Hantera och anpassa AD FS med hjälp av Microsoft Entra Connect
I den här artikeln beskrivs hur du hanterar och anpassar Active Directory Federation Services (AD FS) (AD FS) med hjälp av Microsoft Entra Connect.
Du får också lära dig om andra vanliga AD FS-uppgifter som du kan behöva utföra för att fullständigt konfigurera en AD FS-servergrupp. De här uppgifterna visas i följande tabell:
| Uppgift | Beskrivning |
|---|---|
| Hantera AD FS | |
| Reparera förtroendet | Lär dig hur du reparerar federationsförtroendet med Microsoft 365. |
| Federera med Microsoft Entra-ID med hjälp av ett alternativt inloggnings-ID | Lär dig hur du konfigurerar federation med hjälp av ett alternativt inloggnings-ID. |
| Lägga till en AD FS-server | Lär dig hur du expanderar en AD FS-servergrupp med en extra AD FS-server. |
| Lägga till en AD FS Web Programproxy-server (WAP) | Lär dig hur du expanderar en AD FS-servergrupp med ytterligare en WAP-server. |
| Lägga till en federerad domän | Lär dig hur du lägger till en federerad domän. |
| Uppdatera TLS/SSL-certifikatet | Lär dig hur du uppdaterar TLS/SSL-certifikatet för en AD FS-servergrupp. |
| Anpassa AD FS | |
| Lägga till en anpassad företagslogotyp eller illustration | Lär dig hur du anpassar en AD FS-inloggningssida med företagets logotyp och illustration. |
| Lägga till en inloggningsbeskrivning | Lär dig hur du lägger till en beskrivning av inloggningssidan. |
| Ändra AD FS-anspråksregler | Lär dig hur du ändrar AD FS-anspråk för olika federationsscenarier. |
Hantera AD FS
Du kan utföra olika AD FS-relaterade uppgifter i Microsoft Entra Anslut med minimal användarintervention med hjälp av guiden Microsoft Entra Connect. När du har installerat Microsoft Entra Anslut genom att köra guiden kan du köra den igen för att utföra andra uppgifter.
Reparera förtroendet
Du kan använda Microsoft Entra Connect för att kontrollera det aktuella hälsotillståndet för AD FS och Microsoft Entra ID-förtroende och sedan vidta lämpliga åtgärder för att reparera förtroendet. Så här reparerar du ditt Microsoft Entra-ID och AD FS-förtroende:
Välj Reparera Microsoft Entra-ID och ADFS-förtroende i listan över uppgifter.
På sidan Anslut till Microsoft Entra-ID anger du dina autentiseringsuppgifter som hybrididentitetsadministratör för Microsoft Entra-ID och väljer sedan Nästa.
På sidan Autentiseringsuppgifter för fjärråtkomst anger du autentiseringsuppgifterna för domänadministratören.
Välj Nästa.
Microsoft Entra Connect söker efter certifikathälsa och visar eventuella problem.
Sidan Redo att konfigurera visar en lista över åtgärder som ska utföras för att reparera förtroendet.
Välj Installera för att reparera förtroendet.
Anteckning
Microsoft Entra Connect kan endast reparera eller agera på certifikat som är självsignerade. Microsoft Entra Connect kan inte reparera certifikat från tredje part.
Federera med Microsoft Entra-ID med hjälp av alternateID
Vi rekommenderar att du behåller det lokala upn-namnet (User Principal Name) och molnnamnet för användarens huvudnamn på samma sätt. Om det lokala UPN:t använder en icke-dirigerbar domän (till exempel Contoso.local) eller inte kan ändras på grund av lokala programberoenden rekommenderar vi att du konfigurerar ett alternativt inloggnings-ID. Genom att använda ett alternativt inloggnings-ID kan du konfigurera en inloggningsupplevelse där användarna kan logga in med ett annat attribut än sitt UPN, till exempel en e-postadress.
Valet av UPN i Microsoft Entra Connect använder som standard attributet userPrincipalName i Active Directory. Om du väljer något annat attribut för UPN och federerar med hjälp av AD FS konfigurerar Microsoft Entra Connect AD FS för ett alternativt inloggnings-ID.
Ett exempel på hur du väljer ett annat attribut för UPN visas i följande bild:
Konfigurationen av ett alternativt inloggnings-ID för AD FS består av två huvudsteg:
Konfigurera rätt uppsättning utfärdandeanspråk: Utfärdandeanspråksreglerna i Microsoft Entra ID-förtroende för förlitande part ändras så att det valda UserPrincipalName-attributet används som alternativt ID för användaren.
