Приложение A. Анализ требований AD FS
Чтобы партнеры организации в развертывании службы федерации Active Directory (AD FS) (AD FS) успешно сотрудничали, необходимо сначала убедиться, что ваша корпоративная сетевая инфраструктура настроена для поддержки требований AD FS для учетных записей, разрешения имен и сертификатов. AD FS имеет следующие типы требований:
Совет
Дополнительные ссылки на ресурсы AD FS можно найти в основных понятиях AD FS.
Требования к аппаратному обеспечению
Следующие минимальные и рекомендуемые требования к оборудованию применяются к серверу федерации и прокси-компьютерам сервера федерации.
| Требования к оборудованию | Минимальное значение | Рекомендуемое значение |
|---|---|---|
| Скорость ЦП | Одноядерный, 1 ГГц | четырехъядерный с частотой 2 ГГц |
| ОЗУ | 1 ГБ | 4 ГБ |
| Место на диске | 50 МБ | 100 МБ |
Требования к программному обеспечению
AD FS зависит от функций сервера, встроенных в операционную систему Windows Server® 2012.
Примечание.
Службы ролей службы федерации и прокси-сервера службы федерации не могут сосуществовать на одном и том же компьютере.
Требования к сертификатам
Сертификаты играют ключевую роль в обеспечении безопасности связи между серверами федерации, прокси-серверами федерации, приложениями с поддержкой утверждений и веб-клиентами. Требования к сертификатам варьируются в зависимости от того, идет ли речь о настройке компьютера сервера федерации или прокси-сервера федерации (см. информацию далее в этом разделе).
Сертификаты сервера федерации
В следующей таблице перечислены сертификаты, необходимые серверам федерации.
| Тип сертификата | Description | Что требуется знать до начала развертывания |
|---|---|---|
| Сертификат SSL | Это стандартный SSL-сертификат, используемый для обеспечения безопасности связи между серверами федерации и клиентами. | Этот сертификат должен быть связан с веб-сайтом по умолчанию в службах IIS для сервера федерации или прокси-сервера федерации. Необходимо настроить в IIS привязку для прокси-сервера федерации — только после этого будет работать мастер настройки прокси-сервера федерации. Рекомендация. Поскольку этому сертификату должны доверять клиенты AD FS, используйте сертификат аутентификации сервера, выданный публичным центром сертификации (сторонним), например VeriSign. Совет. Имя субъекта этого сертификата используется, чтобы представлять имя службы федерации для каждого развертываемого экземпляра AD FS. По этой причине имеет смысл выбрать имя субъекта на вновь изданных ЦС сертификатах, наиболее полно отражающее имя компании или организации для партнеров. |
| Сертификат взаимодействия служб | Этот сертификат обеспечивает безопасность сообщений WCF для обеспечения безопасного взаимодействия серверов федерации. | По умолчанию в качестве сертификата взаимодействия служб используется сертификат SSL. Изменить эту настройку можно с помощью консоли управления AD FS. |
| Сертификат подписи токена | Это стандартный сертификат X509, используемый для безопасного подписания всех токенов, издаваемых сервером федерации. | Сертификат подписи токена должен содержать закрытый ключ и быть связанным по цепочке с доверенной корневой папкой службы федерации. По умолчанию AD FS создает самозаверяющий сертификат. Однако впоследствии с учетом потребностей вашей организации эту настройку можно изменить и использовать выданный ЦС сертификат. Изменение настройки осуществляется с помощью оснастки управления AD FS. |
| Сертификат расшифровки токенов | Это стандартный SSL-сертификат, используемый для расшифровки входящих токенов, зашифрованных партнерским сервером федерации. Он также публикуется в метаданных федерации. | По умолчанию AD FS создает самозаверяющий сертификат. Однако впоследствии с учетом потребностей вашей организации эту настройку можно изменить и использовать выданный ЦС сертификат. Изменение настройки осуществляется с помощью оснастки управления AD FS. |
Внимание
Сертификаты, используемые для подписи и расшифровки токенов, играют критически важную роль для стабильности службы федерации. Поскольку потеря или незапланированное удаление любых сертификатов, настроенных для этой цели, может привести к сбоям в работе службы, необходимо создать резервную копию настроенных для этой цели сертификатов.
