Управление доверием AD FS с помощью идентификатора Microsoft Entra с помощью Microsoft Entra Подключение
Обзор
При федеративной локальной среде с идентификатором Microsoft Entra id устанавливается отношение доверия между локальным поставщиком удостоверений и идентификатором Microsoft Entra. Microsoft Entra Подключение может управлять федерацией между службой федерации локальная служба Active Directory (AD FS) и идентификатором Microsoft Entra. В статье представлен обзор следующих аспектов:
- Различные параметры, настроенные для доверия microsoft Entra Подключение.
- Правила преобразования выдачи (правила утверждений), заданные Microsoft Entra Подключение.
- Выполнение резервного копирования и восстановление правил утверждения между обновлениями версии и обновлениями конфигурации.
- Рекомендации по защите и мониторингу доверия AD FS с помощью идентификатора Microsoft Entra.
Параметры, контролируемые Microsoft Entra Подключение
Microsoft Entra Подключение управляет только параметрами, связанными с доверием идентификатора Microsoft Entra. Microsoft Entra Подключение не изменяет параметры доверия других проверяющих сторон в AD FS. В следующей таблице указаны параметры, контролируемые microsoft Entra Подключение.
| Параметр | Description |
|---|---|
| Сертификат для подписи маркера | Microsoft Entra Подключение можно использовать для сброса и повторного создания доверия с идентификатором Microsoft Entra. Microsoft Entra Подключение выполняет однократную смену сертификатов подписи маркеров для AD FS и обновляет параметры федерации домена Microsoft Entra. |
| Алгоритм для подписи маркеров | Корпорация Майкрософт рекомендует использовать SHA-256 как алгоритм для подписи маркеров. Microsoft Entra Подключение может определить, задан ли алгоритм подписи маркеров значение менее безопасно, чем SHA-256. Служба обновит параметр до значения SHA-256 в следующей возможной операции настройки. Для использования нового сертификата для подписи маркера необходимо обновить доверие другой проверяющей стороны. |
| Идентификатор доверия идентификатора Microsoft Entra | Microsoft Entra Подключение задает правильное значение идентификатора для доверия идентификатора Microsoft Entra ID. AD FS однозначно идентифицирует доверие идентификатора Microsoft Entra с помощью значения идентификатора. |
| Конечные точки Microsoft Entra | Microsoft Entra Подключение гарантирует, что конечные точки, настроенные для доверия идентификатора Microsoft Entra, всегда совпадают с последними рекомендуемыми значениями устойчивости и производительности. |
| Правила преобразования выдачи | Существует количество правил утверждений, необходимых для оптимальной производительности функций идентификатора Microsoft Entra в федеративном параметре. Microsoft Entra Подключение гарантирует, что доверие идентификатора Microsoft Entra всегда настроено с правильным набором рекомендуемых правил утверждений. |
| Альтернативный идентификатор | Если синхронизация настроена для использования альтернативного идентификатора, Microsoft Entra Подключение настраивает AD FS для проверки подлинности с помощью альтернативного идентификатора. |
| Автоматическое обновление метаданных | Доверие с идентификатором Microsoft Entra настроено для автоматического обновления метаданных. AD FS периодически проверка метаданные доверия идентификатора Microsoft Entra ID и сохраняет его актуально, если он изменяется на стороне идентификатора Microsoft Entra. |
| Встроенная проверка подлинности Windows (IWA) | Во время операции гибридного соединения Microsoft Entra IWA включена для регистрации устройств, чтобы упростить гибридное присоединение Microsoft Entra для устройств нижнего уровня |
Потоки выполнения и параметры федерации, настроенные microsoft Entra Подключение
Microsoft Entra Подключение не обновляет все параметры доверия идентификатора Microsoft Entra во время потоков конфигурации. Измененные параметры зависят от того, какая задача или поток выполняется. В следующей таблице перечислены параметры, задействованные в различных потоках выполнения.
