AD FS dağıtma gereksinimlerini gözden geçirin
Şunlar için geçerlidir: Azure, Office 365, Power BI, Windows Intune
yeni bir AD FS dağıtımının Azure AD ile güvenilir taraf güvenini başarıyla oluşturması için, önce kurumsal ağ altyapınızın hesaplar, ad çözümlemesi ve sertifikalar için AD FS gereksinimlerini destekleyecek şekilde yapılandırıldığından emin olmanız gerekir. AD FS aşağıdaki tür gereksinimlere sahiptir:
Yazılım gereksinimleri
Sertifika gereksinimleri
Ağ gereksinimleri
Yazılım gereksinimleri
AD FS yazılımı, federasyon sunucusu veya federasyon sunucusu proxy rolü için hazırladığınız herhangi bir bilgisayara yüklenmelidir. Bu yazılımı AD FS Kurulum Sihirbazı'nı kullanarak veya komut satırında adfssetup.exe /quiet parametresini kullanarak sessiz bir yükleme gerçekleştirerek yükleyebilirsiniz.
Temel yükleme platformu için AD FS için Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 veya Windows Server 2012 R2 işletim sistemi gerekir. AD FS, Windows Server 2008, Windows Server 2008 R2 işletim sistemi platformları (ve genellikle AD FS 2.0 olarak adlandırılır) için ayrı bir yükleme paketine sahiptir veya Windows Server 2012 veya Windows Server 2012 R2 işletim sisteminin bir parçası olarak Federasyon Hizmeti sunucu rolü eklenerek yüklenebilir.
Windows Server 2012'de AD FS 2.0 veya AD FS kullanıyorsanız, SSO çözümünüzü uygulamanın bir parçası olarak federasyon sunucusu proxy'lerini dağıtıp yapılandıracaksınız.
Windows Server 2012 R2'de AD FS kullanıyorsanız, extranet erişimi için AD FS dağıtımınızı yapılandırmak üzere Web Uygulaması Proxy'lerini dağıtırsınız. Windows Server 2012 R2'de, AD FS'nizin kurumsal ağın dışından erişilebilir olmasını sağlamak için Uzaktan Erişim sunucusu rolünün yeni rol hizmeti web Uygulama Ara Sunucusu kullanılır. Daha fazla bilgi için bkz. Web Uygulama Ara Sunucusu Genel Bakış.
Önkoşullar
AD FS yükleme işlemi sırasında, kurulum sihirbazı hem önkoşul uygulamalarını hem de bağımlı düzeltmeleri otomatik olarak denetlemeyi ve gerekirse yüklemeyi dener. Çoğu durumda, kurulum sihirbazı AD FS'nin çalışması ve yüklemesi için gereken tüm önkoşul uygulamalarını yükler.
Ancak bir özel durum vardır: Windows Server 2008 platformuna AD FS yüklerken (AD FS 2.0 olarak bilinen ayrı bir yükleme paketi olarak). Dağıtım durumunuz böyleyse, AD FS 2.0 yazılımını yüklemeden önce, AD FS 2.0 yazılımını yüklemeden önce Windows Server 2008 çalıştıran sunucularda .NET 3.5 SP1'in yüklü olduğundan emin olmanız gerekir. Bu, AD FS 2.0'ın önkoşullarından biridir ve bu platformdaki AD FS 2.0 Kurulum Sihirbazı tarafından otomatik olarak yüklenmez. .NET 3.5 SP1 yüklü değilse, AD FS 2.0 Kurulum Sihirbazı AD FS 2.0 yazılımının yüklenmesini engeller.
Düzeltmeler
AD FS 2.0'ı yükledikten sonra AD FS 2.0 düzeltmelerini yüklemeniz gerekir. Daha fazla bilgi için bkz. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) 2.0 için Güncelleştirme Paketi 2'nin Açıklaması.
Sanallaştırma
AD FS, hem federasyon sunucusu hem de federasyon sunucusu proxy rollerinin yazılım sanallaştırmasını destekler. Yedekliliği hesaba katmak için her AD FS sanal makinesini ayrı, fiziksel sanal sunucularda depolamanızı öneririz.