Дополнительные сведения об используемых серверами федерации сертификатах см. в статье Certificate Requirements for Federation Servers.
Сертификаты прокси-серверов федерации
В следующей таблице перечислены сертификаты, необходимые прокси-серверам федерации.
| Тип сертификата | Description | Что требуется знать до начала развертывания |
|---|---|---|
| Сертификат аутентификации сервера | Это стандартный SSL-сертификат, используемый для обеспечения безопасности связи между прокси-сервером федерации и клиентскими компьютерами в Интернете. | Этот сертификат должен быть связан с веб-сайтом по умолчанию в службах IIS — только после этого можно приступать к работе с мастером конфигурации прокси-сервера федерации AD FS. Рекомендация. Поскольку этому сертификату должны доверять клиенты AD FS, используйте сертификат аутентификации сервера, выданный публичным центром сертификации (сторонним), например VeriSign. Совет. Имя субъекта этого сертификата используется, чтобы представлять имя службы федерации для каждого развертываемого экземпляра AD FS. По этой причине имеет смысл выбрать имя субъекта, наиболее полно отражающее имя компании или организации для партнеров. |
Дополнительные сведения об используемых прокси-серверами федерации сертификатах см. в статье Certificate Requirements for Federation Server Proxies.
Требования к браузерам
Несмотря на то что любой веб-браузер с поддержкой JavaScript можно настроить в качестве клиента AD FS, веб-страницы, предоставляемые по умолчанию, протестированы только для версий Internet Explorer 7.0, 8.0 и 9.0, Mozilla Firefox 3.0 и Safari 3.1 в Windows. Для входа и выхода через браузер необходимо включить JavaScript и файлы cookie.
Группа продуктов AD FS в Корпорации Майкрософт успешно проверила конфигурации браузера и операционной системы в следующей таблице.
| Браузер | Windows 7 | Windows Vista |
|---|---|---|
| Internet Explorer 7.0 | X | X |
| Internet Explorer 8,0 | X | X |
| Internet Explorer 9.0 | X | Не тестировалось |
| FireFox 3.0 | X | X |
| Safari 3.1 | X | X |
Примечание.
AD FS поддерживает 32- и 64-разрядные версии всех указанных в таблице выше браузеров.
Файлы cookie
AD FS создает файлы cookie для отдельных сеансов и сохраняемые файлы cookie, которые необходимо сохранять на клиентских компьютерах для использования функций входа, выхода, единого входа и т. д. Следовательно, необходимо настроить клиентский браузер для приема файлов cookie. Файлы cookie, используемые для аутентификации, всегда представляют собой файлы cookie HTTPS-сеанса, которые записываются для исходного сервера. Если клиентский браузер не настроен для поддержки этих файлов cookie, AD FS не сможет функционировать правильно. Сохраняемые файлы cookie используются для сохранения выбранного пользователем поставщика утверждений. Их можно отключить, воспользовавшись параметром конфигурации в файле конфигурации для страниц входа AD FS.
По соображениям безопасности требуется поддержка TLS/SSL.
Требования к сети
Настройка следующих сетевых служб имеет решающее значение для успешного развертывания AD FS в организации.
Сетевое подключение TCP/IP
Чтобы служба AD FS функционировала, сетевое подключение TCP/IP должно существовать между клиентом; контроллер домена; и компьютеры, на которых размещена служба федерации, прокси-сервер службы федерации (при его использовании) и веб-агент AD FS.
DNS
Основная сетевая служба, которая важна для работы AD FS, отличной от домен Active Directory служб (AD DS), — это система доменных имен (DNS). Если развернута служба DNS, пользователи могут использовать удобные имена компьютеров, которые легко запомнить, для подключения к компьютерам и другим ресурсам в IP-сетях.
Windows Server 2008 использует DNS для разрешения имен вместо разрешения имен NetBIOS в Windows NT 4.0. Для приложений, требующих этого, по-прежнему можно использовать систему WINS. Однако для AD DS и AD FS требуется разрешение DNS-имен.
