Требования к службам федерации Active Directory

Ниже приведены требования к развертыванию службы федерации Active Directory (AD FS) (AD FS):

• Требования к сертификатам

• Требования к оборудованию

• Требования к прокси-серверу

• Требования к AD DS

• Требования к базе данных конфигурации

• Требования к браузерам

• Требования к сети

• Требования к разрешениям

Требования к сертификатам

TLS/SSL-сертификаты

Каждый сервер AD FS и прокси-сервер веб-приложения имеет TLS/SSL-сертификат для обслуживания HTTPS-запросов к службе федерации. Прокси веб-приложения может иметь дополнительные сертификаты для запросов на обслуживание опубликованных приложений.

Рекомендации для TLS/SSL-сертификатов

Используйте один и тот же TLS/SSL-сертификат для всех серверов федерации AD FS и прокси-серверов веб-приложений.

Требования к TLS/SSL-сертификатам

TLS/SSL-сертификаты на серверах федерации должны соответствовать следующим требованиям:

• Сертификат является общедоступным доверенным (для рабочих развертываний).
• Сертификат содержит значение расширенного использования ключа проверки подлинности сервера (EKU).
• Сертификат содержит имя службы федерации, например fs.contoso.com имя субъекта или альтернативного имени субъекта (SAN).
• Для проверки подлинности сертификата пользователя через порт 443 сертификат содержит certauth.\<federation service name\>сертификат, например certauth.fs.contoso.com в SAN.
• Для регистрации устройств или для современной проверки подлинности в локальных ресурсах с помощью клиентов с предварительной windows 10 san должен содержаться enterpriseregistration.\<upn suffix\> для каждого суффикса имени участника-пользователя (UPN), используемого в вашей организации.

Tls/SSL-сертификаты прокси веб-приложения должны соответствовать следующим требованиям:

• Если прокси-сервер используется для прокси-запросов AD FS, использующих встроенную проверку подлинности Windows, прокси-сертификат TLS/SSL должен совпадать (использовать тот же ключ), что и TLS/SSL-сертификат сервера федерации.
• Если свойство AD FS, ExtendedProtectionTokenCheck, включено (параметр по умолчанию в AD FS), прокси-сертификат TLS/SSL должен быть таким же (используйте тот же ключ), что и tls/SSL-сертификат сервера федерации.
• В противном случае требования к SSL-сертификату прокси-сервера совпадают с требованиями к TLS/SSL-сертификату сервера федерации.

Сертификат взаимодействия служб

Этот сертификат не требуется для большинства сценариев AD FS, включая идентификатор Microsoft Entra и Office 365. По умолчанию AD FS настраивает TLS/SSL-сертификат, предоставленный при начальной настройке в качестве сертификата связи службы.

Рекомендация по сертификату связи службы

• Используйте тот же сертификат, что и для TLS/SSL.

Сертификат для подписи маркера

Этот сертификат используется для подписывания выданных маркеров проверяющим сторонам, поэтому приложения проверяющей стороны должны распознавать сертификат и связанный с ним ключ как известный и доверенный. При изменении сертификата для подписи маркера, например по истечении срока его действия, необходимо обновить эти сведения у всех проверяющих сторон.

Рекомендация по сертификату подписи токенов

Используйте стандартные для AD FS внутренние самозаверяющие сертификаты для подписи маркера.

Требования к сертификату подписи маркера

• Если вашей организации требуется, чтобы сертификаты из инфраструктуры открытых ключей предприятия (PKI) использовались для подписи маркеров, это требование можно выполнить с помощью параметра SigningCertificateThumbprint командлета Install-AdfsFarm .
• Независимо от того, используются ли внутренние сертификаты или сертификаты внешних служб, при изменении сертификата для подписи маркера необходимо передать сведения о новом сертификате всем проверяющим сторонам. В противном случае пользователи, проверяющие стороны, не могут войти в систему.

Сертификат шифрования и расшифровки маркера

Этот сертификат используется поставщиками утверждений, которые шифруют передаваемые в AD FS маркеры.

Рекомендация по шифрованию и расшифровке сертификата токена

Используйте стандартные для AD FS внутренние самозаверяющие сертификаты для расшифровки маркера.