Aktivera ett alternativt inloggnings-ID i AD FS-konfigurationen: AD FS-konfigurationen uppdateras så att AD FS kan söka efter användare i lämpliga skogar med hjälp av det alternativa ID:t. Den här konfigurationen stöds för AD FS på Windows Server 2012 R2 (med KB2919355) eller senare. Om AD FS-servrarna är 2012 R2 kontrollerar Microsoft Entra Connect om det finns nödvändig kunskapsbas. Om kunskapsbasen inte identifieras visas en varning när konfigurationen har slutförts, enligt följande bild:
Om en kunskapsbas saknas kan du åtgärda konfigurationen genom att installera den nödvändiga KB2919355. Du kan sedan följa anvisningarna för att reparera förtroendet.
Anteckning
Mer information om alternateID och steg för att konfigurera det manuellt finns i Konfigurera ett alternativt inloggnings-ID.
Lägga till en AD FS-server
Anteckning
Om du vill lägga till en AD FS-server kräver Microsoft Entra Connect ett PFX-certifikat. Därför kan du bara utföra den här åtgärden om du har konfigurerat AD FS-servergruppen med hjälp av Microsoft Entra Connect.
Välj Distribuera ytterligare en federationsserver och välj sedan Nästa.
På sidan Anslut till Microsoft Entra-ID anger du dina autentiseringsuppgifter som hybrididentitetsadministratör för Microsoft Entra-ID och väljer sedan Nästa.
Ange autentiseringsuppgifterna för domänadministratören.
Microsoft Entra Connect frågar efter lösenordet för PFX-filen som du angav när du konfigurerade din nya AD FS-servergrupp med Microsoft Entra Connect. Välj Ange lösenord för att ange lösenordet för PFX-filen.
På sidan AD FS-servrar anger du servernamnet eller IP-adressen som ska läggas till i AD FS-servergruppen.
Välj Nästa och fortsätt sedan att slutföra den sista sidan Konfigurera .
När Microsoft Entra Connect har lagt till servrarna i AD FS-servergruppen får du möjlighet att verifiera anslutningen.
Lägga till en AD FS WAP-server
Anteckning
Om du vill lägga till en webbserver Programproxy kräver Microsoft Entra Connect PFX-certifikatet. Därför kan du bara utföra den här åtgärden när du har konfigurerat AD FS-servergruppen med hjälp av Microsoft Entra Connect.
Välj Deploy Web Programproxy (Distribuera Programproxy) i listan över tillgängliga aktiviteter.
Ange autentiseringsuppgifterna för Azure Hybrid Identity Administrator.
På sidan Ange SSL-certifikat anger du lösenordet för PFX-filen som du angav när du konfigurerade AD FS-servergruppen med Microsoft Entra Connect.
Lägg till den server som ska läggas till som en WAP-server. Eftersom WAP-servern kanske inte är ansluten till domänen ber guiden om administrativa autentiseringsuppgifter för den server som läggs till.
På sidan Autentiseringsuppgifter för proxyförtroende anger du administrativa autentiseringsuppgifter för att konfigurera proxyförtroendet och få åtkomst till den primära servern i AD FS-servergruppen.
På sidan Redo att konfigurera visar guiden listan över åtgärder som ska utföras.
Slutför konfigurationen genom att välja Installera . När konfigurationen är klar ger guiden dig möjlighet att verifiera anslutningen till servrarna. Välj Verifiera för att kontrollera anslutningen.
Lägga till en federerad domän
Det är enkelt att lägga till en domän som ska federeras med Microsoft Entra-ID med hjälp av Microsoft Entra Connect. Microsoft Entra Connect lägger till domänen för federation och ändrar anspråksreglerna för att korrekt återspegla utfärdaren när du har flera domäner federerade med Microsoft Entra-ID.
Om du vill lägga till en federerad domän väljer du Lägg till ytterligare en Microsoft Entra domän.
På nästa sida i guiden anger du autentiseringsuppgifterna som global administratör för Microsoft Entra-ID.
På sidan Autentiseringsuppgifter för fjärråtkomst anger du autentiseringsuppgifterna för domänadministratören.
På nästa sida innehåller guiden en lista över Microsoft Entra domäner som du kan federera din lokala katalog med. Välj domänen i listan.
När du har valt domänen informerar guiden dig om ytterligare åtgärder som den kommer att vidta och effekten av konfigurationen. Om du i vissa fall väljer en domän som ännu inte har verifierats i Microsoft Entra-ID hjälper guiden dig att verifiera domänen. Mer information finns i Lägga till ditt anpassade domännamn i Microsoft Entra-ID.
Välj Nästa.
På sidan Redo att konfigurera visas de åtgärder som Microsoft Entra Connect kommer att utföra.
Slutför konfigurationen genom att välja Installera .