Процесс настройки DNS для поддержки AD FS зависит от того, зависит ли:
В вашей организации уже существует готовая инфраструктура DNS. В большинстве сценариев DNS уже настроена для всей сети, так что клиенты веб-браузера в корпоративной сети имеют доступ к Интернету. Так как для развертывания AD FS требуется разрешение доступа к Интернету и имен, предполагается, что эта инфраструктура используется для развертывания AD FS.
Планируется добавление федеративного сервера в корпоративную сеть. В целях аутентификации пользователей в корпоративной сети внутренние DNS-серверы в лесу корпоративной сети должны быть настроены для возвращения имени CNAME внутреннего сервера, на котором выполняется служба федерации. Дополнительные сведения см. в разделе Name Resolution Requirements for Federation Servers.
Планируется добавить в сеть периметра федеративный прокси-сервер. Если требуется выполнить проверку подлинности учетных записей пользователей, расположенных в корпоративной сети вашей партнерской организации удостоверений, внутренние DNS-серверы в лесу корпоративной сети должны быть настроены для возврата CNAME внутреннего прокси-сервера федерации. Сведения о настройке DNS для размещения дополнительных прокси-серверов федерации см. в разделе "Требования к разрешению имен" для прокси-серверов федерации.
Система DNS настраивается для тестовой лабораторной среды. Если вы планируете использовать AD FS в тестовой лабораторной среде, где ни один корневой DNS-сервер не является доверенным, вероятно, вам придется настроить DNS-серверы пересылки, чтобы запросы к именам между двумя или более лесами перенаправлялись соответствующим образом. Общие сведения о настройке тестовой среды AD FS см. в пошаговые инструкции и руководства по AD FS.
Требования к хранилищу атрибутов
AD FS требует, чтобы для проверки подлинности пользователей и извлечения утверждений безопасности для этих пользователей использовалось хотя бы одно хранилище атрибутов. Список поддерживаемых AD FS хранилищ атрибутов см. в статье The Role of Attribute Stores руководства по разработке AD FS.
Примечание.
AD FS автоматически создает хранилище атрибутов Active Directory по умолчанию.
Требования к хранилищу атрибутов зависят от того, функционирует ли ваша организация как партнер по учетным записям (где размещены федеративные пользователи) или партнер по ресурсам (где размещено федеративное приложение).
AD DS
Для успешной работы AD FS контроллеры домена в организации партнера учетной записи или партнерской организации ресурсов должны работать под управлением Windows Server 2003 с пакетом обновления 1 (SP1), Windows Server 2003 R2, Windows Server 2008 или Windows Server 2012.
Если AD FS устанавливается и настраивается на объединенном в домен компьютере, хранилище учетных записей пользователей Active Directory для этого домена предоставляется как хранилище атрибутов с возможностью выбора.
Внимание
Так как AD FS требует установки службы IIS (IIS), рекомендуется не устанавливать программное обеспечение AD FS на контроллере домена в рабочей среде для обеспечения безопасности. Однако эта конфигурация поддерживается службой технической поддержки клиентов Майкрософт.
Требования к схеме
AD FS не требует изменений схемы или функциональных изменений в AD DS.
Требования функционального уровня
Для использования большинства функций AD FS не требуются модификации AD FS функционального уровня. Однако для успешной аутентификации клиентских сертификатов (если сертификат явно сопоставлен учетной записи пользователя в AD DS) требуется функциональный уровень домена Windows Server 2008 или выше.
Требования к учетным записям служб
Если создается ферма серверов федерации, необходимо сначала создать специальную доменную учетную запись службы в AD DS, которую сможет использовать служба федерации. Впоследствии можно настроить для использования этой учетной записи каждый сервер федерации на ферме. Дополнительные инструкции по решению этой задачи см. в разделе Manually Configure a Service Account for a Federation Server Farm руководства по развертыванию AD FS.
LDAP
При работе с другими хранилищами атрибутов на базе протокола LDAP необходимо подключаться к серверу LDAP, поддерживающему интегрированную аутентификацию Windows. Строка подключения LDAP должна записываться в формате URL-адреса LDAP в соответствии со стандартом RFC 2255.
SQL Server
Для успешной работы AD FS компьютеры с хранилищем атрибутов язык SQL (SQL) Server должны работать под управлением Microsoft SQL Server 2005 или SQL Server 2008. При работе с хранилищами атрибутов на базе SQL необходимо также настроить строку подключения.
