Granska kraven för att distribuera AD FS

Artikel
11/09/2015

Gäller för: Azure, Office 365, Power BI, Windows Intune

För att en ny AD FS-distribution ska kunna skapa ett förlitande partsförtroende med Azure AD måste du först se till att företagets nätverksinfrastruktur har konfigurerats för att stödja AD FS-krav för konton, namnmatchning och certifikat. AD FS har följande typer av krav:

Programvarukrav
Certifikatkrav
Nätverkskrav

Programvarukrav

AD FS-programvaran måste vara installerad på alla datorer som du förbereder för federationsservern eller federationsserverproxyrollen. Du kan installera den här programvaran antingen med hjälp av installationsguiden för AD FS eller genom att utföra en tyst installation med hjälp av parametern adfssetup.exe /quiet på en kommandorad.

För en basinstallationsplattform kräver AD FS antingen operativsystemet Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 eller Windows Server 2012 R2. AD FS har ett separat installationspaket för operativsystemplattformarna Windows Server 2008, Windows Server 2008 R2 (och kallas ofta AD FS 2.0) eller så kan det installeras genom att federationstjänstens serverroll läggs till som en del av Windows Server 2012- eller Windows Server 2012 R2-operativsystemet.

Om du använder AD FS 2.0 eller AD FS i Windows Server 2012 distribuerar och konfigurerar du federationsserverproxyservrar som en del av implementeringen av din SSO-lösning.

Om du använder AD FS i Windows Server 2012 R2 distribuerar du webbprogramproxyservrar för att konfigurera AD FS-distributionen för extranätsåtkomst. I Windows Server 2012 R2 används en webb-Programproxy, en ny rolltjänst för fjärråtkomstserverrollen, för att aktivera AD FS för tillgänglighet utanför företagsnätverket. Mer information finns i Översikt över web Programproxy.

Förutsättningar

Under installationen av AD FS försöker installationsguiden automatiskt söka efter och vid behov installera både nödvändiga program och beroende snabbkorrigeringar. I de flesta fall installerar installationsguiden alla nödvändiga program som krävs för att AD FS ska fungera och installeras.

Det finns dock ett undantag: när du installerar AD FS på plattformen Windows Server 2008 (som ett separat installationspaket som kallas AD FS 2.0). Om detta är fallet i din distributionssituation måste du först se till att .NET 3.5 SP1 är installerat på de servrar som kör Windows Server 2008 innan du installerar AD FS 2.0-programvaran, eftersom det är en förutsättning för AD FS 2.0 och den inte installeras automatiskt av AD FS 2.0-installationsguiden på den här plattformen. Om .NET 3.5 SP1 inte är installerat förhindrar installationsguiden för AD FS 2.0 installationen av AD FS 2.0-programvaran.

Snabbkorrigeringar

Du måste installera AD FS 2.0-snabbkorrigeringar när du har installerat AD FS 2.0. Mer information finns i Beskrivning av Samlad uppdatering 2 för Active Directory Federation Services (AD FS) (AD FS) 2.0.

Virtualisering

AD FS stöder programvaruvirtualisering av både federationsserver- och federationsserverproxyroller. För att ta hänsyn till redundans rekommenderar vi att du lagrar varje virtuell AD FS-dator på separata, fysiska virtuella servrar.

Mer information om hur du konfigurerar en virtuell servermiljö med Microsofts virtualiseringsteknik finns i Hyper-V-Komma igång guide.

Certifikatkrav

Certifikat spelar den viktigaste rollen för att skydda kommunikationen mellan federationsservrar, webbprogramproxyservrar, federationsserverproxyservrar, molntjänsten och webbklienter. Kraven för certifikat varierar beroende på om du konfigurerar en federationsserver, en Programproxy eller en federationsserverproxydator enligt beskrivningen i följande tabeller.

Federationsservercertifikat

Federationsservrar kräver certifikat enligt följande tabell.

