Quando si parla di rivedere e Office 365 con i clienti, volevo avere una serie di post per illustrare le fasi durante la distribuzione di Office 365. Nelle bozze fiorenti cartella ADFS era in cima, in modo che ha fatto finito prima!
L'atto di distribuzione e la configurazione ADFS 2012 R2 per Office 365 sarà suddiviso in tre post del blog separati
Installare ADFS (questo post)
Installare ADFS Proxy
ADFS leva con Office 365
Identità, Identità, Identità
Il panorama della sicurezza informatica continua evoluzione. Uno dei recenti cambiamenti è un allontanamento da ACL sul file nel file system NTFS di un sistema di controllo di accesso basato sui crediti. Claims autenticazione basata è un settore protocollo di sicurezza standard di per autenticare gli utenti. Questa è la standard WS- * sottostanti che descrivono l'uso di Security Assertion Markup Language (SAML) gettoni. Reclami auth base richiede questi token, e per estensione un'entità che può emettere il token. Questa è la sicura Token Service (STS). Il server STS può essere basata su Active Directory Federation Services (ADFS) o altre piattaforme che forniscono questo servizio.
ADFS illumina una delle tre opzioni per la gestione delle identità Office 365, che è l'opzione # 3 nella lista qui sotto:
Nube Identity - gli utenti sono creati, e gestito, in Windows Azure Active Directory (Waad). Nessun collegamento a qualsiasi altra directory. Questo è il modello più semplice in quanto non c'è integrazione a qualsiasi altra directory. Ogni utente ha un account creato nel cloud che non sincronizzare altrove. Si noti che è ancora in genere bisogno di ulteriori credenziali locali per accedere a una postazione di lavoro locale e le risorse locali.
Directory Sincronizzazione - Gli utenti vengono creati e gestiti nella directory locale e sincronizzate fino a Office 365 in modo che possano accedere alle risorse di Office 365. In genere questo significa correre l'apparecchio DirSync, o in alcuni casi FIM con Windows Azure Active Directory Connector. La build più recenti di DirSync consentire hash della password dell'utente per essere sincronizzato fino a Office 365. Nota questo non lo dice chiaro la password di testo. Questo permette all'utente di accedere al di Office 365 utilizzando le stesse credenziali come on-premises con nessuna infrastruttura aggiuntiva.
Federated Identity - Federazione si basa sulla sincronizzazione delle directory in modo che Waad è popolato. Quando la richiesta di autenticazione viene presentato Office 365, il servizio sarà quindi contattare l'infrastruttura on-premises ADFS in modo che AD è responsabile per l'autenticazione della richiesta.
ADFS è la scelta primaria per i clienti che desiderano utilizzare le identità federate con Office 365. Oltre a questo ci sono una varietà di fornitori di identità terzi qualificati che può essere collegato con Office 365 per fornire l'impianto idraulico necessario per la federazione. Il collegamento URL aka.ms/SSOProviders link ai 'funziona con Office 365' programma Identity, ed elenca i provider di identità che si sono qualificati con Office 365. Si prega di leggere le note sulla pagina TechNet per quanto riguarda gli aspetti di analisi e di supporto di questi servizi.
Alcuni clienti potranno utilizzare questi servizi in quanto non vogliono investire in un errore di implementazione ADFS tollerante e geograficamente dispersa. La disponibilità di ADFS è un punto di discussione fondamentale quando si parla di federazione. Per qualsiasi motivo, se l'infrastruttura ADFS non è disponibile, quindi Office 365 non può completare il processo di autenticazione e quindi gli utenti non possono accedere a Office 365.
Inoltre dal DirSync ora replica la password hash dell'utente a Waad, alcuni clienti utilizzano ora DirSync fornire Same Sign On / Single Sign On (SSO). DirSync versione 1.0.6385.12, che è stato pubblicato nel maggio 2013, e quest'ultimo costruisce fornire la possibilità di sincronizzare le password. DirSync può essere scaricato qui , e il TechNet Wiki ha dettagli sulla storia di rilascio. Quando si esegue la procedura guidata di configurazione con questa release si otterrà la finestra lucido "Sincronizzazione Password":
Windows Azure Active Directory Sync Tool Abilita sincronizzazione password
Questo vale la pena di menzionare in quanto vi è ancora una percezione che ADFS è un requisito difficile da ottenere SSO. Questo è soooooooooooo Q1 2013!
Comunque, sto divagando torniamo ad ADFS ... ..
Noi guardiamo l'installazione di ADFS 2012 R2 in quanto ci sono numerose caratteristiche interessanti di questa versione!
