Поделиться через

Управление и настройка AD FS с помощью Microsoft Entra Connect

  • Статья

В этой статье описывается управление и настройка службы федерации Active Directory (AD FS) (AD FS) с помощью Microsoft Entra Connect.

Вы также узнаете о других распространенных задачах AD FS, которые может потребоваться выполнить для полной настройки фермы AD FS. Эти задачи перечислены в следующей таблице:

Задача Description
Управление AD FS
Восстановление доверия Узнайте, как восстановить доверие федерации с помощью Microsoft 365.
Федеративное использование идентификатора Microsoft Entra с помощью альтернативного идентификатора входа Узнайте, как настроить федерацию с помощью альтернативного идентификатора входа.
Добавление сервера AD FS Узнайте, как развернуть ферму AD FS с дополнительным сервером AD FS.
Добавление сервера прокси-сервера веб-приложения AD FS (WAP) Узнайте, как развернуть ферму AD FS с дополнительным сервером WAP.
Добавление федеративного домена Узнайте, как добавить федеративный домен.
Обновление TLS/SSL-сертификата Узнайте, как обновить TLS/SSL-сертификат для фермы AD FS.
Настройка AD FS
Добавление настраиваемого логотипа компании или иллюстрации Узнайте, как настроить страницу входа AD FS с логотипом компании и иллюстрацией.
Добавление описания входа в систему Узнайте, как добавить описание страницы входа.
Изменение правил утверждений служб федерации Active Directory Узнайте, как изменить утверждения AD FS для различных сценариев федерации.

Управление AD FS

Вы можете выполнять различные задачи, связанные с AD FS, в Microsoft Entra Connect с минимальным вмешательством пользователей с помощью мастера Microsoft Entra Connect. После завершения установки Microsoft Entra Connect с помощью мастера его можно запустить еще раз, чтобы выполнить другие задачи.

Восстановление доверия

Вы можете использовать Microsoft Entra Connect для проверки текущей работоспособности доверия AD FS и идентификатора Microsoft Entra ID, а затем предпринять соответствующие действия для восстановления доверия. Чтобы восстановить идентификатор Microsoft Entra и доверие AD FS, сделайте следующее:

  1. Выберите " Восстановить идентификатор Microsoft Entra" и ADFS Trust из списка задач.

    Снимок экрана: страница

  2. На странице "Подключение к идентификатору Microsoft Entra ID" укажите учетные данные администратора гибридных удостоверений для идентификатора Microsoft Entra, а затем нажмите кнопку "Далее".

    Снимок экрана: страница

  3. На странице Учетные данные для удаленного доступа введите учетные данные администратора домена.

    Снимок экрана: страница

  4. Выберите Далее.

    Microsoft Entra Connect проверяет работоспособности сертификата и отображает все проблемы.

    Снимок экрана: страница

    На странице Готово к настройке отобразится список действий, которые будут выполнены для восстановления доверия.

    Снимок экрана: страница

  5. Выберите " Установить" , чтобы восстановить доверие.

Примечание.

Microsoft Entra Connect может восстанавливать или действовать только на самозаверяющих сертификатах. Microsoft Entra Connect не может восстановить сторонние сертификаты.

Федеративное использование идентификатора Microsoft Entra с помощью альтернативного идентификатора

Рекомендуется сохранить локальное имя субъекта-пользователя (UPN) и имя субъекта-пользователя облака . Если локальное имя участника-пользователя использует неизменяемый домен (например, Contoso.local) или не может быть изменен из-за зависимостей локального приложения, рекомендуется настроить альтернативный идентификатор входа. Используя альтернативный идентификатор входа, вы можете настроить интерфейс входа, в котором пользователи могут войти с атрибутом, отличным от имени участника-пользователя, например адреса электронной почты.

Выбор имени участника-пользователя в Microsoft Entra Connect по умолчанию использует атрибут userPrincipalName в Active Directory. Если выбрать любой другой атрибут для имени участника-пользователя и объединиться с помощью AD FS, Microsoft Entra Connect настраивает AD FS для альтернативного идентификатора входа.

Пример выбора другого атрибута для имени участника-участника-участника показан на следующем рисунке:

Снимок экрана: страница

Настройка альтернативного идентификатора входа для AD FS состоит из двух основных этапов:

  1. Настройте правильный набор утверждений выдачи: правила утверждения выдачи в доверии проверяющей стороны Microsoft Entra ID изменяются, чтобы использовать выбранный атрибут UserPrincipalName в качестве альтернативного идентификатора пользователя.

