檢閱 AD FS 的部署需求
適用于:Azure、Office 365、Power BI、Windows Intune
若要讓新的 AD FS 部署成功與 Azure AD 建立信賴憑證者信任,您必須先確定您的公司網路基礎結構已設定為支援帳戶、名稱解析和憑證的 AD FS 需求。 AD FS 具有以下類型的需求:
軟體需求
憑證需求
網路需求
軟體需求
您必須將 AD FS 軟體安裝在為同盟伺服器或同盟伺服器 Proxy 角色而準備的任何電腦上。 您可以使用 AD FS 安裝精靈或使用命令列上的 adfssetup.exe /quiet 參數執行無訊息安裝,來安裝此軟體。
針對基本安裝平臺,AD FS 需要 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012或 Windows Server 2012 R2 作業系統。 AD FS 針對 Windows Server 2008 有個別的安裝套件,Windows Server 2008 R2 作業系統平臺 (,而且通常稱為 AD FS 2.0) ,或可藉由將同盟服務伺服器角色新增為 Windows Server 2012 或 Windows Server 2012 R2 作業系統的一部分來安裝。
如果您在 Windows Server 2012 中使用 AD FS 2.0 或 AD FS,將會在實作 SSO 解決方案時部署及設定同盟伺服器 Proxy。
如果您在 Windows Server 2012 R2 中使用 AD FS,將需要部署 Web Application Proxy 才能將 AD FS 部署設定為允許外部網路存取。 在 Windows Server 2012 R2 中,您可以使用遠端存取伺服器角色的新角色服務 - Web Application Proxy 來允許從公司網路外部存取 AD FS。 如需詳細資訊,請參閱 Web Application Proxy 概觀。
必要條件
在 AD FS 安裝期間,安裝精靈會嘗試進行自動檢查,並且會在需要時安裝必要條件應用程式和相依的 Hotfix。 在大部分的情況下,安裝精靈會安裝 AD FS 運作及安裝所需的所有必要條件應用程式。
不過,有一個例外狀況:當您在 Windows Server 2008 平臺上安裝 AD FS 時, (做為稱為 AD FS 2.0) 的個別安裝套件。 如果您的部署情況是這種情況,您必須先確定執行 Windows Server 2008 的伺服器上已安裝 .NET 3.5 SP1,再安裝 AD FS 2.0 軟體,因為它是 AD FS 2.0 的必要條件,而且此平臺上的 AD FS 2.0 安裝精靈不會自動安裝。 如果未安裝 .NET 3.5 SP1,AD FS 2.0 安裝精靈將會防止安裝 AD FS 2.0 軟體。
Hotfix
安裝 AD FS 2.0 之後,您必須安裝 AD FS 2.0 Hotfix。 如需詳細資訊,請參閱Active Directory 同盟服務 (AD FS) 2.0 更新彙總套件 2 的描述。
虛擬化
AD FS 支援同盟伺服器和同盟伺服器 Proxy 角色的軟體虛擬化。 為了實現備援能力,我們建議您將每部 AD FS 虛擬機器儲存在個別的實體虛擬伺服器上。
如需使用 Microsoft 虛擬化技術設定虛擬伺服器環境的詳細資訊,請參閱Hyper-V 消費者入門指南。
憑證需求
憑證在保護同盟伺服器、Web 應用程式 Proxy、同盟伺服器 Proxy、雲端服務和 Web 用戶端之間的通訊方面扮演最重要的角色。 對於憑證的要求不盡相同,須視您要設定同盟伺服器、Web Application Proxy 或同盟伺服器 Proxy 電腦而定,如下表所述。
同盟伺服器憑證
同盟伺服器需要下表中的憑證。
| 憑證類型 | 描述 | 您需要在部署之前了解的內容 |
|---|---|---|
適用於 Windows Server 2012 R2 之 AD FS 的 SSL 憑證 (亦稱為伺服器驗證憑證) |
此為標準的安全通訊端層 (SSL) 憑證,它能用來保護同盟伺服器、用戶端、Web Application Proxy 及同盟伺服器 Proxy 電腦之間的通訊。 |
根據 AD FS 的需求,同盟伺服器陣列中的每部同盟伺服器都需要有用來進行 SSL 伺服器驗證的憑證。 陣列中的每部同盟伺服器都應使用相同的憑證。 您必須準備好憑證和私密金鑰。 例如,如果您將憑證和私密金鑰存放在 .pfx 檔案中,便能將檔案直接匯入 Active Directory Federation Services 組態精靈中。 此 SSL 憑證必須包含下列內容:
|
適用於舊版 AD FS 的 SSL 憑證 (亦稱為伺服器驗證憑證) |
此為標準的安全通訊端層憑證,它能用來保護同盟伺服器、用戶端、Web Application Proxy 及同盟伺服器 Proxy 電腦之間的通訊。 |
在設定同盟伺服器設定時,AD FS 須有 SSL 憑證。 依預設,AD FS 使用針對 Internet Information Services (IIS) 之預設網站所設定的 SSL 憑證。 此 SSL 憑證的主體名稱可用來判斷您部署之各個 AD FS 執行個體的同盟服務名稱。 基於這個理由,您可能想要考慮在任何新的憑證授權單位單位上選擇主體名稱, (CA) 發行的憑證,最能代表您公司或組織的名稱到雲端服務,而且此名稱必須是網際網路可路由傳送的。 例如,在本文稍早提供的圖表 (請參閱「階段 2」) 中,憑證的主體名稱為 fs.fabrikam.com。 重要 根據 AD FS 的需求,此 SSL 憑證的主體名稱必須含有點 (簡短名稱)。 必填: 因為 AD FS 和 Microsoft 雲端服務的用戶端必須信任此憑證,所以請使用由公用 (協力廠商) CA 或附屬於公開根信任目錄的 CA 所簽發的 SSL 憑證;例如,VeriSign 或 Thawte。 |