Пользовательские хранилища атрибутов
Хранилища настраиваемых атрибутов позволяют реализовывать более сложные сценарии. Язык политик, интегрированный в AD FS, может ссылаться на хранилища настраиваемых атрибутов, тем самым расширяя возможности перечисленных ниже сценариев.
Создание утверждений для прошедшего локальную аутентификацию пользователя
Добавление утверждений для прошедшего внешнюю аутентификацию пользователя
Авторизация пользователя на получение токена
Авторизация службы на получение токена для поведения пользователя
При работе с хранилищем настраиваемых атрибутов может также потребоваться настроить строку подключения. В этой ситуации можно ввести любой пользовательский код, обеспечивающий подключение к хранилищу настраиваемых атрибутов. Строки подключения в этом случае представляют собой набор пар "имя-значение", которые интерпретируются как реализованные разработчиком хранилища настраиваемых атрибутов.
Дополнительные сведения о разработке и использовании пользовательских хранилищ атрибутов см. в разделе "Обзор хранилища атрибутов".
Требования приложений
Серверы федерации могут взаимодействовать с федеративными приложениями (например, приложениями с поддержкой утверждений) и обеспечивать их безопасность.
Требования к проверке подлинности
AD FS интегрируется естественным образом с существующими проверка подлинности Windows, например с проверкой подлинности Kerberos, NTLM, смарт-карта и сертификатами X.509 версии 3 на стороне клиента. Серверы федерации используют стандартную аутентификацию Kerberos для аутентификации пользователя в домене. Клиенты могут выполнить аутентификацию на базе форм, смарт-карт, а также интегрированную аутентификацию Windows в зависимости от настроек аутентификации.
Роль прокси-сервера федерации AD FS делает возможным сценарий, в котором пользователь проходит внешнюю аутентификацию с использованием SSL-аутентификации клиента. Можно также настроить роль сервера федерации для требования SSL-аутентификации клиента, хотя наивысшее удобство для пользователей обеспечивается настройкой сервера федерации учетных записей для интегрированной аутентификации Windows. В данном случае AD FS не контролирует, какие учетные данные пользователь использует для входа на рабочий стол Windows.
Вход по смарт-карте
Хотя AD FS может применять тип учетных данных, используемых для проверки подлинности (пароли, проверка подлинности SSL-клиента или встроенная проверка подлинности Windows), он не применяет прямую проверку подлинности с помощью смарт-карта. Поэтому AD FS не предоставляет пользовательский интерфейс на стороне клиента для получения учетных данных смарт-карта персональный идентификационный номер (ПИН-код). Это связано с тем, что клиенты под управлением Windows намеренно не предоставляют учетные данные пользователя серверам федерации или веб-серверам.
Аутентификация по смарт-карте
Интеллектуальная карта аутентификация использует протокол Kerberos для проверки подлинности на сервере федерации учетной записи. AD FS нельзя расширить для добавления новых методов проверки подлинности. Для связи по цепочке с доверенным корневым расположением на клиентском компьютере сертификат в смарт-карте не требуется. Для использования смарт-карта сертификата с AD FS требуются следующие условия:
Считывающий механизм и поставщик служб шифрования (CSP) для смарт-карты должен работать на компьютере, на котором расположен браузер.
Смарт-карта сертификат должен быть привязан к доверенному корню на сервере федерации учетной записи и прокси-сервере федерации учетной записи.
Сертификат должен сопоставляться с учетной записью пользователя в AD DS одним из следующих методов.
Имя субъекта сертификата соответствует различающемуся имени LDAP учетной записи пользователя в AD DS.
Расширение altname субъекта сертификата имеет имя участника-пользователя (UPN) учетной записи пользователя в AD DS.
Для удовлетворения определенных требований в отношении строгости аутентификации в некоторых сценариях также возможно настроить AD FS для создания утверждения, указывающего на способ аутентификации пользователя. Затем проверяющая сторона может использовать это утверждение для принятия решения об авторизации.
См. также
Руководство по разработке служб федерации Active Directory в Windows Server 2012