| Поток выполнения | Затронутые параметры |
|---|---|
| Установка первого цикла (экспресс) | нет |
| Установка первого цикла (новая ферма AD FS) | Создается новая ферма AD FS, и с нуля создается доверие с идентификатором Microsoft Entra. |
| Сначала передайте установку (существующую ферму AD FS, существующее доверие идентификатора Microsoft Entra ID) | Идентификатор доверия Идентификатора Microsoft Entra, правила преобразования выдачи, конечные точки Microsoft Entra, альтернативный идентификатор (при необходимости), автоматическое обновление метаданных |
| Сброс доверия идентификатора Microsoft Entra | Сертификат подписи маркера, алгоритм подписывания токенов, идентификатор доверия Microsoft Entra ID, правила преобразования выдачи, конечные точки Microsoft Entra, альтернативный идентификатор (при необходимости), автоматическое обновление метаданных |
| Добавление сервера федерации | нет |
| Добавление WAP-сервера | нет |
| Параметры устройства | Правила преобразования выдачи, IWA для регистрации устройств |
| Добавление федеративного домена | Если домен добавляется впервые, то есть настройка изменяется с одной федерации домена на федерацию с несколькими доменами— Microsoft Entra Подключение повторно создаст доверие с нуля. Если доверие с идентификатором Microsoft Entra уже настроено для нескольких доменов, изменяются только правила преобразования выдачи. |
| Обновление TLS | нет |
Во время всех операций, в которых изменяется любой параметр, Microsoft Entra Подключение создает резервную копию текущих параметров доверия по адресу %ProgramData%\AAD Подключение\ADFS
Примечание.
До выпуска версии 1.1.873.0 резервная копия состояла только из правил преобразования выдачи и находилась в файле журнала трассировки мастера.
Правила преобразования выдачи, заданные Microsoft Entra Подключение
Microsoft Entra Подключение гарантирует, что доверие идентификатора Microsoft Entra всегда настроено с правильным набором рекомендуемых правил утверждений. Корпорация Майкрософт рекомендует использовать Microsoft Entra Подключение для управления доверием идентификатора Microsoft Entra. В этом разделе перечислен набор правил преобразования выдачи и приводится их описание.
| Имя правила | Description |
|---|---|
| Выдача имени участника-пользователя | Это правило запрашивает значение userprincipalname из атрибута, настроенного в параметрах синхронизации для userprincipalname. |
| Запрос objectguid и msdsconsistencyguid для настраиваемого утверждения ImmutableId | Это правило добавляет временное значение в конвейер для значений objectguid и msdsconsistencyguid, если они есть |
| Проверка наличия msdsconsistencyguid | В зависимости от того, есть ли значение для msdsconsistencyguid, мы устанавливаем временный флаг для указания того, что использовать как ImmutableId |
| Выдача msdsconsistencyguid как неизменяемого идентификатора при его наличии | Выдача msdsconsistencyguid как ImmutableId при наличии значения |
| Выдача objectGuidRule, если правила msdsConsistencyGuid не существует | Если значения msdsconsistencyguid нет, значение objectguid будет выдано как ImmutableId |
| Выдача nameidentifier | Это правило выдает значение для утверждения nameidentifier. |
| Выдача accounttype для компьютеров, присоединенных к домену | Если сущность, проходящая проверку подлинности, является подключенным к домену устройством, это правило выдает тип учетной записи как DJ, означающий подключенное к домену устройство |
| Выдача AccountType со значением USER, если это не учетная запись компьютера | Если сущность, проходящая проверку подлинности, является пользователем, это правило выдает тип учетной записи как "Пользователь" |
| Выдача issuerid, если это не учетная запись компьютера | Это правило выдает значение issuerId, если сущность, проходящая проверку подлинности, не является устройством. Значение создается с помощью регулярного выражения, который настраивается microsoft Entra Подключение. Регрессия создается после учета всех доменов, федеративных с помощью Microsoft Entra Подключение. |
| Выдача issuerid для проверки подлинности компьютера DJ | Это правило выдает значение issuerId, если сущность, проходящая проверку подлинности, является устройством |