Microsoft sanallaştırma teknolojisini kullanarak sanal sunucu ortamı ayarlama hakkında daha fazla bilgi için bkz. Hyper-V Kullanmaya Başlama Kılavuzu.
Sertifika gereksinimleri
Sertifikalar, federasyon sunucuları, Web Uygulaması Proxy'leri, federasyon sunucusu proxy'leri, bulut hizmeti ve web istemcileri arasındaki iletişimin güvenliğini sağlamada en kritik rolü oynar. Sertifikaların gereksinimleri, aşağıdaki tablolarda açıklandığı gibi bir federasyon sunucusu, Web Uygulama Ara Sunucusu veya federasyon sunucusu proxy bilgisayarı ayarlayıp ayarlamadığınıza bağlı olarak değişir.
Federasyon sunucusu sertifikaları
Federasyon sunucuları aşağıdaki tabloda yer alan sertifikaları gerektirir.
| Sertifika türü | Description | Dağıtmadan önce bilmeniz gerekenler |
|---|---|---|
Windows Server 2012 R2'de AD FS için SSL sertifikası (Sunucu Kimlik Doğrulama Sertifikası olarak da adlandırılır) |
Bu, federasyon sunucuları, istemciler, Web Uygulama Ara Sunucusu ve federasyon sunucusu proxy bilgisayarları arasındaki iletişimin güvenliğini sağlamak için kullanılan standart bir Güvenli Yuva Katmanı (SSL) sertifikasıdır. |
AD FS, federasyon sunucusu grubunuzdaki her federasyon sunucusunda SSL sunucusu kimlik doğrulaması için bir sertifika gerektirir. Aynı sertifika, bir grup içindeki her federasyon sunucusunda kullanılmalıdır. Hem sertifikaya hem de özel anahtarına sahip olmanız gerekir. Örneğin, sertifikaya ve özel anahtarına bir .pfx dosyasında sahipseniz, dosyayı doğrudan Active Directory Federasyon Hizmetleri (AD FS) Yapılandırma Sihirbazı'na aktarabilirsiniz. Bu SSL sertifikası şunları içermelidir:
|
AD FS'nin eski sürümleri için SSL sertifikası (Sunucu Kimlik Doğrulama Sertifikası olarak da adlandırılır) |
Bu, federasyon sunucuları, istemciler, Web Uygulama Ara Sunucusu ve federasyon sunucusu proxy bilgisayarları arasındaki iletişimin güvenliğini sağlamak için kullanılan standart bir Güvenli Yuva Katmanı sertifikasıdır. |
AD FS, federasyon sunucusu ayarlarını yapılandırırken ssl sertifikası gerektirir. Varsayılan olarak AD FS, Internet Information Services'de (IIS) Varsayılan Web Sitesi için yapılandırılan SSL sertifikasını kullanır. Bu SSL sertifikasının Konu adı, dağıttığınız her AD FS örneğinin Federasyon Hizmeti adını belirlemek için kullanılır. Bu nedenle, şirketinizin veya kuruluşunuzun adını bulut hizmetine en iyi şekilde temsil eden ve bu adın İnternet'e yönlendirilebilir olması gereken yeni sertifika yetkilisi (CA) tarafından verilen tüm sertifikalarda Konu adı seçmeyi düşünebilirsiniz. Örneğin, bu makalenin önceki bölümlerinde sağlanan diyagramda ("2. Aşama" bölümüne bakın), sertifikanın konu adı fs.fabrikam.com. Önemli AD FS, bu SSL sertifikasının noktasız (kısa ad) Konu adı olmadan olmasını gerektirir. Gerekli: Bu sertifikaya AD FS ve Microsoft bulut hizmetlerinin istemcileri tarafından güvenilmesi gerektiğinden, genel (üçüncü taraf) CA veya genel olarak güvenilen bir köke bağlı bir CA tarafından verilen bir SSL sertifikası kullanın; örneğin, VeriSign veya Thawte. |