權杖簽署憑證 |
這是標準 X.509 憑證,用於安全地簽署同盟伺服器發出的所有權杖,以及雲端服務會接受和驗證。 |
權杖簽署憑證必須包含一個私密金鑰,而且應該鏈結到 Federation Service 中受信任的根目錄。 根據預設,AD FS 會建立自我簽署憑證。 然而,由於組織的需求不盡相同,您可以在稍後使用 AD FS 嵌入式管理單元將它變更為 CA 發行的憑證。 建議: 使用 AD FS 所產生的自我簽署權杖簽署憑證。 這樣一來,AD FS 預設會為您管理此憑證。 例如,當此憑證即將到期時,AD FS 會預先產生新的自我簽署憑證。 |
警告
權杖簽署憑證對於 Federation Service 的穩定性而言相當重要。 如果變更,雲端服務必須收到有關這項變更的通知。 否則,對雲端服務的要求將會失敗。 如需管理 AD FS 同盟伺服器陣列和雲端服務之憑證的詳細資訊,請參閱 更新信任屬性。
Proxy 電腦憑證
同盟伺服器 Proxy 需要下表中的憑證。
| 憑證類型 | 描述 | 您需要在部署之前了解的內容 |
|---|---|---|
SSL 憑證 |
此為標準的 SSL 憑證,它能用來保護同盟伺服器、同盟伺服器 Proxy 或 Web Application Proxy 及網際網路用戶端電腦之間的通訊。 |
此伺服器驗證憑證與公司網路之同盟伺服器所用的伺服器驗證憑證相同。 此憑證必須擁有與公司網路中同盟伺服器上設定之 SSL 憑證相同的主體名稱。 如果您在 Windows Server 2008 或 Windows Server 2012 中使用 AD FS,必須將此憑證安裝在同盟伺服器 Proxy 電腦的預設網站上。 如果您在 Windows Server 2012 R2 中使用 AD FS,必須將此憑證匯入即將當做 Web Application Proxy 之電腦的個人憑證存放區。 建議:使用與這個同盟伺服器 Proxy 或 Web 應用程式 Proxy連線的同盟伺服器上所設定的相同伺服器驗證憑證。 |
如需同盟伺服器和同盟伺服器 Proxy 使用之憑證的詳細資訊,請參閱AD FS 2.0 設計指南或Windows Server 2012 AD FS 設計指南。
網路需求
適當地設定以下網路服務是在組織中成功部署 AD FS 的要素。
TCP/IP 網路連線
若要使 AD FS 正常運作,用戶端、網域控制站、同盟伺服器及同盟伺服器 Proxy 之間必須具有 TCP/IP 網路連線。
DNS
ACTIVE Directory 以外的 AD FS 作業關鍵的主要網路服務是網域名稱系統 (DNS) 。 部署 DNS 時,使用者可以使用容易記住的好記電腦名稱,連接到電腦及 IP 網路上的其他資源。
更新 DNS 以支援 AD FS 的程序包含以下項目的設定:
公司網路中的內部 DNS 伺服器,以便為您在公司網路 NLB 主機上設定之 NLB 叢集的叢集 IP 位址,解析叢集 DNS 名稱。 例如,將 fs.fabrikam.com 解析為 172.16.1.3。
周邊網路 DNS 伺服器,以便為您在周邊網路 NLB 主機上設定之 NLB 叢集的叢集 IP 位址,解析叢集 DNS 名稱。 例如,將 fs.fabrikam.com 解析為 192.0.2.3。
NLB 需求
若要提供容錯、高可用性,以及跨多個節點的負載平衡,需要使用 NLB。 您可以使用硬體、軟體或兩者組合來實作 NLB。 您需要根據 NLB 叢集的 Federation Service 名稱設定 DNS 資源記錄,使叢集的完整網域名稱 (FQDN) (本文章另稱為叢集 DNS 名稱) 得以解析為叢集 IP 位址。
如需 NLB 叢集 IP 位址或叢集 FQDN 的一般資訊,請參閱 指定叢集參數。
使用驗證擴充保護
如果您的電腦具有驗證擴充保護,且您使用 Firefox、Chrome 或 Safari,則可能無法從公司網路內使用整合式Windows 驗證登入雲端服務。 如果發生這個情況,您的使用者可能會定期收到登入提示。 這是因為 Windows 7 上的預設組態 (,以及 AD FS 和驗證擴充保護) 修補的用戶端作業系統。
在 Firefox、Chrome 和 Safari 支援擴充保護以進行驗證之前,建議的選項是讓所有存取雲端服務的用戶端安裝及使用 Windows Internet Explorer 8。 如果您想要使用單一登入搭配 Firefox、Chrome 或 Safari 的雲端服務,有兩個其他解決方案需要考慮。 不過,採用任一種做法,都可能有安全性的疑慮。 如需詳細資訊,請參閱 Microsoft 資訊安全諮詢:驗證的延伸保護。 解決方案包括:
從電腦解除安裝驗證擴充保護修補程式。
變更 AD FS 伺服器上的驗證擴充保護設定。 如需詳細資訊,請參閱 設定 AD FS 2.0 的進階選項。
將每部同盟伺服器上 AD FS 網頁的驗證設定從整合式 Windows 驗證重新設定為使用表單型驗證。
後續步驟
既然您已檢閱部署 AD FS 的需求,下一個步驟是 準備同盟伺服器的網路基礎結構。