| Выдача onpremobjectguid для компьютеров, присоединенных к домену | Если сущность, проходящая проверку подлинности, является подключенным к домену устройством, это правило выдает для устройства локальный идентификатор objectguid |
| Проверка с помощью основного идентификатора безопасности | Это правило выдает основной идентификатор безопасности сущности, проходящей проверку подлинности |
| Проверка с помощью утверждения insideCorporateNetwork | Это правило выдает утверждение, которое помогает идентификатору Microsoft Entra id знать, происходит ли проверка подлинности из корпоративной сети или извне |
| Проверка с помощью утверждения Psso | |
| Выдача утверждений в отношении истечения срока действия пароля | Это правило выдает три утверждения для времени истечения срока действия пароля, количества дней до истечения срока действия пароля сущности, проходящей проверку подлинности, и URL-адреса, который следует использовать, чтобы изменить пароль. |
| Проверка с помощью утверждения authnmethodsreferences | Значение в утверждении, выданном в соответствии с этим правилом, указывает, какой тип проверки подлинности был выполнен для сущности |
| Проверка с помощью утверждения multifactorauthenticationinstant | Значение этого утверждения указывает время в формате UTC, когда пользователь в последний раз выполнял многофакторную проверку подлинности. |
| Проверка с помощью утверждения AlternateLoginID | Это правило выдает утверждение AlternateLoginID, если проверка подлинности выполнялась с помощью альтернативного имени пользователя. |
Примечание.
Правила утверждений для имени участника-пользователя и неизменяемого идентификатора будут отличаться, если вы используете не по умолчанию выбор во время настройки Microsoft Entra Подключение
Восстановление правил преобразования выдачи
Microsoft Entra Подключение версии 1.1.873.0 или более поздней версии создает резервную копию параметров доверия идентификатора Microsoft Entra ID при каждом обновлении параметров доверия Идентификатора Microsoft Entra. Параметры доверия идентификатора Microsoft Entra резервируются по адресу %ProgramData%\AAD Подключение\ADFS. Имя файла записывается в таком формате: AadTrust-<дата>-<время>.txt, например AadTrust-20180710-150216.txt.
Вы можете восстановить правила преобразования выдачи с помощью шагов ниже.
- Откройте пользовательский интерфейс управления AD FS в диспетчере сервера.
- Откройте свойства доверия идентификатора Microsoft Entra, выбрав AD FS > Trusts > Microsoft Office 365 Identity Platform > Edit Claims Policy
- Щелкните Добавить правило.
- В шаблоне правила утверждений выберите "Отправка утверждений с помощью настраиваемого правила", а затем нажмите кнопку Далее.
- Скопируйте имя правила утверждения из файла резервной копии и вставьте его в поле Claim rule name (Имя правила утверждения).
- Скопируйте правило утверждения из файла резервной копии и вставьте его в текстовое поле Custom rule (Настраиваемое правило), а затем нажмите кнопку Готово.
Примечание.
Убедитесь, что дополнительные правила не конфликтуют с правилами, настроенными microsoft Entra Подключение.
Рекомендации по защите и мониторингу доверия AD FS с помощью идентификатора Microsoft Entra
При федеративном подключении AD FS с идентификатором Microsoft Entra важно, чтобы конфигурация федерации (отношение доверия, настроенное между AD FS и идентификатором Microsoft Entra ID), отслеживалось внимательно, а любые необычные или подозрительные действия фиксируются. Для этого рекомендуется настроить оповещения и получать уведомления при каждом внесении изменений в конфигурацию федерации. Сведения о настройке оповещений см. в статье Мониторинг изменений в конфигурации федерации.
Если вы используете облачную службу Azure MFA для многофакторной проверки подлинности с федеративными пользователями, настоятельно рекомендуется включить дополнительную защиту безопасности. Эта защита безопасности предотвращает обход облачной MFA Azure при федеративном подключении с идентификатором Microsoft Entra. Если включен федеративный домен в клиенте Microsoft Entra, он гарантирует, что плохой субъект не может обойти Azure MFA, имитируя, что многофакторная проверка подлинности уже была выполнена поставщиком удостоверений. Защиту можно включить с помощью нового параметра безопасности federatedIdpMfaBehavior. Дополнительные сведения приведены в Рекомендациях по защите служб федерации Active Directory (AD FS)