Partilhar via

Configurar um computador para a função de proxy do servidor de federação

Depois de configurar um computador com os certificados necessários e instalar o serviço de função Proxy do Serviço de Federação, você estará pronto para configurar o computador para se tornar um proxy de servidor de federação. Você pode usar o procedimento a seguir para que o computador atue na função proxy do servidor de federação.

Importante

Antes de usar este procedimento para configurar o computador proxy do servidor de federação, verifique se você seguiu todas as etapas na Lista de verificação: Configurando um proxy do servidor de federação na ordem em que estão listadas. Verifique se pelo menos um servidor de federação está implantado e se todas as credenciais necessárias para autorizar uma configuração de proxy do servidor de federação estão implementadas. Você também deve configurar associações SSL (Secure Sockets Layer) no site padrão ou este assistente não será iniciado. Todas essas tarefas devem ser concluídas antes que esse proxy do servidor de federação possa funcionar.

Depois de concluir a configuração do computador, verifique se o proxy do servidor de federação está funcionando conforme o esperado. Para obter mais informações, consulte Verificar se um proxy do servidor de federação está operacional.

Ter associação no grupo Administradores, ou equivalente, no computador local é o requisito mínimo para concluir este procedimento. Revise os detalhes sobre como usar as contas e associações de grupo apropriadas em Grupos Padrão Locais e de Domínio.

Para configurar um computador para a função proxy do servidor de federação

  1. Há duas maneiras de iniciar o Assistente de Configuração do Servidor de Federação do AD FS. Para iniciar o assistente, realize um dos seguintes passos:

    • No ecrã Iniciar , escrevaAssistente de Configuração de Proxy do Servidor de Federação do AD FS e, em seguida, prima ENTER.

    • Sempre que o assistente de configuração estiver concluído, abra o Explorador do Windows, navegue até à pasta C:\Windows\ADFS e, em seguida, faça duplo clique em FspConfigWizard.exe.

  2. Usando qualquer um dos métodos, inicie o assistente e, na página Bem-vindo , clique em Avançar.

  3. Na página Especificar Nome do Serviço de Federação , em Nome do Serviço de Federação, digite o nome que representa o Serviço de Federação para o qual este computador atuará na função de proxy.

  4. Com base em seus requisitos de rede específicos, determine se você precisará usar um servidor proxy HTTP para encaminhar solicitações para o Serviço de Federação. Em caso afirmativo, marque a caixa de seleção Usar um servidor proxy HTTP ao enviar solicitações para este Serviço de Federação , em Endereço do servidor proxy HTTP , digite o endereço do servidor proxy, clique em Testar Conexão para verificar a conectividade e clique em Avançar.

  5. Quando solicitado, especifique as credenciais necessárias para estabelecer uma relação de confiança entre esse proxy do servidor de federação e o Serviço de Federação.

    Por padrão, somente a conta de serviço usada pelo Serviço de Federação ou um membro do grupo local BUILTIN\Administradores pode autorizar um proxy de servidor de federação.

  6. Na página Pronto para Aplicar Configurações, revise os detalhes. Se as definições parecerem corretas, clique em Seguinte para começar a configurar este computador com estas definições de proxy.

  7. Na página Resultados da Configuração, verifique os resultados. Quando todas as etapas de configuração estiverem concluídas, clique em Fechar para sair do assistente.

    Não há nenhum snap-in do MMC (Console de Gestão da Microsoft) para administrar proxies de servidores de federação. Para definir configurações para cada um dos proxies do servidor de federação na organização, use cmdlets do Windows PowerShell.

Configurando uma porta TCP/IP alternativa para operações de proxy

Por padrão, o serviço de proxy do servidor de federação é configurado para usar a porta TCP 443 para tráfego HTTPS e a porta 80 para tráfego HTTP para comunicação com o servidor de federação. Para configurar portas diferentes, como a porta TCP 444 para HTTPS e a porta 81 para HTTP, as tarefas a seguir devem ser concluídas.

Observação

Se pretender implantar inicialmente o AD FS para operar em portas TCP/IP alternativas, primeiro modifique as portas nas ligações de protocolo do IIS para HTTP e HTTPS nos servidores de federação e proxies de servidor de federação. Isso deve ocorrer antes de executar os assistentes de configuração do AD FS para a configuração inicial. Se você configurar o IIS (Serviços de Informações da Internet) primeiro, suas configurações de porta TCP/IP alternativas serão descobertas quando a configuração baseada em assistente ocorrer no AD FS e o procedimento a seguir não será necessário. Se você quiser alterar as configurações de porta mais tarde, atualize as associações de protocolo do IIS primeiro e, em seguida, use o procedimento a seguir para atualizar as configurações de porta adequadamente. Para obter mais informações sobre como editar associações do IIS, consulte o artigo 149605 na Base de dados de Conhecimento da Microsoft.

Para configurar portas TCP/IP alternativas para o proxy do servidor de federação para usar

  1. Configure o servidor de federação para usar as portas não padrão.

    Para fazer isso, especifique o número da porta não padrão incluindo-o com as opções HttpsPort e HttpPort como parte do cmdlet Set-ADFSProperties . Por exemplo, para configurar essas portas, use os seguintes comandos na sessão do Windows PowerShell no computador do servidor de federação:

    Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81

  2. Configure o proxy do servidor de federação para usar a porta não padrão.

    Para fazer isso, especifique o número da porta não padrão incluindo-o com as opções HttpsPort e HttpPort como parte do cmdlet Set-ADFSProxyProperties . Por exemplo, para configurar essas portas, use os seguintes comandos na sessão do Windows PowerShell no computador do servidor de federação:

    Set-ADFSProxyProperties -HttpsPort 444
Set-ADFSProxyProperties -HttpPort 81

    Observação

    As URLs de ponto de extremidade não são habilitadas por padrão para o serviço de proxy do servidor de federação. Se você estiver configurando uma nova instalação do servidor de federação, deverá habilitar primeiro os pontos de extremidade do serviço proxy do servidor de federação. Por exemplo, presume-se que, para todos os pontos de extremidade referidos no exemplo deste procedimento, os tenha ativado para o proxy, selecionando-os no snap-in de Gestão do AD FS e, em seguida, escolhendo Ativar no proxy.

  3. Atualize a instalação do IIS no proxy do servidor de federação para que o SAML (Security Assertion Markup Language) e os pontos de extremidade WS-Trust sejam configurados para refletir o número atualizado da porta. Para fazer isso, você pode usar o bloco de notas para modificar o seguinte no arquivo Web.config, que está localizado em systemdrive%\inetpub\adfs\ls\ no computador proxy do servidor de federação. Por exemplo, supondo que você tenha um servidor de federação chamado sts1.contoso.com e o novo número de porta seja 444, procure e abra o arquivo Web.config no Bloco de Notas no computador proxy do servidor de federação, localize a seção a seguir, modifique o número da porta conforme destacado abaixo e salve e saia do Bloco de Notas.

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
      wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />

  4. Adicione a conta de usuário do serviço proxy do servidor de federação à lista de controle de acesso (ACL) para as URLs de ponto de extremidade relacionadas. Por exemplo, se o número da porta for 1234 e a conta de utilizador utilizada para executar o serviço proxy de federação do servidor AD FS for a conta interna do Serviço de Rede, escreva o seguinte comando numa linha de comandos:

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"

netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"

    Os comandos anteriores devem ser executados tanto no servidor de federação como nos computadores proxy do servidor de federação.

Referências adicionais

Lista de verificação: Configurando um proxy do servidor de federação