Microsoft Entra Bağlan kullanarak AD FS'i yönetme ve özelleştirme
Bu makalede, Microsoft Entra Bağlan kullanarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) nasıl yönetileceği ve özelleştirileceği açıklanır.
Ayrıca, bir AD FS grubu tamamen yapılandırmak için gerçekleştirmeniz gerekebilecek diğer yaygın AD FS görevleri hakkında da bilgi edineceksiniz. Bu görevler aşağıdaki tabloda listelenmiştir:
Görev | Açıklama |
---|---|
AD FS'leri yönetme | |
Güveni onarma | Microsoft 365 ile federasyon güvenini onarmayı öğrenin. |
Alternatif bir oturum açma kimliği kullanarak Microsoft Entra Id ile federasyon | Alternatif bir oturum açma kimliği kullanarak federasyonu yapılandırmayı öğrenin. |
AD FS sunucusu ekleme | Ek AD FS sunucusuyla AD FS grubu genişletmeyi öğrenin. |
AD FS Web Uygulama Ara Sunucusu (WAP) sunucusu ekleme | Ek BIR WAP sunucusuyla AD FS grubu genişletmeyi öğrenin. |
Federasyon etki alanı ekleme | Federasyon etki alanı eklemeyi öğrenin. |
TLS/SSL sertifikasını güncelleştirme | BIR AD FS grubu için TLS/SSL sertifikasını güncelleştirmeyi öğrenin. |
AD FS'i özelleştirme | |
Özel şirket logosu veya çizimi ekleme | Ad FS oturum açma sayfasını şirket logosu ve çizimiyle özelleştirmeyi öğrenin. |
Oturum açma açıklaması ekleme | Oturum açma sayfası açıklaması eklemeyi öğrenin. |
AD FS talep kurallarını değiştirme | Çeşitli federasyon senaryoları için AD FS taleplerini değiştirmeyi öğrenin. |
AD FS'leri yönetme
Microsoft Entra Bağlan sihirbazını kullanarak, Microsoft Entra Bağlan'da AD FS ile ilgili çeşitli görevleri en az kullanıcı müdahalesiyle gerçekleştirebilirsiniz. Sihirbazı çalıştırarak Microsoft Entra Bağlan yüklemeyi tamamladıktan sonra, diğer görevleri gerçekleştirmek için yeniden çalıştırabilirsiniz.
Güveni onarma
AD FS ve Microsoft Entra ID güveninin geçerli durumunu denetlemek ve ardından güveni onarmak için uygun eylemleri yapmak için Microsoft Entra Bağlan kullanabilirsiniz. Microsoft Entra Id ve AD FS güveninizi onarmak için aşağıdakileri yapın:
Görev listesinden Microsoft Entra Kimliğini ve ADFS Güvenini Onar'ı seçin.
Microsoft Entra Id'ye Bağlan sayfasında, Microsoft Entra Id için Karma Kimlik Yönetici istrator kimlik bilgilerinizi sağlayın ve İleri'yi seçin.
Uzaktan erişim kimlik bilgileri sayfasında, etki alanı yöneticisinin kimlik bilgilerini girin.
İleri'yi seçin.
Microsoft Entra Bağlan sertifika durumunu denetler ve sorunları gösterir.
Yapılandırmaya hazır sayfası, güveni onarmak için gerçekleştirilecek eylemlerin listesini gösterir.
Güveni onarmak için Yükle'yi seçin.
Dekont
Microsoft Entra Bağlan yalnızca otomatik olarak imzalanan sertifikaları onarabilir veya üzerinde işlem yapabilir. Microsoft Entra Bağlan üçüncü taraf sertifikaları onaramaz.
AlternateID kullanarak Microsoft Entra ID ile federasyon
Şirket içi Kullanıcı Asıl Adı (UPN) ve bulut Kullanıcı Asıl Adı'nı aynı tutmanızı öneririz. Şirket içi UPN yönlendirilemeyen bir etki alanı (örneğin, Contoso.local) kullanıyorsa veya yerel uygulama bağımlılıkları nedeniyle değiştirilemiyorsa, alternatif bir oturum açma kimliği ayarlamanızı öneririz. Alternatif bir oturum açma kimliği kullanarak, kullanıcıların UPN'leri dışında bir öznitelikle (örneğin, e-posta adresi) oturum açabilecekleri bir oturum açma deneyimi yapılandırabilirsiniz.