Требования к шифрованию и расшифровке сертификата токена

• Если вашей организации требуется, чтобы сертификаты из корпоративного PKI использовались для подписи маркеров, это требование можно выполнить с помощью параметра DecryptingCertificateThumbprint командлета Install-AdfsFarm .
• Независимо от того, используются ли внутренние сертификаты или сертификаты внешних служб, при изменении сертификата для расшифровки маркера необходимо передать сведения о новом сертификате всем поставщикам утверждений. В противном случае войдите с помощью любых поставщиков утверждений, не обновляемых сбоем.

Внимание

Сертификаты, используемые для подписывания маркеров и расшифровки маркеров и шифрования, критически важны для стабильности службы федерации. Клиенты, управляющие собственными сертификатами подписывания маркеров и расшифровки маркеров и шифрования, должны убедиться, что эти сертификаты резервируются и доступны независимо во время события восстановления.

Сертификаты пользователей

• При использовании проверки подлинности сертификата пользователя x509 с AD FS все сертификаты пользователей должны быть привязаны к корневому центру сертификации, которому доверяют серверы AD FS и прокси-серверы веб-приложений.

Требования к аппаратному обеспечению

Требования к оборудованию для AD FS и прокси-службы веб-приложений (физических или виртуальных компьютеров) определяют мощность ЦП, и вам нужно правильно выбрать размер фермы для обеспечения нужной производительности.

• Используйте электронную таблицу планирования емкости AD FS 2016, чтобы определить количество необходимых серверов AD FS и прокси-сервера веб-приложений.

Требования к памяти и диску для AD FS являются довольно статическими. Требования показаны в следующей таблице:

Требования к оборудованию	Минимальное значение	Рекомендуемое значение
ОЗУ	2 ГБ	4 ГБ
Место на диске	32 Гб	100 ГБ

Требования к оборудованию для SQL Server

Если вы используете SQL Azure для базы данных конфигурации AD FS, размер SQL Server в соответствии с самыми основными рекомендациями SQL Server. Размер базы данных AD FS невелик, и AD FS не ставит значительную нагрузку на обработку экземпляра базы данных. Однако в процессе проверки подлинности AD FS может подключаться к этой базе данных несколько раз, поэтому сетевое подключение должно быть надежным. К сожалению, SQL Azure не поддерживается для базы данных конфигурации AD FS.

Требования к прокси-серверу

• Для доступа к экстрасети необходимо развернуть службу роли прокси веб-приложения — часть роли сервера удаленного доступа.

• Сторонние прокси-серверы должны поддерживать протокол MS-ADFSPIP для поддержки в качестве прокси-сервера AD FS. Список сторонних поставщиков см. в разделе часто задаваемых вопросов о AD FS.

• Для AD FS 2016 требуется, чтобы прокси-служба веб-приложений работала под управлением Windows Server 2016. Прокси-сервер нижнего уровня нельзя настроить для фермы AD FS 2016, работающей на уровне поведения фермы 2016 года.

• Сервер федерации и служба прокси-роли веб-приложения не могут быть установлены на одном компьютере.

Требования к AD DS

Требования к контроллеру домена

• Для AD FS требуется, чтобы контроллеры домена работали под управлением Windows Server 2008 или более поздней версии.

• Для Windows Hello для бизнеса требуется по крайней мере один контроллер домена Windows Server 2016.

Примечание.

Поддержка сред с контроллерами домена Windows Server 2003 уже закончилась. Дополнительные сведения см. в сведениях о жизненном цикле Майкрософт.

Требования к функциональному уровню домена

• Все домены учетных записей пользователей и домен, к которому присоединены серверы AD FS, должны работать на функциональном уровне домена Windows Server 2003 или более поздней версии.

• Для проверки подлинности сертификата клиента требуется функциональный уровень домена Windows Server 2008 или более поздней версии, если сертификат явно сопоставлен с учетной записью пользователя в AD DS.

Требования к схеме

• Для новых установок AD FS 2016 требуется схема Active Directory 2016 (минимальная версия 85).

• Для повышения уровня поведения фермы AD FS до 2016 требуется схема Active Directory 2016 (минимальная версия 85).