Cosa c'è di nuovo e migliorato In ADFS 2012 R2
La risposta più immediata è molto! Alcuni esempi includono:
La dipendenza IIS rimosso
Opzione di installazione del server singolo rimossa e ora hanno unico per azienda di installazione (consigliato installare una fattoria sempre in release precedente comunque)
Indipendente ruolo delega ADFS rimosso. ADFS delega ora basato off Application Proxy Web (WAP), e viene utilizzato per pubblicare il server ADFS a Internet. WAP può pubblicare molte altre applicazioni, non solo ADFS.
ADFS extranet lockout - aggiunge la protezione di blocco account sul proxy ADFS
Controllo di accesso in base alla posizione di rete per controllare l'autenticazione dell'utente per ADFS
Ci sono molti altri, ma controllare qui per loro dal momento che ci concentriamo su Office 365 utilizzo per ADFS.
Si noti che non mi vedrete chiamo questa versione ADFS 3.0. Il suo nome completo e corretto è ADFS 2012 R2. per riferimento qui sono le versioni precedenti e quello che alcune persone li chiamano:
ADFS Costruire
Note
ADFS 1.0 Rilasciato con Windows 2003 R2. Costruito in OS.
ADFS 1.1 Rilasciato con Windows 2008 e 2008 R2. Costruito in OS.
ADFS 2.0 Rilasciato Dopo che Windows 2008/2008 R2. Download separato da qui .
ADFS 2.1 Di Windows 2012
ADFS 3.0 Di Windows 2012 R2
Aggiornamento 2014/05/05: Si veda anche questo post su esplorare ADFS 2012 R2 protezione Extranet Lockout.
Aggiornare 29-5-2014: Ti invitiamo anche aggiornamento 2.948.086 aggiornamento che migliora AD FS proxy e STS affidabilità in Windows Server 2012 R2 quando più client accedi .
Aggiornamento 2014/09/09: Per gli altri messaggi su ADFS, si prega di consultare il tag cloud .
Pianificazione E Prerequisiti e altri Fun Dettagli
Prerequisiti
I prerequisiti sono elencati su TechNet . Naturalmente prima di saltare in installare l'installazione deve essere pianificata.
ADFS Ruolo Pianificazione
Il ruolo ADFS deve essere implementato all'interno della rete aziendale, e non nella DMZ. Il ruolo di proxy ADFS è destinato ad essere installato nella DMZ.
La topologia di default per Active Directory Federation Services (ADFS) è un server farm federativa, utilizzando il database interno di Windows (WID), che consiste di un massimo di cinque server federativi ospitano Federation servizio dell'organizzazione. In questa topologia, AD FS usa WID come il negozio per il database di configurazione di AD FS per tutti i server federativi che fanno parte di tale azienda. L'azienda replica e mantiene i dati Servizio federativo nel database di configurazione su ogni server della farm.
Dal momento che la disponibilità di Office 365 si basa sulla disponibilità di ADFS quando il dominio è federato c'è una forte raccomandazione di avere almeno due server ADFS con un'infrastruttura delega ADFS ridondante.
Si prega di leggere la guida di progettazione su TechNet.
Account ADFS Servizio
Ora possiamo utilizzare un account di servizio standard o un account di servizio gruppo gestito in ADFS 2012 R2.
In questo caso, poiché la chiave principale KDS non è stato configurato, consente di sfruttare un account di servizio standard.
Il processo di installazione dovrebbe impostare il servizio richiesto nomi principali (SPN) sul conto.
Namespace ADFS
Selezionare quale nome si è da utilizzare per accedere ADFS. In genere questo è lungo le linee di:
sts.wingtiptoys.ca
adfs.tailspintoys.ca
Si noti che questo è lo spazio per il servizio ADFS. Dal saremo utilizzando Kerberos per accedere ADFS all'interno, ci deve essere un Service Principle Name (SPN) registrato per questo nome. Questo sarà associato all'account del servizio, e dal momento che SPN operano in "Highlander - non ci può essere solo uno!" Modo non si vuole duplicare il SPN sul server ADFS nominando il computer lo stesso spazio dei nomi ADFS.
Anche voi volete discutere di ciò che il nome visualizzato deve essere scelto, in quanto questo sarà visibile agli utenti.
Certificati
Dal ADFS sfrutta SSL, abbiamo bisogno di avere un certificato SSL. Si potrebbe provare a tre opzioni, ma solo uno funzionerà:
Un'autocertificazione
Certificato rilasciato da PKI interna
Certificato dal 3rd party CA pubblica
Office 365 ha bisogno di vedere un valido certificato Servizio di Comunicazione sull'infrastruttura ADFS, in modo che si sta per comprare un certificato da una CA pubblica Office 365 non fidarsi di un certificato di comunicazione di servizio che è o auto-firmato o dalla CA interna, che si traduce in lacrime. Siamo in grado di utilizzare i certificati autofirmati per il Token Decrypting e Token certificato di firma . Questi sono separati dal cert comunicazione di servizio.