Belirteç imzalama sertifikası |
Bu, federasyon sunucusunun kullandığı ve bulut hizmetinin kabul edip doğrulayacakları tüm belirteçleri güvenli bir şekilde imzalamak için kullanılan standart bir X.509 sertifikasıdır. |
Belirteç imzalama sertifikası özel bir anahtar içermeli ve Federasyon Hizmeti'ndeki güvenilen köke zincirli olmalıdır. Varsayılan olarak, AD FS otomatik olarak imzalanan bir sertifika oluşturur. Ancak, kuruluşunuzun gereksinimlerine bağlı olarak, bunu daha sonra AD FS Yönetimi ek bileşenini kullanarak CA tarafından verilen bir sertifikayla değiştirebilirsiniz. Öneri: AD FS tarafından oluşturulan otomatik olarak imzalanan belirteç imzalama sertifikasını kullanın. Bunu yaptığınızda, AD FS bu sertifikayı sizin için varsayılan olarak yönetir. Örneğin, bu sertifikanın süresi doluyorsa, AD FS önceden kullanmak üzere yeni bir otomatik olarak imzalanan sertifika oluşturur. |
Uyarı
Belirteç imzalama sertifikası, Federasyon Hizmeti'nin kararlılığı açısından kritik öneme sahiptir. Bu değişikliğin yapılması durumunda bulut hizmetine bu değişiklikle ilgili bilgi verilmesi gerekir. Aksi takdirde, bulut hizmetine yönelik istekler başarısız olur. AD FS federasyon sunucusu grubu ve bulut hizmeti genelinde sertifikaları yönetme hakkında daha fazla bilgi için bkz . Güven özelliklerini güncelleştirme.
Proxy bilgisayar sertifikaları
Federasyon sunucusu proxy'leri aşağıdaki tabloda yer alan sertifikayı gerektirir.
| Sertifika türü | Description | Dağıtmadan önce bilmeniz gerekenler |
|---|---|---|
SSL sertifikası |
Bu, federasyon sunucusu, federasyon sunucusu ara sunucusu veya Web Uygulama Ara Sunucusu ile İnternet istemci bilgisayarları arasındaki iletişimin güvenliğini sağlamak için kullanılan standart bir SSL sertifikasıdır. |
Bu, şirket ağındaki federasyon sunucuları tarafından kullanılan sunucu kimlik doğrulama sertifikasıyla aynıdır. Bu sertifika, şirket ağındaki federasyon sunucusunda yapılandırılmış SSL sertifikasıyla aynı konu adına sahip olmalıdır. AD FS'yi Windows Server 2008 veya Windows Server 2012 kullanıyorsanız, bu sertifikayı federasyon sunucusu proxy bilgisayarının Varsayılan Web Sitesine yüklemeniz gerekir. Windows Server 2012 R2'de AD FS kullanıyorsanız, bu sertifikayı Web Uygulama Ara Sunucusu işlevi görecek bilgisayardaki Kişisel Sertifikalar deposuna aktarmanız gerekir. Öneri: Bu federasyon sunucusu proxy'sinin veya Web Uygulama Ara Sunucusu bağlanacağı federasyon sunucusunda yapılandırılan sunucu kimlik doğrulama sertifikasını kullanın. |
Federasyon sunucularının ve federasyon sunucusu proxy'lerinin kullandığı sertifikalar hakkında daha fazla bilgi için bkz. AD FS 2.0 Tasarım Kılavuzu veya AD FS Tasarım Kılavuzu'nu Windows Server 2012.
Ağ gereksinimleri
Aşağıdaki ağ hizmetlerini uygun şekilde yapılandırmak, kuruluşunuzda AD FS'nin başarılı bir şekilde dağıtılması için kritik öneme sahiptir.
TCP/IP ağ bağlantısı
AD FS'nin çalışması için istemci, etki alanı denetleyicileri, federasyon sunucuları ve federasyon sunucusu proxy'leri arasında TCP/IP ağ bağlantısı olmalıdır.