Требования к учетным записям служб

• В качестве учетной записи службы для AD FS можно использовать любую стандартную учетную запись домена. Кроме того, поддерживаются управляемые учетные записи служб группы. Разрешения, необходимые во время выполнения, автоматически добавляются при настройке AD FS.

• Назначение прав пользователя, необходимое для учетной записи службы AD, входит в систему как услуга.

• Назначения прав пользователя, необходимые для NT Service\adfssrv аудита безопасности и NT Service\drs создания аудита безопасности и входа в систему в качестве службы.

• Для групповых управляемых учетных записей служб требуется по крайней мере один контроллер домена под управлением Windows Server 2012 или более поздней версии. Группа управляемой учетной записи службы gMSA должна жить под контейнером по умолчанию CN=Managed Service Accounts .

• Для проверки подлинности Kerberos необходима регистрация имени субъекта-службы "HOST/<adfs\_service\_name>" в учетной записи службы AD FS. По умолчанию AD FS настраивает это требование при создании новой фермы AD FS. Если этот процесс завершается сбоем, например при возникновении конфликта или нехватке разрешений, вы увидите предупреждение и добавьте его вручную.

Требования к домену

• Все серверы AD FS должны быть присоединены к домену AD DS.

• Все серверы AD FS в ферме должны быть развернуты в одном домене.

• Для установки первого узла фермы AD FS требуется доступность PDC.

Требования к нескольким лесам

• Домен, к которому присоединяются серверы AD FS, должен доверять каждому домену или лесу, в котором есть пользователи с проверкой подлинности в службе AD FS.

• Лес, в который входит учетная запись службы AD FS, должен доверять всем лесам входа пользователей.

• Учетная запись службы AD FS должна иметь разрешения на чтение атрибутов пользователей в каждом домене, в котором есть пользователи, выполняющие проверку подлинности в службе AD FS.

Требования к базе данных конфигурации

В этом разделе описаны требования и ограничения для ферм AD FS, которые используют в качестве базы данных внутреннюю базу данных Windows (WID) или SQL Server соответственно.

WID

• Профиль разрешения артефактов SAML 2.0 не поддерживается в ферме WID.

• Обнаружение воспроизведения маркеров не поддерживается в ферме WID. Эта функция используется только в сценариях, когда AD FS выступает в качестве поставщика федерации и использует маркеры безопасности от внешних поставщиков утверждений.

В следующей таблице приведены сведения о количестве серверов AD FS, поддерживаемом для ферм WID и SQL Server.

От 1 до 100 отношений доверия с проверяющей стороной	Более 100 отношений доверия с проверяющей стороной
1–30 узлов AD FS: поддерживается WID	1–30 узлов AD FS: не поддерживается использование WID — требуется SQL
Более 30 узлов AD FS: не поддерживается с помощью WID — требуется SQL	Более 30 узлов AD FS: не поддерживается с помощью WID — требуется SQL

SQL Server

• Для AD FS в Windows Server 2016 поддерживаются SQL Server 2008 и более поздние версии.

• В ферме SQL Server поддерживается как разрешение артефактов SAML, так и обнаружение воспроизведения маркеров.

Требования к браузерам

При выполнении проверки подлинности AD FS с помощью браузера или элемента управления браузером браузер должен соответствовать следующим требованиям:

• JavaScript должен быть включен.

• Для единого входа браузер клиента должен быть настроен для разрешения файлов cookie.

• Необходимо поддерживать указание имени сервера (SNI).

• Для проверки подлинности сертификата пользователя и сертификата устройства браузер должен поддерживать проверку подлинности сертификата клиента TLS/SSL.

• Для простого входа с помощью встроенной проверки подлинности Windows имя службы федерации (например https:\/\/fs.contoso.com) должно быть настроено в локальной зоне интрасети или зоне надежных сайтов.

Требования к сети

Требования к брандмауэру

Брандмауэры, расположенные между прокси-сервером веб-приложения и фермой серверов федерации, а также между клиентами и прокси-сервером веб-приложения, должны иметь входящий порт TCP 443.

Кроме того, если вам нужна проверка подлинности сертификата пользователя клиента (проверка подлинности clientTLS с использованием сертификатов пользователей X509) и у вас нет порта 443 в конечной точке certauth. AD FS 2016 требуется включить tcp-порт 49443, входящий в брандмауэр между клиентами и прокси-сервером веб-приложения. Это требование не применяется к брандмауэру между прокси-сервером веб-приложения и серверами федерации.

