Управление и настройка AD FS с помощью Microsoft Entra Подключение

  • Статья

В этой статье описывается, как управлять и настраивать службы федерации Active Directory (AD FS) (AD FS) с помощью Microsoft Entra Подключение.

Вы также узнаете о других распространенных задачах AD FS, которые может потребоваться выполнить для полной настройки фермы AD FS. Эти задачи перечислены в следующей таблице:

Задача Description
Управление AD FS
Восстановление доверия Узнайте, как восстановить доверие федерации с помощью Microsoft 365.
Федеративное использование идентификатора Microsoft Entra с помощью альтернативного идентификатора входа Узнайте, как настроить федерацию с помощью альтернативного идентификатора входа.
Добавление сервера AD FS Узнайте, как развернуть ферму AD FS с дополнительным сервером AD FS.
Добавление сервера прокси-сервера веб-приложения AD FS (WAP) Узнайте, как развернуть ферму AD FS с дополнительным сервером WAP.
Добавление федеративного домена Узнайте, как добавить федеративный домен.
Обновление TLS/SSL-сертификата Узнайте, как обновить TLS/SSL-сертификат для фермы AD FS.
Настройка AD FS
Добавление настраиваемого логотипа компании или иллюстрации Узнайте, как настроить страницу входа AD FS с логотипом компании и иллюстрацией.
Добавление описания входа в систему Узнайте, как добавить описание страницы входа.
Изменение правил утверждений служб федерации Active Directory Узнайте, как изменить утверждения AD FS для различных сценариев федерации.

Управление AD FS

Вы можете выполнять различные задачи, связанные с AD FS, в Microsoft Entra Подключение с минимальным вмешательством пользователей с помощью мастера Microsoft Entra Подключение. После завершения установки Microsoft Entra Подключение, запустив мастер, его можно запустить еще раз, чтобы выполнить другие задачи.

Восстановление доверия

Вы можете использовать Microsoft Entra Подключение для проверка текущей работоспособности доверия AD FS и идентификатора Microsoft Entra ID, а затем выполнить соответствующие действия для восстановления доверия. Чтобы восстановить идентификатор Microsoft Entra и доверие AD FS, сделайте следующее:

  1. Выберите " Восстановить идентификатор Microsoft Entra" и ADFS Trust из списка задач.

    Screenshot of the

  2. На странице Подключение идентификатора Microsoft Entra укажите учетные данные гибридного удостоверения Администратор istrator для идентификатора Microsoft Entra, а затем нажмите кнопку "Далее".

    Screenshot that shows the

  3. На странице Учетные данные для удаленного доступа введите учетные данные администратора домена.

    Screenshot that shows the

  4. Выберите Далее.

    Microsoft Entra Подключение проверка для работоспособности сертификатов и отображает все проблемы.

    Screenshot of the

    На странице Готово к настройке отобразится список действий, которые будут выполнены для восстановления доверия.

    Screenshot that shows the

  5. Выберите " Установить" , чтобы восстановить доверие.

Примечание.

Microsoft Entra Подключение может восстанавливать или действовать только на самозаверяющих сертификатах. Microsoft Entra Подключение не может восстановить сторонние сертификаты.

Федеративное использование идентификатора Microsoft Entra с помощью альтернативного идентификатора

Рекомендуется сохранить локальное имя субъекта-пользователя (UPN) и имя субъекта-пользователя облака . Если локальное имя участника-пользователя использует неизменяемый домен (например, Contoso.local) или не может быть изменен из-за зависимостей локального приложения, рекомендуется настроить альтернативный идентификатор входа. Используя альтернативный идентификатор входа, вы можете настроить интерфейс входа, в котором пользователи могут войти с атрибутом, отличным от имени участника-пользователя, например адреса электронной почты.

Выбор имени участника-пользователя в Microsoft Entra Подключение по умолчанию атрибуту userPrincipalName в Active Directory. Если вы выбираете любой другой атрибут для имени участника-пользователя и федеративны с помощью AD FS, Microsoft Entra Подключение настраивает AD FS для альтернативного идентификатора входа.

Пример выбора другого атрибута для имени участника-участника-участника показан на следующем рисунке:

Screenshot that shows the

Настройка альтернативного идентификатора входа для AD FS состоит из двух основных этапов:

  1. Настройте правильный набор утверждений выдачи: правила утверждения выдачи в доверии проверяющей стороны Microsoft Entra ID изменяются, чтобы использовать выбранный атрибут UserPrincipalName в качестве альтернативного идентификатора пользователя.