Si prega di seguire la documentazione del CA scelto di richiedere, installare e completare il certificato. I passi necessari variano da fornitore a fornitore e anche nel tempo. Assicurarsi che non mancano i certificati intermedi aggiornati! Come lo sai? Seguire il loro processo !!
Ai fini di questo post vedremo distribuire il server ADFS iniziale, e in futuro aggiungere un altro server ADFS per la ridondanza.
Installazione di ADFS In Windows Server 2012 R2
Dopo l'avvio aggiungere ruoli e funzionalità wizard di server manager, selezionare Active Directory Federation Services, quindi fare clic su Avanti.
ADFS 2012 R2 Installazione di ruoli
Non abbiamo bisogno di aggiungere qualsiasi funzionalità aggiuntive. Ricordate che la dipendenza IIS è stato rimosso in ADFS 2012 R2.
ADFS 2012 R2 Installazione di ruoli
Facendo clic accanto ci porta alla schermata di ADFS spruzzata. Si noti che ci dice utilmente che il ruolo specifico di proxy ADFS è stata rimossa in Windows 2012 R2 e come fare per installarlo. Peccato che ho perso la prima volta ho incontrato questo, e non riusciva a trovare la vecchia scuola ruolo ADFS Proxy ...
ADFS 2012 R2 Installazione di ruoli
Cliccando prossima sarà quindi installare i bit necessari.
ADFS 2012 R2 Installazione Ruolo Conferma
I bit vengono mescolate in giro ...
ADFS 2012 R2 Installazione Ruolo In Progress
Shuffling è stata completata, e l'installazione è completa. È possibile avviare la procedura guidata di configurazione di ADFS da qui, oppure se questa finestra viene chiusa può essere lanciato dal gestore del server.
ADFS 2012 R2 Installare Role
Prima di avviare la procedura guidata di configurazione di ADFS Ho già installato il mio certificato 3rd party e provato che è stato installato correttamente.
Inoltre, un account di servizio denominato ADFS-Service è stato anche pre-creato.
La procedura guidata afferma inoltre che è necessario avere accesso al Domain Admin (DA) credenziali!
Si noti che si è data solo la possibilità di procedere a nuova farm ADFS o aggiungere questa casella per una farm esistente. Ciò consente di risparmiare il problema doloroso da ADFS anziani costruisce, dove ADFS non è stato installato in una farm si erano poi in grado di facilità la aggiungere il secondo server ADFS per la ridondanza.
ADFS 2012 R2 Installazione Schermata di benvenuto
Fornire le credenziali di amministratore di dominio.
ADFS 2012 R2 Installare Connect To AD
Abbiamo bisogno di selezionare il certificato SSL che useremo e anche fornire il nome ADFS abbiamo selezionato nel processo di progettazione.
In questo caso il nome è adfs.tailspintoys.ca - notare che non esiste il concetto di InternalURL o ExternalURL per lo spazio dei nomi ADFS. I clienti potranno utilizzare lo stesso nome sulla rete intranet e internet per individuare ADFS. Così DNS divisione renderà la vita semplice!
Fornire il nome visualizzato prescelto, e fare clic su Avanti.
ADFS 2012 R2 Installare specificare le proprietà di servizio
Come accennato in precedenza, è possibile utilizzare un GMSA come account di servizio ADFS. GMSA aggiornerà automaticamente le credenziali di account di servizio e amministratori sarà anche ignari circa la sua password.
In questo caso è stato utilizzato un account di servizio standard.
ADFS 2012 R2 Installare Specifica account di servizio
Selezionare la configurazione database come da progetto.
La società Tailspintoys utilizzerà WID.
ADFS 2012 R2 Installa Specificare Database
Rivedere le opzioni, e quando felici tirare il grilletto!
ADFS 2012 R2 Opzioni di installazione Recensione
Per riferimento lo script PowerShell è mostrato qui:
#
# script di Windows PowerShell per AD FS Deployment
#
Import-Module ADFS
# Ottenere le credenziali utilizzate per l'account del servizio federativo
$ serviceAccountCredential = Get-Credential -message "Immettere le credenziali per l'account di servizio della Federazione."