Дополнительные сведения о требованиях к гибридным портам см. в разделе "Обязательные порты и протоколы гибридного удостоверения".

Дополнительные сведения см. в рекомендациях по защите службы федерации Active Directory (AD FS)

Требования к DNS

• Для доступа к интрасети все клиенты, обращающиеся к службе AD FS в внутренней корпоративной сети (интрасети), должны иметь возможность разрешить имя службы AD FS в подсистему балансировки нагрузки для серверов AD FS или сервера AD FS.

• Для доступа к экстрасети все клиенты, обращающиеся к службе AD FS за пределами корпоративной сети (экстрасети или Интернета), должны иметь возможность разрешить имя службы AD FS в подсистему балансировки нагрузки для серверов прокси веб-приложений или прокси-сервера веб-приложения.

• Каждый прокси-сервер веб-приложения в демилитаризованной зоне (DMZ) должен иметь возможность разрешить имя службы AD FS подсистеме балансировки нагрузки для серверов AD FS или сервера AD FS. Эту конфигурацию можно создать с помощью альтернативного сервера системы доменных имен (DNS) в сети DMZ или путем изменения разрешения локального сервера с помощью файла HOSTS.

• Для встроенной проверки подлинности Windows необходимо использовать запись DNS A (не CNAME) для имени службы федерации.

• Для проверки подлинности сертификата пользователя через порт 443 — certauth.<Имя> службы федерации должно быть настроено в DNS для разрешения на сервер федерации или прокси веб-приложения.

• Для регистрации устройств или для современной проверки подлинности в локальных ресурсах с помощью клиентов enterpriseregistration.\<upn suffix\>до Windows 10 для каждого суффикса имени участника-пользователя, используемого в вашей организации, необходимо настроить их для разрешения на сервер федерации или прокси веб-приложения.

Требования к подсистеме балансировки нагрузки

• Подсистема балансировки нагрузки не должна завершать tls/SSL. AD FS поддерживает несколько вариантов использования с проверкой подлинности сертификата, которая прерывается при завершении TLS/SSL. Завершение TLS/SSL в подсистеме балансировки нагрузки не поддерживается для любого варианта использования.
• Используйте подсистему балансировки нагрузки, которая поддерживает SNI. В случае, если это не так, использование резервной привязки 0.0.0.0 на сервере AD FS или прокси-сервере веб-приложения должно предоставить обходное решение.
• Используйте конечные точки пробы работоспособности HTTP (не HTTPS) для выполнения проверка работоспособности подсистемы балансировки нагрузки для маршрутизации трафика. Это требование позволяет избежать проблем, связанных с SNI. На эти пробы конечные точки должны возвращать ответ HTTP 200 OK и обрабатывать их локально, без зависимостей от внутренних серверных служб. Проба HTTP можно получить по протоколу HTTP с помощью пути "/adfs/probe"
  • http://<Web Application Proxy name>/adfs/probe
  • http://<AD FS server name>/adfs/probe
  • http://<Web Application Proxy IP address>/adfs/probe
  • http://<AD FS IP address>/adfs/probe
• Не рекомендуется использовать циклический перебор DNS в качестве способа балансировки нагрузки. Использование этого типа балансировки нагрузки не обеспечивает автоматизированный способ удаления узла из подсистемы балансировки нагрузки с помощью проб работоспособности.
• Не рекомендуется использовать сопоставление сеансов на основе IP-адресов или липкие сеансы для трафика проверки подлинности в AD FS в подсистеме балансировки нагрузки. Вы можете вызвать перегрузку определенных узлов при использовании устаревшего протокола проверки подлинности для почтовых клиентов для подключения к почтовым службам Office 365 (Exchange Online).

Требования к разрешениям

Администратор, который выполняет установку и начальную настройку AD FS, должен иметь разрешения локального администратора на сервере AD FS. Если у локального администратора нет разрешений на создание объектов в Active Directory, сначала у него должен быть администратор домена, создающий необходимые объекты AD, а затем настроить ферму AD FS с помощью параметра Администратор Configuration.