Certifikattyp	Description	Allt du behöver veta innan du distribuerar
SSL-certifikat (kallas även ett certifikat för serverautentisering) för AD FS i Windows Server 2012 R2	Det här är ett SSL-standardcertifikat (Secure Sockets Layer) som används för att skydda kommunikationen mellan federationsservrar, klienter, Programproxy och federationsserverproxydatorer.	AD FS kräver ett certifikat för SSL-serverautentisering på varje federationsserver i federationsservergruppen. Samma certifikat ska användas på varje federationsserver i en servergrupp. Du måste ha både certifikatet och den privata nyckeln tillgängliga. Om du till exempel har certifikatet och dess privata nyckel i en .pfx-fil kan du importera filen direkt till Active Directory Federation Services (AD FS) konfigurationsguiden. SSL-certifikatet måste innehålla följande: Alternativt namn på certifikatmottagare och alternativt ämnesnamn måste innehålla federationstjänstens namn, till exempel fs.contoso.com Alternativt namn på certifikatmottagare måste innehålla värdet enterpriseregistration följt av UPN-suffixet i din organisation, till exempel enterpriseregistration.corp.contoso.com
SSL-certifikat (kallas även ett certifikat för serverautentisering) för äldre versioner av AD FS	Detta är ett Standard Secure Sockets Layercertificate som används för att skydda kommunikationen mellan federationsservrar, klienter, web Programproxy och federationsserverproxydatorer.	AD FS kräver ett SSL-certifikat när du konfigurerar federationsserverinställningar. Som standard använder AD FS SSL-certifikatet som konfigurerats för standardwebbplatsen i Internet Information Services (IIS). Ämnesnamnet för det här SSL-certifikatet används för att fastställa federationstjänstens namn för varje instans av AD FS som du distribuerar. Därför kanske du vill överväga att välja ett ämnesnamn på eventuella nya certifikatutfärdare (CA)-utfärdade certifikat som bäst representerar namnet på ditt företag eller din organisation till molntjänsten och det här namnet måste vara Internet-dirigerbart. I diagrammet som angavs tidigare i den här artikeln (se "Fas 2" skulle certifikatets ämnesnamn till exempel vara fs.fabrikam.com. Viktigt AD FS kräver att det här SSL-certifikatet saknar ett punktlöst (kortnamn) ämnesnamn. Krävs: Eftersom det här certifikatet måste vara betrott av klienter i AD FS och Microsofts molntjänster använder du ett SSL-certifikat som utfärdats av en offentlig certifikatutfärdare (tredje part) eller av en certifikatutfärdare som är underordnad en offentligt betrodd rot. till exempel VeriSign eller Thawte.
Certifikat för tokensignering	Det här är ett X.509-standardcertifikat som används för säker signering av alla token som federationsservern utfärdar och som molntjänsten accepterar och validerar.	Certifikat för tokensignering måste innehålla en privat nyckel och det bör vara kedjeanslutet till en betrodd rot i federationstjänsten. Som standard skapar AD FS självsignerade certifikat. Beroende på organisationens behov kan du dock ändra detta senare till ett CA-utfärdat certifikat med hjälp av snapin-modulen AD FS-hantering. Rekommendation: Använd det självsignerade certifikatet för tokensignering som genereras av AD FS. På så sätt hanterar AD FS det här certifikatet åt dig som standard. Om det här certifikatet till exempel upphör att gälla genererar AD FS ett nytt självsignerat certifikat som ska användas i förväg.

SSL-certifikat (kallas även ett certifikat för serverautentisering) för AD FS i Windows Server 2012 R2

Det här är ett SSL-standardcertifikat (Secure Sockets Layer) som används för att skydda kommunikationen mellan federationsservrar, klienter, Programproxy och federationsserverproxydatorer.

AD FS kräver ett certifikat för SSL-serverautentisering på varje federationsserver i federationsservergruppen. Samma certifikat ska användas på varje federationsserver i en servergrupp. Du måste ha både certifikatet och den privata nyckeln tillgängliga. Om du till exempel har certifikatet och dess privata nyckel i en .pfx-fil kan du importera filen direkt till Active Directory Federation Services (AD FS) konfigurationsguiden. SSL-certifikatet måste innehålla följande:

Alternativt namn på certifikatmottagare och alternativt ämnesnamn måste innehålla federationstjänstens namn, till exempel fs.contoso.com
Alternativt namn på certifikatmottagare måste innehålla värdet enterpriseregistration följt av UPN-suffixet i din organisation, till exempel enterpriseregistration.corp.contoso.com

SSL-certifikat (kallas även ett certifikat för serverautentisering) för äldre versioner av AD FS

Detta är ett Standard Secure Sockets Layercertificate som används för att skydda kommunikationen mellan federationsservrar, klienter, web Programproxy och federationsserverproxydatorer.