  2. Включите альтернативный идентификатор входа в конфигурацию AD FS: конфигурация AD FS обновляется, чтобы AD FS мог искать пользователей в соответствующих лесах с помощью альтернативного идентификатора. Эта конфигурация поддерживается для службы AD FS, работающей под управлением Windows Server 2012 R2 (с обновлением KB2919355) и более поздних версий. Если серверы AD FS имеют значение 2012 R2, Microsoft Entra Connect проверяет наличие требуемой базы знаний. Если база знаний не обнаружена, появится предупреждение после завершения настройки, как показано на следующем рисунке:

    Снимок экрана: страница

    Если отсутствует база знаний, можно устранить эту конфигурацию, установив необходимые KB2919355. Затем можно выполнить инструкции по восстановлению доверия.

Примечание.

Дополнительные сведения о альтернативном идентификаторе и шагах по настройке вручную см. в разделе "Настройка альтернативного идентификатора входа".

Добавление сервера AD FS

Примечание.

Чтобы добавить сервер AD FS, Microsoft Entra Connect требуется сертификат PFX. Поэтому эту операцию можно выполнить только в том случае, если ферма AD FS настроена с помощью Microsoft Entra Connect.

  1. Выберите "Развернуть дополнительный сервер федерации" и нажмите кнопку "Далее".

    Снимок экрана: область

  2. На странице "Подключение к идентификатору Microsoft Entra ID" введите учетные данные администратора гибридных удостоверений для идентификатора Microsoft Entra, а затем нажмите кнопку "Далее".

    Снимок экрана: страница

  3. Введите учетные данные администратора домена.

    Снимок экрана: страница

  4. Microsoft Entra Connect запрашивает пароль PFX-файла, предоставленного при настройке новой фермы AD FS с помощью Microsoft Entra Connect. Выберите ввод пароля, чтобы указать пароль для PFX-файла.

    Снимок экрана: страница

    Снимок экрана: страница

  5. На странице Серверы AD FS введите имя сервера или IP-адрес, который нужно добавить к ферме AD FS.

    Снимок экрана: страница

  6. Нажмите кнопку "Далее", а затем перейдите на окончательную страницу "Настройка ".

    После того как Microsoft Entra Connect завершит добавление серверов в ферму AD FS, вы получите возможность проверить подключение.

    Снимок экрана: страница

    Снимок экрана: страница

Добавление WAP-сервера AD FS

Примечание.

Чтобы добавить прокси-сервер веб-приложения, Microsoft Entra Connect требует сертификата PFX. Поэтому эту операцию можно выполнить только после настройки фермы AD FS с помощью Microsoft Entra Connect.

  1. Выберите пункт Развертывание прокси-службы веб-приложения в списке доступных задач.

    Развертывание прокси-службы веб-приложения

  2. Укажите учетные данные администратора гибридных удостоверений Azure.

    Снимок экрана: страница

  3. На странице "Указание SSL-сертификата" укажите пароль для PFX-файла, предоставленного при настройке фермы AD FS с помощью Microsoft Entra Connect. Пароль сертификата

    Указание сертификата TLS/SSL

  4. Добавьте сервер в качестве WAP-сервера. Так как WAP-сервер может быть не присоединен к домену, мастер запросит учетные данные администратора для добавляемого сервера.

    Учетные данные администратора сервера

  5. На странице Учетные данные доверия прокси-сервера введите учетные данные администратора, чтобы настроить доверие прокси-сервера и доступ к основному серверу в ферме AD FS.

    Учетные данные доверия прокси-сервера

  6. В мастере на странице Готово к настройке отображается список действий, которые будут выполнены.

    Снимок экрана: страница

  7. Нажмите кнопку "Установить" , чтобы завершить настройку. По завершении настройки мастер предоставляет возможность проверить подключение к серверам. Нажмите кнопку "Проверить, чтобы проверить подключение".

    Установка завершена

Добавление федеративного домена

Легко добавить домен для федерации с идентификатором Microsoft Entra с помощью Microsoft Entra Connect. Microsoft Entra Connect добавляет домен для федерации и изменяет правила утверждений, чтобы правильно отразить издателя при наличии нескольких доменов, федеративных с идентификатором Microsoft Entra.

  1. Чтобы добавить федеративный домен, выберите "Добавить дополнительный домен Microsoft Entra".

    Снимок экрана: область

  2. На следующей странице мастера укажите учетные данные гибридного администратора для идентификатора Microsoft Entra.

    Снимок экрана: область

  3. На странице Учетные данные для удаленного доступа введите учетные данные администратора домена.

    Снимок экрана: область

  4. На следующей странице мастер предоставляет список доменов Microsoft Entra, с которыми можно настроить федерацию локального каталога. Выберите домен из списка.

    Снимок экрана: область

    После выбора домена мастер сообщает вам о дальнейших действиях, которые будут приниматься и влиять на конфигурацию. В некоторых случаях при выборе домена, который еще не проверен в идентификаторе Microsoft Entra, мастер помогает проверить домен. Дополнительные сведения см. в разделе "Добавление имени личного домена" в идентификатор Microsoft Entra.

