查看有关部署 AD FS 的要求
适用于:Azure、Office 365、Power BI、Windows Intune
若要使用 Azure AD 成功创建信赖方信任的新 AD FS 部署,必须先确保公司网络基础结构配置为支持帐户、名称解析和证书的 AD FS 要求。 AD FS 提出了以下类型的要求:
软件要求
证书要求
网络要求
软件要求
必须在准备用作联合服务器或联合服务器代理角色的任何计算机上安装 AD FS 软件。 可以使用 AD FS 安装向导或通过命令行上的 adfssetup.exe /quiet 参数执行安静安装来安装此软件。
对于基本安装平台,AD FS 需要 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2 操作系统。 AD FS 为 Windows Server 2008、Windows Server 2008 R2 操作系统平台 (单独安装包,通常称为 AD FS 2.0) ,也可以通过将联合身份验证服务服务器角色添加为 Windows Server 2012 或 Windows Server 2012 R2 操作系统的一部分来安装。
如果你在 Windows Server 2012 中使用 AD FS 2.0 或 AD FS,则在实施 SSO 解决方案的过程中,将要部署和配置联合服务器代理。
如果你在 Windows Server 2012 R2 中使用 AD FS,则需部署 Web 应用程序代理,以便将 AD FS 部署配置为允许进行 Extranet 访问。 在 Windows Server 2012 R2 中,将使用 Web 应用程序代理(远程访问服务器角色的一个新角色服务)来实现从企业网络外部对 AD FS 进行访问。 有关详细信息,请参阅 Web 应用程序代理概述。
先决条件
在安装 AD FS 的过程中,安装向导将尝试自动检查并根据需要安装必备的应用程序和依赖的修补程序。 在大多数情况下,安装向导将会安装所有必备的应用程序,以便能够安装和运行 AD FS。
但是,有一个例外:在 Windows Server 2008 平台上安装 AD FS 时, (作为称为 AD FS 2.0) 的单独安装包。 如果是在部署情况下的情况,首先需要在运行 Windows Server 2008 的服务器上安装 .NET 3.5 SP1,然后再安装 AD FS 2.0 软件,因为它是 AD FS 2.0 的先决条件,因此不会在此平台上由 AD FS 2.0 安装向导自动安装。 如果未安装 .NET 3.5 SP1,AD FS 2.0 安装向导将阻止安装 AD FS 2.0 软件。
修补程序
安装 AD FS 2.0 后,必须安装 AD FS 2.0 修补程序。 有关详细信息,请参阅 Active Directory 联合身份验证服务 (AD FS) 2.0 的更新汇总 2 的说明。
虚拟化
AD FS 支持对联合服务器和联合服务器代理角色进行软件虚拟化。 若要实现冗余,建议你将每个 AD FS 虚拟机存储在独立的物理虚拟服务器上。
有关使用 Microsoft 虚拟化技术设置虚拟服务器环境的详细信息,请参阅 Hyper-V 入门指南。
证书要求
证书在保护联合服务器、Web 应用程序代理、联合服务器代理、云服务和 Web 客户端之间的通信方面发挥了最关键的作用。 有关证书的要求各不相同,具体取决于你要设置的是联合服务器、Web 应用程序代理还是联合服务器代理计算机,如下列表格中所述。
联合服务器证书
联合服务器要求下表中的证书。
证书类型 | 说明 | 在部署之前你需要知道的内容 |
---|---|---|
用于 Windows Server 2012 R2 中 AD FS 的 SSL 证书(又称为服务器身份验证证书) |
这是一种标准的安全套接字层 (SSL) 证书,用于保护联合服务器、客户端、Web 应用程序代理和联合服务器代理计算机之间的通信。 |
AD FS 要求联合服务器场中的每台联合服务器上都有一个证书用于 SSL 服务器身份验证。 应该在场中的每台联合服务器上使用同一个证书。 你必须获得该证书及其私钥。 例如,如果你在 .pfx 文件中提供了该证书及其私钥,则可以直接将该文件导入到 Active Directory 联合身份验证服务配置向导。 此 SSL 证书必须包含以下内容:
|
用于 AD FS 旧版本的 SSL 证书(又称为服务器身份验证证书) |
这是一种标准的安全套接字层证书,用于保护联合服务器、客户端、Web 应用程序代理和联合服务器代理计算机之间的通信。 |
在配置联合服务器设置时,AD FS 需要使用 SSL 证书。 默认情况下,AD FS 使用针对 Internet Information Services (IIS) 中的默认网站配置的 SSL 证书。 此 SSL 证书的使用者名称用于确定你要部署的每个 AD FS 实例的联合身份验证服务名称。 因此,可能需要考虑在任何新的证书颁发机构上选择使用者名称 (CA) 颁发的证书,这些证书最能代表公司或组织的名称到云服务,并且此名称必须是 Internet 路由的。 例如,在本文前面提供的图(请参阅“第 2 阶段”)中,证书的主题名称应为 fs.fabrikam.com。 重要 AD FS 要求此 SSL 证书中的使用者名称带点号(短名称)。 必填: 由于此证书必须由 AD FS 和 Microsoft 云服务的客户端信任,因此请使用由公共 (第三方) CA 颁发的 SSL 证书,或者由从属于公共受信任的根的 CA 颁发;例如,VeriSign 或 Thawte。 |