Microsoft Entra Bağlan'da UPN seçimi, varsayılan olarak Active Directory'deki userPrincipalName özniteliğidir. UPN için başka bir öznitelik seçerseniz ve AD FS kullanarak federasyon kuruyorsanız, Microsoft Entra Bağlan AD FS'yi alternatif bir oturum açma kimliği için yapılandırıyor.
Aşağıdaki görüntüde UPN için farklı bir öznitelik seçme örneği gösterilmiştir:
AD FS için alternatif bir oturum açma kimliği yapılandırmak iki ana adımdan oluşur:
Doğru verme talepleri kümesini yapılandırın: Microsoft Entra Id bağlı olan taraf güvenindeki verme talep kuralları, kullanıcının alternatif kimliği olarak seçilen UserPrincipalName özniteliğini kullanacak şekilde değiştirilir.
AD FS yapılandırmasında alternatif bir oturum açma kimliği etkinleştirin: AD FS yapılandırması, AD FS'nin alternatif kimliği kullanarak kullanıcıları uygun ormanlarda arayabilmesi için güncelleştirilir. Bu yapılandırma, Windows Server 2012 R2 (KB2919355 ile) veya sonraki sürümlerde AD FS için desteklenir. AD FS sunucuları 2012 R2 ise, Microsoft Entra Bağlan gerekli KB'nin olup olmadığını denetler. KB algılanmazsa, aşağıdaki görüntüde gösterildiği gibi yapılandırma tamamlandıktan sonra bir uyarı görüntülenir:
Eksik bir KB varsa, gerekli KB2919355 yükleyerek yapılandırmayı düzeltebilirsiniz. Ardından güveni onarma başlığındaki yönergeleri izleyebilirsiniz.
Dekont
AlternateID ve el ile yapılandırma adımları hakkında daha fazla bilgi için bkz . Alternatif oturum açma kimliği yapılandırma.
AD FS sunucusu ekleme
Dekont
AD FS sunucusu eklemek için Microsoft Entra Bağlan bir PFX sertifikası gerektirir. Bu nedenle, bu işlemi yalnızca MICROSOFT Entra Bağlan kullanarak AD FS grubu yapılandırdıysanız gerçekleştirebilirsiniz.
Ek federasyon sunucusu dağıt'ı ve ardından İleri'yi seçin.
Microsoft Entra Id'ye Bağlan sayfasında, Microsoft Entra Id için Karma Kimlik Yönetici istrator kimlik bilgilerinizi girin ve İleri'yi seçin.
Etki alanı yöneticisi kimlik bilgilerini sağlayın.
Microsoft Entra Bağlan, yeni AD FS grubunuzu Microsoft Entra Bağlan ile yapılandırırken sağladığınız PFX dosyasının parolasını sorar. PFX dosyasının parolasını sağlamak için ParolaYı Girin'i seçin.
AD FS Sunucuları sayfasında, AD FS grubuna eklenecek sunucu adını veya IP adresini girin.
İleri'yi seçin ve son Yapılandır sayfasını tamamlamaya devam edin.
Microsoft Entra Bağlan sunucuları AD FS grubuna eklemeyi tamamladıktan sonra, bağlantıyı doğrulama seçeneği size verilir.
AD FS WAP sunucusu ekleme
Dekont
Web Uygulama Ara Sunucusu sunucusu eklemek için Microsoft Entra Bağlan PFX sertifikası gerektirir. Bu nedenle, bu işlemi yalnızca Microsoft Entra Bağlan kullanarak AD FS grubu yapılandırdıktan sonra gerçekleştirebilirsiniz.
Kullanılabilir görevler listesinden Web Uygulama Ara Sunucusu Dağıt'ı seçin.
Azure Hibrit Kimlik Yönetici istrator kimlik bilgilerini sağlayın.