  2. Включите альтернативный идентификатор входа в конфигурацию AD FS: конфигурация AD FS обновляется, чтобы AD FS мог искать пользователей в соответствующих лесах с помощью альтернативного идентификатора. Эта конфигурация поддерживается для службы AD FS, работающей под управлением Windows Server 2012 R2 (с обновлением KB2919355) и более поздних версий. Если серверы AD FS имеют значение 2012 R2, Microsoft Entra Подключение проверка для наличия необходимых КБ. Если КБ не обнаружено, появится предупреждение после завершения настройки, как показано на следующем рисунке:

    Screenshot of the

    Если отсутствует КБ, можно устранить конфигурацию, установив необходимые КБ2919355. Затем можно выполнить инструкции по восстановлению доверия.

Примечание.

Дополнительные сведения о альтернативном идентификаторе и шагах по настройке вручную см. в разделе "Настройка альтернативного идентификатора входа".

Добавление сервера AD FS

Примечание.

Чтобы добавить сервер AD FS, Microsoft Entra Подключение требуется сертификат PFX. Поэтому эту операцию можно выполнить только в том случае, если ферма AD FS настроена с помощью Microsoft Entra Подключение.

  1. Выберите "Развернуть дополнительный сервер федерации" и нажмите кнопку "Далее".

    Screenshot of the

  2. На странице Подключение идентификатора Microsoft Entra введите учетные данные гибридного удостоверения Администратор istrator для идентификатора Microsoft Entra, а затем нажмите кнопку "Далее".

    Screenshot that shows the

  3. Введите учетные данные администратора домена.

    Screenshot that shows the

  4. Microsoft Entra Подключение запрашивает пароль PFX-файла, предоставленного при настройке новой фермы AD FS с помощью Microsoft Entra Подключение. Выберите ввод пароля, чтобы указать пароль для PFX-файла.

    Screenshot of the

    Screenshot that shows the

  5. На странице Серверы AD FS введите имя сервера или IP-адрес, который нужно добавить к ферме AD FS.

    Screenshot that shows the

  6. Нажмите кнопку "Далее", а затем перейдите на окончательную страницу "Настройка ".

    После того как microsoft Entra Подключение завершит добавление серверов в ферму AD FS, вы получите возможность проверить подключение.

    Screenshot that shows the

    Screenshot that shows the

Добавление WAP-сервера AD FS

Примечание.

Чтобы добавить прокси-сервер веб-приложения, Microsoft Entra Подключение требуется сертификат PFX. Поэтому эту операцию можно выполнить только после настройки фермы AD FS с помощью Microsoft Entra Подключение.

  1. Выберите пункт Развертывание прокси-службы веб-приложения в списке доступных задач.

    Deploy Web Application Proxy

  2. Укажите учетные данные гибридного удостоверения Azure Администратор istrator.

    Screenshot that shows the

  3. На странице "Указание SSL-сертификата" укажите пароль для PFX-файла, предоставленного при настройке фермы AD FS с помощью Microsoft Entra Подключение. Certificate password

    Specify TLS/SSL certificate

  4. Добавьте сервер в качестве WAP-сервера. Так как WAP-сервер может быть не присоединен к домену, мастер запросит учетные данные администратора для добавляемого сервера.

    Administrative server credentials

  5. На странице Учетные данные доверия прокси-сервера введите учетные данные администратора, чтобы настроить доверие прокси-сервера и доступ к основному серверу в ферме AD FS.

    Proxy trust credentials

  6. В мастере на странице Готово к настройке отображается список действий, которые будут выполнены.

    Screenshot that shows the

  7. Нажмите кнопку "Установить" , чтобы завершить настройку. По завершении настройки мастер предоставляет возможность проверить подключение к серверам. Выберите "Проверить" для проверка подключения.

    Installation complete

Добавление федеративного домена

Легко добавить домен для федерации с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение. Microsoft Entra Подключение добавляет домен для федерации и изменяет правила утверждений, чтобы правильно отразить издателя при наличии нескольких доменов, федеративных с идентификатором Microsoft Entra.

  1. Чтобы добавить федеративный домен, выберите "Добавить дополнительный домен Microsoft Entra".

    Screenshot of the

  2. На следующей странице мастера укажите учетные данные глобального администратора для идентификатора Microsoft Entra.

    Screenshot that shows the

  3. На странице Учетные данные для удаленного доступа введите учетные данные администратора домена.

    Screenshot showing the

  4. На следующей странице мастер предоставляет список доменов Microsoft Entra, с которыми можно настроить федерацию локального каталога. Выберите домен из списка.

    Screenshot of the

    После выбора домена мастер сообщает вам о дальнейших действиях, которые будут приниматься и влиять на конфигурацию. В некоторых случаях при выборе домена, который еще не проверен в идентификаторе Microsoft Entra, мастер помогает проверить домен. Дополнительные сведения см. в разделе "Добавление имени личного домена" в идентификатор Microsoft Entra.

  5. Выберите Далее.