  5. Выберите Далее.

    На странице "Готово к настройке " перечислены действия, выполняемые Microsoft Entra Connect.

    Снимок экрана: область

  6. Нажмите кнопку "Установить" , чтобы завершить настройку.

Примечание.

Пользователи в добавленном федеративном домене должны быть синхронизированы, прежде чем они смогут войти в идентификатор Microsoft Entra.

Настройка AD FS

В следующих разделах содержатся сведения о некоторых распространенных задачах, которые могут потребоваться выполнить для настройки страницы входа AD FS.

Чтобы изменить логотип компании, отображаемой на странице входа , используйте следующий командлет PowerShell и синтаксис.

Примечание.

Рекомендуемые размеры логотипа — 260 x 35, 96 точек на дюйм. Размер файла не должен превышать 10 КБ.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Примечание.

Параметр TargetName является обязательным. Стандартная тема для AD FS называется темой по умолчанию.

Добавление описания входа в систему

Чтобы добавить описание страницы входа на страницу входа, используйте следующий командлет и синтаксис PowerShell.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Изменение правил утверждений служб федерации Active Directory

Службы AD FS поддерживают обширный язык утверждений, с помощью которого можно создавать настраиваемые правила утверждений. Дополнительные сведения см. в разделе Роль языка правил утверждений.

В следующих разделах описывается, как создавать пользовательские правила для некоторых сценариев, связанных с идентификатором Microsoft Entra ID и федерацией AD FS.

Неизменяемый идентификатор, зависящий от наличия значения в атрибуте

Microsoft Entra Connect позволяет указать атрибут, который будет использоваться в качестве исходной привязки при синхронизации объектов с идентификатором Microsoft Entra. Если значение в пользовательском атрибуте не пусто, может потребоваться выдать неизменяемое утверждение идентификатора.

Например, можно выбрать ms-ds-consistencyguid в качестве атрибута для исходной привязки и выдачи ImmutableID , так как ms-ds-consistencyguid в случае, если атрибут имеет значение для него. Если атрибут не имеет значения, проблема objectGuid в качестве неизменяемого идентификатора. Можно создать набор пользовательских правил утверждения, как описано ниже.

Правило 1. Атрибуты запросов

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

В этом правиле вы запрашиваете значения и objectGuid значения ms-ds-consistencyguid пользователя из Active Directory. Измените имя хранилища на имя соответствующего хранилища в развертывании AD FS. Также измените тип утверждений на правильный тип утверждений для вашей федерации, как определено для objectGuid и ms-ds-consistencyguid.

Кроме того, используя add и не issueдобавляя исходящую проблему для сущности, и можно использовать значения в качестве промежуточных значений. Вы будете выдавать утверждение в последующем правиле после установления значения, которое будет использоваться в качестве неизменяемого идентификатора.

Правило 2. Проверьте, существует ли для пользователя ms-ds-consistencyguid

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Это правило определяет временный флаг idflag , который имеет значение, useguid если для пользователя нет ms-ds-consistencyguid заполнения. Логика этого заключается в том, что AD FS не разрешает пустые утверждения. При добавлении утверждений http://contoso.com/ws/2016/02/identity/claims/objectguid и http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid правиле 1 в конечном итоге с утверждением msdsconsististguid только в том случае, если значение заполняется для пользователя. Если оно не заполнено, службы AD FS определяют, что значение окажется пустым, и немедленно его опускают. Все объекты будут иметь, objectGuidчтобы утверждение всегда было там после выполнения правила 1.

Правило 3. Выдача ms-ds-consistencyguid в качестве неизменяемого идентификатора, если он присутствует

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Это неявная Exist проверка. Если значение утверждения существует, означите его как неизменяемый идентификатор. В предыдущем примере используется nameidentifier утверждение. Его потребуется заменить соответствующим типом утверждения для неизменяемого идентификатора в конкретной среде.

Правило 4. Проблема objectGuid в качестве неизменяемого идентификатора, если ms-ds-consistencyGuid не присутствует

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

С помощью этого правила вы просто проверяете временный флаг idflag. На основе его значения определяется, следует ли выдавать утверждение.

Примечание.

Последовательность этих правил важна.

Единый вход с помощью UPN поддомена

Вы можете добавить несколько доменов для федерации с помощью Microsoft Entra Connect, как описано в разделе "Добавление нового федеративного домена". Microsoft Entra Connect версии 1.1.553.0 и более поздних версий автоматически создайте правильное правило issuerID утверждения. Если вы не можете использовать Microsoft Entra Connect версии 1.1.553.0 или более поздней версии, рекомендуется использовать средство правил утверждений Microsoft Entra RPT для создания и задания правильных правил утверждений для доверия проверяющей стороны Microsoft Entra ID.

Следующие шаги

См. дополнительные сведения о параметрах входа пользователя.