SSL sertifikasını belirtin sayfasında, AD FS grubu Microsoft Entra Bağlan ile yapılandırılırken sağladığınız PFX dosyasının parolasını girin.
WaP sunucusu olarak eklenecek sunucuyu ekleyin. WAP sunucusu etki alanına katılmayabileceği için sihirbaz, eklenen sunucuya yönetici kimlik bilgilerini sorar.
Ara sunucu güveni kimlik bilgileri sayfasında, ara sunucu güvenini yapılandırmak ve AD FS grubundaki birincil sunucuya erişmek için yönetici kimlik bilgilerini sağlayın.
Yapılandırmaya hazır sayfasında, sihirbaz gerçekleştirilecek eylemlerin listesini gösterir.
Yapılandırmayı tamamlamak için Yükle'yi seçin. Yapılandırma tamamlandıktan sonra sihirbaz, sunuculara bağlantıyı doğrulama seçeneği sunar. Bağlantıyı denetlemek için Doğrula'yı seçin.
Federasyon etki alanı ekleme
Microsoft Entra Bağlan kullanarak Microsoft Entra Id ile federasyon için bir etki alanı eklemek kolaydır. Microsoft Entra Bağlan, federasyon için etki alanını ekler ve Microsoft Entra Id ile birleştirilmiş birden çok etki alanınız olduğunda talep kurallarını vereni doğru yansıtacak şekilde değiştirir.
Federasyon etki alanı eklemek için Ek bir Microsoft Entra etki alanı ekle'yi seçin.
Sihirbazın sonraki sayfasında, Microsoft Entra Id için genel yönetici kimlik bilgilerini sağlayın.
Uzaktan erişim kimlik bilgileri sayfasında etki alanı yöneticisi kimlik bilgilerini sağlayın.
Sonraki sayfada sihirbaz, şirket içi dizininizi federasyona ekleyebileceğiniz Microsoft Entra etki alanlarının listesini sağlar. Listeden etki alanını seçin.
Etki alanını seçtikten sonra sihirbaz, gerçekleştireceği diğer eylemler ve yapılandırmanın etkisi hakkında sizi bilgilendirecektir. Bazı durumlarda, Henüz Microsoft Entra Id'de doğrulanmamış bir etki alanı seçerseniz, sihirbaz etki alanını doğrulamanıza yardımcı olur. Daha fazla bilgi için bkz . Özel etki alanı adınızı Microsoft Entra Id'ye ekleme.
İleri'yi seçin.
Yapılandırmaya hazır sayfasında Microsoft Entra Bağlan'ın gerçekleştireceği eylemler listelenir.
Yapılandırmayı tamamlamak için Yükle'yi seçin.
Dekont
Eklenen federasyon etki alanındaki kullanıcıların Microsoft Entra Kimliği'nde oturum açabilmesi için önce eşitlenmesi gerekir.
AD FS'i özelleştirme
Aşağıdaki bölümlerde, AD FS oturum açma sayfanızı özelleştirmek için gerçekleştirmeniz gerekebilecek bazı yaygın görevlerle ilgili ayrıntılar sağlanır.
Özel şirket logosu veya çizimi ekleme
Oturum açma sayfasında görüntülenen şirketin logosunu değiştirmek için aşağıdaki PowerShell cmdlet'ini ve söz dizimini kullanın.
Dekont
Logo için önerilen boyutlar 260 x 35 @ 96 dpi'dır ve dosya boyutu 10 KB'tan büyük değildir.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Dekont
TargetName parametresi gereklidir. AD FS ile yayımlanan varsayılan tema Varsayılan olarak adlandırılır.
Oturum açma açıklaması ekleme
Oturum açma sayfasına oturum açma sayfası açıklaması eklemek için aşağıdaki PowerShell cmdlet'ini ve söz dizimini kullanın.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
AD FS talep kurallarını değiştirme
AD FS, özel talep kuralları oluşturmak için kullanabileceğiniz zengin bir talep dilini destekler. Daha fazla bilgi için bkz . Talep Kuralı Dilinin Rolü.
Aşağıdaki bölümlerde, Microsoft Entra Id ve AD FS federasyonuyla ilgili bazı senaryolar için nasıl özel kurallar yazabileceğiniz açıklanmaktadır.