AD FS kräver ett SSL-certifikat när du konfigurerar federationsserverinställningar. Som standard använder AD FS SSL-certifikatet som konfigurerats för standardwebbplatsen i Internet Information Services (IIS).

Ämnesnamnet för det här SSL-certifikatet används för att fastställa federationstjänstens namn för varje instans av AD FS som du distribuerar. Därför kanske du vill överväga att välja ett ämnesnamn på eventuella nya certifikatutfärdare (CA)-utfärdade certifikat som bäst representerar namnet på ditt företag eller din organisation till molntjänsten och det här namnet måste vara Internet-dirigerbart. I diagrammet som angavs tidigare i den här artikeln (se "Fas 2" skulle certifikatets ämnesnamn till exempel vara fs.fabrikam.com.

Viktigt

AD FS kräver att det här SSL-certifikatet saknar ett punktlöst (kortnamn) ämnesnamn.

Krävs: Eftersom det här certifikatet måste vara betrott av klienter i AD FS och Microsofts molntjänster använder du ett SSL-certifikat som utfärdats av en offentlig certifikatutfärdare (tredje part) eller av en certifikatutfärdare som är underordnad en offentligt betrodd rot. till exempel VeriSign eller Thawte.

Certifikat för tokensignering

Det här är ett X.509-standardcertifikat som används för säker signering av alla token som federationsservern utfärdar och som molntjänsten accepterar och validerar.

Certifikat för tokensignering måste innehålla en privat nyckel och det bör vara kedjeanslutet till en betrodd rot i federationstjänsten. Som standard skapar AD FS självsignerade certifikat. Beroende på organisationens behov kan du dock ändra detta senare till ett CA-utfärdat certifikat med hjälp av snapin-modulen AD FS-hantering.

Rekommendation: Använd det självsignerade certifikatet för tokensignering som genereras av AD FS. På så sätt hanterar AD FS det här certifikatet åt dig som standard. Om det här certifikatet till exempel upphör att gälla genererar AD FS ett nytt självsignerat certifikat som ska användas i förväg.

Varning

Certifikatet för tokensignering är viktigt för federationstjänstens stabilitet. Om den ändras måste molntjänsten meddelas om den här ändringen. Annars misslyckas begäranden till molntjänsten. Mer information om hur du hanterar certifikat i AD FS-federationsservergruppen och molntjänsten finns i Uppdatera förtroendeegenskaper.

Proxydatorcertifikat

Federationsserverproxy kräver certifikatet i följande tabell.

Certifikattyp	Description	Allt du behöver veta innan du distribuerar
SSL-certifikat	Detta är ett standard-SSL-certifikat som används för att skydda kommunikationen mellan en federationsserver, federationsserverproxy eller web Programproxy och Internetklientdatorer.	Det här är samma certifikat för serverautentisering som används av federationsservrarna i företagsnätverket. Certifikatet måste ha samma ämnesnamn som SSL-certifikatet som konfigurerats på federationsservern i företagsnätverket. Om du använder AD FS i Windows Server 2008 eller Windows Server 2012 måste du installera det här certifikatet på standardwebbplatsen för federationsserverproxydatorn. Om du använder AD FS i Windows Server 2012 R2 måste du importera det här certifikatet till det personliga certifikatarkivet på datorn som fungerar som din Programproxy. Rekommendation: Använd samma certifikat för serverautentisering som har konfigurerats på den federationsserver som den här federationsserverproxyn eller Programproxy ansluter till.

SSL-certifikat

Detta är ett standard-SSL-certifikat som används för att skydda kommunikationen mellan en federationsserver, federationsserverproxy eller web Programproxy och Internetklientdatorer.

Det här är samma certifikat för serverautentisering som används av federationsservrarna i företagsnätverket. Certifikatet måste ha samma ämnesnamn som SSL-certifikatet som konfigurerats på federationsservern i företagsnätverket.