    На странице "Готово к настройке" перечислены действия, которые будут выполняться Подключение Microsoft Entra.

    Screenshot of the

  6. Нажмите кнопку "Установить" , чтобы завершить настройку.

Примечание.

Пользователи в добавленном федеративном домене должны быть синхронизированы, прежде чем они смогут войти в идентификатор Microsoft Entra.

Настройка AD FS

В следующих разделах содержатся сведения о некоторых распространенных задачах, которые могут потребоваться выполнить для настройки страницы входа AD FS.

Чтобы изменить логотип компании, отображаемой на странице входа , используйте следующий командлет PowerShell и синтаксис.

Примечание.

Рекомендуемые размеры логотипа — 260 x 35, 96 точек на дюйм. Размер файла не должен превышать 10 КБ.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Примечание.

Параметр TargetName является обязательным. Стандартная тема для AD FS называется темой по умолчанию.

Добавление описания входа в систему

Чтобы добавить описание страницы входа на страницу входа, используйте следующий командлет и синтаксис PowerShell.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Изменение правил утверждений служб федерации Active Directory

Службы AD FS поддерживают обширный язык утверждений, с помощью которого можно создавать настраиваемые правила утверждений. Дополнительные сведения см. в разделе Роль языка правил утверждений.

В следующих разделах описывается, как создавать пользовательские правила для некоторых сценариев, связанных с идентификатором Microsoft Entra ID и федерацией AD FS.

Неизменяемый идентификатор, зависящий от наличия значения в атрибуте

Microsoft Entra Подключение позволяет указать атрибут, который будет использоваться в качестве исходной привязки при синхронизации объектов с идентификатором Microsoft Entra. Если значение в пользовательском атрибуте не пусто, может потребоваться выдать неизменяемое утверждение идентификатора.

Например, можно выбрать ms-ds-consistencyguid в качестве атрибута для исходной привязки и выдачи ImmutableID , так как ms-ds-consistencyguid в случае, если атрибут имеет значение для него. Если атрибут не имеет значения, проблема objectGuid в качестве неизменяемого идентификатора. Можно создать набор пользовательских правил утверждения, как описано ниже.

Правило 1. Атрибуты запросов

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

В этом правиле вы запрашиваете значения и objectGuid значения ms-ds-consistencyguid пользователя из Active Directory. Измените имя хранилища на имя соответствующего хранилища в развертывании AD FS. Также измените тип утверждений на правильный тип утверждений для вашей федерации, как определено для objectGuid и ms-ds-consistencyguid.

Кроме того, используя add и не issueдобавляя исходящую проблему для сущности, и можно использовать значения в качестве промежуточных значений. Вы будете выдавать утверждение в последующем правиле после установления значения, которое будет использоваться в качестве неизменяемого идентификатора.

Правило 2. Проверьте, существует ли для пользователя ms-ds-consistencyguid

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Это правило определяет временный флаг idflag , который имеет значение, useguid если для пользователя нет ms-ds-consistencyguid заполнения. Логика этого заключается в том, что AD FS не разрешает пустые утверждения. При добавлении утверждений http://contoso.com/ws/2016/02/identity/claims/objectguid и http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid правиле 1 в конечном итоге с утверждением msdsconsististguid только в том случае, если значение заполняется для пользователя. Если оно не заполнено, службы AD FS определяют, что значение окажется пустым, и немедленно его опускают. Все объекты будут иметь, objectGuidчтобы утверждение всегда было там после выполнения правила 1.

Правило 3. Выдача ms-ds-consistencyguid в качестве неизменяемого идентификатора, если он присутствует

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Это неявная Exist проверка. Если значение утверждения существует, означите его как неизменяемый идентификатор. В предыдущем примере используется nameidentifier утверждение. Его потребуется заменить соответствующим типом утверждения для неизменяемого идентификатора в конкретной среде.

Правило 4. Проблема objectGuid в качестве неизменяемого идентификатора, если ms-ds-consistencyGuid не присутствует

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

В этом правиле вы просто проверка временной флагidflag. На основе его значения определяется, следует ли выдавать утверждение.

Примечание.

Последовательность этих правил важна.

Единый вход с помощью UPN поддомена

Вы можете добавить несколько доменов для федерации с помощью Microsoft Entra Подключение, как описано в разделе "Добавление нового федеративного домена". Microsoft Entra Подключение версии 1.1.553.0 и более поздних версий автоматически создайте правильное правило issuerID утверждения. Если вы не можете использовать Microsoft Entra Подключение версии 1.1.553.0 или более поздней, рекомендуется использовать средство правил утверждений Microsoft Entra RPT для создания и задания правильных правил утверждений для доверия проверяющей стороны Microsoft Entra ID.

Следующие шаги

См. дополнительные сведения о параметрах входа пользователя.