Özniteliğinde mevcut olan bir değere koşullu sabit kimlik
Microsoft Entra Bağlan, nesneler Microsoft Entra Id ile eşitlendiğinde kaynak bağlantı olarak kullanılacak bir öznitelik belirtmenize olanak tanır. Özel öznitelikteki değer boş değilse sabit bir kimlik talebi vermek isteyebilirsiniz.
Örneğin, kaynak bağlantı için özniteliğini seçebilir ms-ds-consistencyguid
ve özniteliğin bir değeri olması durumunda olduğu gibi ms-ds-consistencyguid
SabitKimliği sorununu çözebilirsiniz. Özniteliğine karşı bir değer yoksa sabit kimlik olarak sorun objectGuid
. Aşağıdaki bölümde açıklandığı gibi özel talep kuralları kümesini oluşturabilirsiniz.
Kural 1: Sorgu öznitelikleri
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
Bu kuralda, Active Directory'den kullanıcı için ve objectGuid
değerlerini ms-ds-consistencyguid
sorgulaacaksınız. AD FS dağıtımınızda mağaza adını uygun bir mağaza adıyla değiştirin. Ayrıca talep türünü ve ms-ds-consistencyguid
için tanımlandığı şekilde federasyonunuz için uygun bir talep türüyle objectGuid
değiştirin.
Ayrıca, kullanıp add
kullanmadığınızda issue
, varlık için giden bir sorun eklemekten kaçınabilir ve değerleri ara değerler olarak kullanabilirsiniz. sabit kimlik olarak hangi değeri kullanacağınızı belirledikten sonra talebi sonraki bir kuralda yayımlayacaksınız.
Kural 2: Kullanıcı için ms-ds-consistencyguid olup olmadığını denetleyin
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Bu kural, kullanıcı için doldurulmadıysa ms-ds-consistencyguid
olarak ayarlanmış useguid
olarak adlandırılan idflag
geçici bir bayrak tanımlar. Bunun ardındaki mantık, AD FS'nin boş taleplere izin vermemesidir. Talep http://contoso.com/ws/2016/02/identity/claims/objectguid
eklediğinizde ve http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid
Kural 1'de, yalnızca değer kullanıcı için doldurulduğunda msdsconsistencyguid talebiyle sonuçlanır. Doldurulmazsa AD FS boş bir değere sahip olacağını görür ve hemen bırakır. Kural 1 yürütüldükten sonra bu talep her zaman orada olacak şekilde tüm nesnelere sahip objectGuid
olur.
Kural 3: Varsa sabit kimlik olarak ms-ds-consistencyguid sorunu
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Bu örtük Exist
bir denetimdir. Talebin değeri varsa sabit kimlik olarak verin. Önceki örnekte talep kullanılır nameidentifier
. Bunu ortamınızdaki sabit kimlik için uygun talep türüyle değiştirmeniz gerekir.
Kural 4: ms-ds-consistencyGuid yoksa objectGuid'i sabit kimlik olarak sorun
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Bu kuralla, yalnızca geçici bayrağını idflag
denetlersiniz. Talebin değerine göre verilip verilmeyeceğine siz karar verirsiniz.
Dekont
Bu kuralların sırası önemlidir.
Alt etki alanı UPN'siyle SSO
Yeni federasyon etki alanı ekleme bölümünde açıklandığı gibi Microsoft Entra Bağlan kullanarak federasyon için birden fazla etki alanı ekleyebilirsiniz. Microsoft Entra Bağlan 1.1.553.0 ve sonraki sürümleri için issuerID
otomatik olarak doğru talep kuralını oluşturun. Microsoft Entra Bağlan sürüm 1.1.553.0 veya üzerini kullanamıyorsanız, Microsoft Entra ID bağlı olan taraf güveni için doğru talep kuralları oluşturmak ve ayarlamak için Microsoft Entra RPT Talep Kuralları aracını kullanmanızı öneririz.
Sonraki adımlar
Kullanıcı oturum açma seçenekleri hakkında daha fazla bilgi edinin.