DNS
Active Directory dışında AD FS'nin işlemi için kritik öneme sahip birincil ağ hizmeti, Etki Alanı Adı Sistemi'dir (DNS). DNS dağıtıldığında, kullanıcılar IP ağlarındaki bilgisayarlara ve diğer kaynaklara bağlanmak için basitçe hatırlanan kolay bilgisayar adlarını kullanabilir.
DNS'yi AD FS'yi destekleyecek şekilde güncelleştirme işlemi şunlardan oluşur:
Şirket ağı NLB ana bilgisayarında yapılandırdığınız NLB kümesinin küme IP adresine küme DNS adını çözümlemek için şirket ağındaki iç DNS sunucuları. Örneğin, fs.fabrikam.com 172.16.1.3'e çözümleme.
Çevre ağı DNS sunucuları, küme DNS adını, çevre NLB ana bilgisayarında yapılandırdığınız NLB kümesinin küme IP adresine çözümlemek için. Örneğin, fs.fabrikam.com 192.0.2.3'e çözümleme.
NLB gereksinimleri
NLB, birden çok düğümde hataya dayanıklılık, yüksek kullanılabilirlik ve yük dengeleme sağlamak için gereklidir. Donanım, yazılım veya her ikisinin birleşimiyle uygulanabilir. Kümenin (bu makalede küme DNS adı olarak da adlandırılır) tam etki alanı adının (bu makalede küme DNS adı olarak da adlandırılır) küme IP adresine çözümlenmesi için NLB kümesi için Federasyon Hizmeti adınıza göre DNS kaynak kayıtlarını yapılandırmanız gerekir.
NLB kümesi IP adresi veya küme FQDN'si hakkında genel bilgi için bkz. Küme Parametrelerini Belirtme.
Kimlik Doğrulaması için Genişletilmiş Koruma kullanma
Bilgisayarlarınızda Kimlik Doğrulaması için Genişletilmiş Koruma varsa ve Firefox, Chrome veya Safari kullanıyorsanız, şirket ağı içinden Tümleşik Windows kimlik doğrulamasını kullanarak bulut hizmetinde oturum açamayabilirsiniz. Bu durum oluşursa, kullanıcılarınız düzenli olarak oturum açma istemleri alabilir. Bunun nedeni, AD FS ve Kimlik Doğrulaması için Genişletilmiş Koruma için varsayılan yapılandırma (Windows 7 ve düzeltme eki uygulamalı istemci işletim sistemlerinde).
Firefox, Chrome ve Safari Kimlik Doğrulaması için Genişletilmiş Koruma'yı destekleyene kadar önerilen seçenek, bulut hizmetine erişen tüm istemcilerin Internet Explorer 8 Windows yükleyip kullanmasıdır. Bulut hizmeti için Firefox, Chrome veya Safari ile çoklu oturum açmayı kullanmak istiyorsanız göz önünde bulundurmanız gereken iki çözüm daha vardır. Ancak, bu yaklaşımlardan herhangi birinin alınmasında güvenlik endişeleri olabilir. Daha fazla bilgi için bkz. Microsoft Güvenlik Önerisi: Kimlik doğrulaması için genişletilmiş koruma. Çözümler şunlardır:
Bilgisayarınızdan Kimlik Doğrulaması için Genişletilmiş Koruma düzeltme eklerini kaldırma.
AD FS sunucusunda Kimlik Doğrulaması için Genişletilmiş Koruma ayarını değiştirme. Daha fazla bilgi için bkz. AD FS 2.0 için Gelişmiş Seçenekleri Yapılandırma.
Tümleşik Windows kimlik doğrulamasından Form Tabanlı Kimlik Doğrulaması'nı kullanmaya kadar her federasyon sunucusundaki AD FS web sayfasının kimlik doğrulama ayarlarını yeniden yapılandırma.
Sonraki adım
AD FS dağıtma gereksinimlerini gözden geçirdiğinizden sonraki adım , ağ altyapınızı federasyon sunucuları için hazırlamadır.
Ayrıca Bkz.
Kavramlar
Denetim Listesi: Çoklu oturum açmayı uygulamak ve yönetmek için AD FS kullanma