImmutableID como ms-ds-consistencyguid
no caso de o atributo ter um valor em relação a ele. Se não houver nenhum valor em relação ao atributo, emita objectGuid
como o ID imutável. Você pode construir o conjunto de regras de declaração personalizadas conforme descrito na seção a seguir.
Regra 1: Atributos de consulta
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
Nesta regra, você está consultando os valores de ms-ds-consistencyguid
e objectGuid
para o usuário do Ative Directory. Altere o nome do repositório para um nome de repositório apropriado na implantação do AD FS. Altere também o tipo de declarações para um tipo de declarações adequado para sua federação, conforme definido para objectGuid
e ms-ds-consistencyguid
.
Além disso, usando add
e não issue
, você evita adicionar um problema de saída para a entidade e pode usar os valores como valores intermediários. você emitirá a declaração em uma regra posterior depois de estabelecer qual valor usar como ID imutável.
Regra 2: Verifique se ms-ds-consistencyguid existe para o usuário
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Esta regra define um sinalizador temporário chamado idflag
que é definido como useguid
se não houver preenchido ms-ds-consistencyguid
para o usuário. A lógica por trás disso é que o AD FS não permite declarações vazias. Quando você adiciona declarações http://contoso.com/ws/2016/02/identity/claims/objectguid
e http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid
na Regra 1, você acaba com uma declaração msdsconsistencyguid somente se o valor for preenchido para o usuário. Se não estiver preenchido, o AD FS verá que terá um valor vazio e descarta-o imediatamente. Todos os objetos terão objectGuid
, de modo que a reivindicação sempre estará lá depois que a Regra 1 for executada.
Regra 3: Emita ms-ds-consistencyguid como ID imutável se estiver presente
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Trata-se de uma verificação implícita Exist
. Se o valor da reivindicação existir, emite-o como ID imutável. O exemplo anterior usa a nameidentifier
reivindicação. Você terá que alterar isso para o tipo de declaração apropriado para a ID imutável em seu ambiente.
Regra 4: Emitir objectGuid como um ID imutável se ms-ds-consistencyGuid não estiver presente
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Com essa regra, você está simplesmente verificando a bandeira idflag
temporária. Você decide se deseja emitir a reivindicação com base em seu valor.
Nota
A sequência destas regras é importante.
SSO com um UPN de subdomínio
Você pode adicionar mais de um domínio a ser federado usando o Microsoft Entra Connect, conforme descrito em Adicionar um novo domínio federado. Microsoft Entra Connect versões 1.1.553.0 e posteriores criar a regra de declaração correta para issuerID
automaticamente. Se você não puder usar o Microsoft Entra Connect versão 1.1.553.0 ou posterior, recomendamos que você use a ferramenta Regras de Declaração RPT do Microsoft Entra para gerar e definir regras de declaração corretas para a confiança da terceira parte confiável do Microsoft Entra ID.
Próximos passos
Saiba mais sobre as opções de início de sessão do utilizador.