令牌签名证书 |
这是一个标准 X.509 证书,用于安全地对联合服务器颁发的所有令牌进行签名,云服务将接受和验证。 |
令牌签名证书必须包含私钥,而且它应链接到联合身份验证服务中受信任的根。 默认情况下,AD FS 创建自签名证书。 但是,你以后可以根据组织的需要,使用“AD FS 管理”管理单元将此证书更改为 CA 颁发的证书。 建议: 使用 AD FS 生成的自签名令牌签名证书。 这样,AD FS 便可以按默认为你管理此证书。 例如,当此证书即将过期时,AD FS 将提前生成要使用的新的自签名证书。 |
警告
令牌签名证书对于联合身份验证服务的稳定性而言至关重要。 如果更改,云服务需要通知有关此更改的信息。 否则,对云服务的请求将失败。 有关跨 AD FS 联合服务器场和云服务管理证书的详细信息,请参阅 更新信任属性。
代理计算机证书
联合服务器代理需要下表中的证书。
证书类型 | 说明 | 在部署之前你需要知道的内容 |
---|---|---|
SSL 证书 |
这是一种标准的 SSL 证书,用于保护联合服务器、联合服务器代理或 Web 应用程序代理与 Internet 客户端计算机之间的通信。 |
此服务器身份验证证书与企业网络中的联合服务器使用的证书相同。 此证书必须与在公司网络中的联合服务器上配置的 SSL 证书具有相同的主题名称。 如果你在 Windows Server 2008 或 Windows Server 2012 中使用 AD FS,则必须在联合服务器代理计算机的默认网站中安装此证书。 如果你在 Windows Server 2012 R2 中使用 AD FS,则必须将此证书导入到充当 Web 应用程序代理的计算机上的“个人证书”存储中。 建议:使用此联合服务器代理或 Web 应用程序代理将连接到的联合服务器上配置的相同服务器身份验证证书。 |
有关联合服务器和联合服务器代理使用的证书的详细信息,请参阅 AD FS 2.0 设计指南或Windows Server 2012 AD FS 设计指南。
网络要求
要在组织中成功部署 AD FS,正确配置以下网络服务至关重要。
TCP/IP 网络连接
要使 AD FS 正常运行,客户端、域控制器、联合服务器和联合服务器代理之间必须存在 TCP/IP 网络连接。
DNS
AD FS 操作(非 Active Directory)的主要网络服务是域名系统 (DNS) 。 在部署 DNS 时,用户可以使用很容易记住的友好的计算机名称来连接到 IP 网络上的计算机以及其他资源。
为了支持 AD FS 而更新 DNS 的过程包括以下步骤:
公司网络中的内部 DNS 服务器,用于将群集 DNS 名称解析为你在公司网络 NLB 主机上配置的 NLB 群集的群集 IP 地址。 例如,将 fs.fabrikam.com 解析为 172.16.1.3。
外围网络 DNS 服务器,用于将群集 DNS 名称解析为你在外围网络中的 NLB 主机上配置的 NLB 群集的群集 IP 地址。 例如,将 fs.fabrikam.com 解析为 192.0.2.3。
NLB 要求
NLB 需要跨多个节点提供容错、高可用性和负载平衡功能。 它可以使用硬件、软件或同时使用两者来实现。 需要根据 NLB 群集的联合身份验证服务名称来配置 DNS 资源记录,以便将群集的完全限定域名 (FQDN)(在本文中又称为群集 DNS 名称)解析为群集 IP 地址。
有关 NLB 群集 IP 地址或群集 FQDN 的常规信息,请参阅 指定群集参数。
利用身份验证扩展保护
如果计算机具有用于身份验证的扩展保护,并且你使用 Firefox、Chrome 或 Safari,则可能无法从企业网络内部使用集成Windows 身份验证登录到云服务。 如果出现这种情况,用户可能会定期收到登录提示。 这是因为 Windows 7 上的默认配置 (,以及 AD FS 和身份验证扩展保护) 修补的客户端操作系统。
在 Firefox、Chrome 和 Safari 支持扩展身份验证保护之前,建议的选项是让访问云服务的所有客户端安装和使用 Windows Internet Explorer 8。 如果要将单一登录用于 Firefox、Chrome 或 Safari 的云服务,还有另外两种需要考虑的解决方案。 但是,在采用这两种办法中的任何一种时都可能会导致安全问题。 有关详细信息,请参阅 Microsoft 安全公告:用于身份验证的扩展保护。 解决方案包括:
从你的计算机卸载身份验证扩展保护修补程序。
更改 AD FS 服务器上的身份验证扩展保护设置。 有关详细信息,请参阅为 AD FS 2.0 配置高级选项。
在每台联合服务器上,将针对 AD FS 网页的身份验证设置由集成 Windows 身份验证重新配置为使用基于窗体的身份验证。
后续步骤
现在,你已查看了部署 AD FS 的要求,下一步是为 联合服务器准备网络基础结构。