Om du använder AD FS i Windows Server 2008 eller Windows Server 2012 måste du installera det här certifikatet på standardwebbplatsen för federationsserverproxydatorn.

Om du använder AD FS i Windows Server 2012 R2 måste du importera det här certifikatet till det personliga certifikatarkivet på datorn som fungerar som din Programproxy.

Rekommendation: Använd samma certifikat för serverautentisering som har konfigurerats på den federationsserver som den här federationsserverproxyn eller Programproxy ansluter till.

Mer information om de certifikat som federationsservrar och federationsserverproxyservrar använder finns i Designguide för AD FS 2.0 eller Windows Server 2012 AD FS-designguide.

Nätverkskrav

Konfigurera följande nätverkstjänster korrekt är avgörande för distributionen av AD FS i din organisation.

TCP/IP-nätverksanslutning

För att AD FS ska fungera måste TCP/IP-nätverksanslutningen finnas mellan klienten, domänkontrollanterna, federationsservrarna och federationsserverproxyservrarna.

DNS

Den primära nätverkstjänst som är viktig för driften av AD FS, förutom Active Directory, är Domain Name System (DNS). När DNS har distribuerats kan användarvänliga datornamn användas för att ansluta till datorer och andra resurser på IP-nätverk.

Processen med att uppdatera DNS för att stödja AD FS består av att konfigurera:

Interna DNS-servrar i företagsnätverket för att matcha klustrets DNS-namn med klustrets IP-adress för det NLB-kluster som du konfigurerar på företagsnätverkets NLB-värd. Om du till exempel löser fs.fabrikam.com till 172.16.1.3.
DNS-servrar i perimeternätverket för att matcha klustrets DNS-namn med klustrets IP-adress för det NLB-kluster som du konfigurerar på perimetervärden för NLB. Till exempel att matcha fs.fabrikam.com till 192.0.2.3.

Krav för utjämning av nätverksbelastning

NLB krävs för att tillhandahålla feltolerans, hög tillgänglighet och belastningsutjämning över flera noder. Det kan implementeras med maskinvara, programvara eller en kombination av båda. Du måste konfigurera DNS-resursposterna baserat på federationstjänstens namn för NLB-klustret så att klustrets fullständigt kvalificerade domännamn (FQDN) (kallas även klustrets DNS-namn i den här artikeln) matchas till klustrets IP-adress.

Allmän information om NLB-klustrets IP-adress eller kluster-FQDN finns i Ange klusterparametrar.

Använda utökat skydd för autentisering

Om dina datorer har utökat skydd för autentisering och du använder Firefox, Chrome eller Safari kanske du inte kan logga in på molntjänsten med integrerad Windows-autentisering inifrån företagsnätverket. Om den här situationen inträffar kan användarna få inloggningsaviseringar regelbundet. Detta beror på standardkonfigurationen (på Windows 7 och korrigerade klientoperativsystem) för AD FS och utökat skydd för autentisering.

Fram till dess att Firefox, Chrome och Safari har stöd för utökat skydd för autentisering är det rekommenderade alternativet att alla klienter som har åtkomst till molntjänsten installerar och använder Windows Internet Explorer 8. Om du vill använda enkel inloggning för molntjänsten med Firefox, Chrome eller Safari finns det två andra lösningar att överväga. Det kan dock finnas säkerhetsproblem med någon av dessa metoder. Mer information finns i Microsofts säkerhetsrådgivning: Utökat skydd för autentisering. Lösningarna omfattar:

Avinstallera korrigeringsfilerna för utökat skydd för autentisering från datorn.
Ändra inställningen Utökat skydd för autentisering på AD FS-servern. Mer information finns i Konfigurera avancerade alternativ för AD FS 2.0.
Konfigurera om autentiseringsinställningarna för AD FS-webbsidan på varje federationsserver från integrerad Windows-autentisering till att använda formulärbaserad autentisering.

Nästa steg

Nu när du har granskat kraven för att distribuera AD FS är nästa steg att förbereda nätverksinfrastrukturen för federationsservrar.

Se även

Begrepp

Checklista: Använda AD FS för att implementera och hantera enkel inloggning

Dela via