Anteckning
Användare i den tillagda federerade domänen måste synkroniseras innan de kan logga in på Microsoft Entra-ID.
Anpassa AD FS
Följande avsnitt innehåller information om några av de vanliga uppgifter som du kan behöva utföra för att anpassa din AD FS-inloggningssida.
Lägga till en anpassad företagslogotyp eller illustration
Om du vill ändra logotypen för företaget som visas på inloggningssidan använder du följande Windows PowerShell cmdlet och syntax.
Anteckning
De rekommenderade måtten för logotypen är 260 x 35 @ 96 dpi med en filstorlek som inte är större än 10 KB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Anteckning
Parametern TargetName krävs. Standardtemat som släpps med AD FS heter Standard.
Lägga till en inloggningsbeskrivning
Om du vill lägga till en beskrivning av inloggningssidan på inloggningssidan använder du följande Windows PowerShell cmdlet och syntax.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Ändra AD FS-anspråksregler
AD FS stöder ett omfattande anspråksspråk som du kan använda för att skapa anpassade anspråksregler. Mer information finns i Rollen för anspråksregelspråket.
I följande avsnitt beskrivs hur du kan skriva anpassade regler för vissa scenarier som relaterar till Microsoft Entra ID och AD FS-federation.
Oföränderligt ID som är villkorat av att ett värde finns i attributet
Microsoft Entra Connect kan du ange ett attribut som ska användas som källfästpunkt när objekt synkroniseras till Microsoft Entra-ID. Om värdet i det anpassade attributet inte är tomt kanske du vill utfärda ett oföränderligt ID-anspråk.
Du kan till exempel välja ms-ds-consistencyguid som attribut för källfästpunkten och utfärda ImmutableID som ms-ds-consistencyguid om attributet har ett värde mot det. Om det inte finns något värde mot attributet utfärdar objectGuid du det oföränderliga ID:t. Du kan skapa en uppsättning anpassade anspråksregler enligt beskrivningen i följande avsnitt.
Regel 1: Frågeattribut
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
I den här regeln frågar du efter värdena ms-ds-consistencyguid för och objectGuid för användaren från Active Directory. Ändra butiksnamnet till ett lämpligt butiksnamn i AD FS-distributionen. Ändra även anspråkstypen till en korrekt anspråkstyp för din federation, enligt definitionen för objectGuid och ms-ds-consistencyguid.
Genom att använda add och inte issue, undviker du dessutom att lägga till ett utgående problem för entiteten och kan använda värdena som mellanliggande värden. du utfärdar anspråket i en senare regel när du har fastställt vilket värde som ska användas som oföränderligt ID.
Regel 2: Kontrollera om ms-ds-consistencyguid finns för användaren
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Den här regeln definierar en tillfällig flagga med namnet idflag som är inställd på useguid om det inte finns någon ms-ds-consistencyguid ifylld för användaren. Logiken bakom detta är att AD FS inte tillåter tomma anspråk. När du lägger till anspråk http://contoso.com/ws/2016/02/identity/claims/objectguid och http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid i regel 1 får du ett msdsconsistencyguid-anspråk endast om värdet fylls i för användaren. Om det inte är ifyllt ser AD FS att det har ett tomt värde och släpper det omedelbart. Alla objekt har objectGuid, så att anspråket alltid kommer att finnas där när regel 1 körs.
Regel 3: Utfärda ms-ds-consistencyguid som oföränderligt ID om det finns
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Det här är en implicit Exist kontroll. Om anspråkets värde finns utfärdar du det som oföränderligt ID. I föregående exempel används anspråket nameidentifier . Du måste ändra detta till lämplig anspråkstyp för det oföränderliga ID:t i din miljö.
Regel 4: Utfärda objectGuid som ett oföränderligt ID om ms-ds-consistencyGuid inte finns
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Med den här regeln kontrollerar du helt enkelt den tillfälliga flaggan idflag. Du bestämmer om du vill utfärda anspråket baserat på dess värde.
Anteckning
Sekvensen för dessa regler är viktig.
Enkel inloggning med underdomän-UPN
Du kan lägga till fler än en domän som ska federeras med hjälp av Microsoft Entra Connect, enligt beskrivningen i Lägg till en ny federerad domän. Microsoft Entra Connect-versionerna 1.1.553.0 och senare skapar du rätt anspråksregel för issuerID automatiskt. Om du inte kan använda Microsoft Entra Connect version 1.1.553.0 eller senare rekommenderar vi att du använder verktyget Microsoft Entra RPT-anspråksregler för att generera och ange rätt anspråksregler för Microsoft Entra ID-förtroende för förlitande part.
Nästa steg
Läs mer om alternativ för användarinloggning.