Installare-AdfsFarm `
-CertificateThumbprint: "5804746A7980C8682FBF408D48EF6C3B02A5ZORG" `
-FederationServiceDisplayName: "Tailspintoys STS" `
-FederationServiceName: "adfs.Tailspintoys.ca" `
-ServiceAccountCredential: $ serviceAccountCredential
Il ADFS controlli pre-requisito sono fatto, e possiamo procedere alla configurazione:
ADFS 2012 R2 Installare Controlli pre-requisito completati
Un caffè più tardi, abbiamo un nuovo server ADFS lucido - Whoo !!
ADFS 2012 R2 Installazione completata
Non siamo ancora del tutto finito, e un paio di cose aggiuntive che facciamo!
Passi successivi
ADFS Aggiornamento (s)
Aggiornare 29-5-2014: Ti invitiamo anche aggiornamento 2.948.086 aggiornamento che migliora AD FS proxy e STS affidabilità in Windows Server 2012 R2 quando più client accedi .
Aggiornamento 2014/11/12: questo aggiornamento 2.948.086 è ora fornito in questo rollup: maggio 2014 aggiornamento cumulativo per Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
Aggiornamento 16-7-2014: altri aggiornamenti si consiglia di rivedere sono in fondo a questo post .
Quando più client (oltre 200 client) tentano di accedere utilizzando una Directory Federation Services (ADFS) delega attiva, il proxy AD FS consuma l'utilizzo al 100% della CPU. In questa situazione, l'AD prestazioni delega FS è lenta, e provoca un ritardo che supera 10 secondi. Questo fa sì che anche STS a lavorare sotto carico minimo. Pertanto, STS rifiuta le richieste o serve solo 5 a 10 richieste al secondo.
DNS A Record
Dobbiamo creare il record DNS per l'istanza di ADFS. Questa mappa al namespace ADFS che abbiamo precedentemente programmato. Creare questo record nell'infrastruttura DNS interno.
Una volta che il record DNS è stato creato un propagato assicurarsi che risolve correttamente.
Una cosa da ricordare qui, se si crea un CNAME e punto che al server che ospita ADFS è probabile che vi imbatterete in una autenticazione senza fine la situazione pronta.
Nell'esempio che segue lo spazio dei nomi ADFS è chiamato adfs.tailspintoys.ca e CNAME è stato utilizzato per il traffico diretto al server ADFS chiamato tail-ca-sts.tailspintoys.ca. Ciò probabilmente causerà il client per ottenere un ticket Kerberos per il nome non corretto.
ADFS risoluzione dei nomi Utilizzando DNS CNAME Record
Il modo più semplice per fermare questo è quello di utilizzare un normale un record, in questo modo:
ADFS risoluzione dei nomi Utilizzando DNS A Record
C'è anche una opzione contenuta in KB 911149 che alcune persone hanno già detto.
Passaggi aggiuntivi
Questo argomento riguarda ulteriori passaggi per configurare ADFS dopo aver installato il primo server federativo, tra cui:
Apertura del ADFS Gestione snap-in
Configurazione della risoluzione dei nomi per AD FS Servizi
Aggiunta di nodi alla fattoria
Aggiunta di un proxy Web Application
Attivazione dispositivo Registration Service
Per ulteriori informazioni su come distribuire ADFS, vedere Come distribuire ADFS in Windows Server 2012 R2 .
Verificare Federazione Service Metadata
Aprite Internet Explorer e raggiungere l'URL metadati federazione del server ADFS.
Sarà qualcosa di simile al di sotto, basta cambiare il nome di dominio in base all'ambiente.
https://adfs.tailspintoys.ca/federationmetadata/2007-06/federationmetadata.xml
https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
Il risultato dovrebbe mostrare questo:
Test ADFS Federazione Metadata
Verificare ADFS pagina di accesso
Individuare il ADFS pagina di accesso e di test che si è in grado di autenticare.
L'URL sarà simile al di sotto, ancora una volta cambiare il nome di dominio completo per abbinare l'organizzazione di.
https://adfs.tailspintoys.ca/adfs/ls/idpinitiatedsignon.htm
https://sts.contoso.com/adfs/ls/idpinitiatedsignon.htm
Si dovrebbe vedere il seguito, e che venga richiesto di firmare in:
ADFS 2012 R2 Sign-In Pagina
A seconda di come è configurato IE si sia richiesto di fornire le credenziali o essere-in firmato automaticamente.
Se si desidera avere utenti da firmare-in automatico quindi configurare le impostazioni del browser a fidarsi del ruolo server federativo aggiungendo il nome del servizio federativo (ad esempio, https: //adfs.tailspintoys.c una ) per Intranet locale del browser. Ciò consentirà seamless segno-in utilizzando l'autenticazione integrata di Windows.
ADFS 2012 R2 Abilitazione Sign-in automatico per Intranet locale
Una volta che siamo felici che l'istanza ADFS funziona in modo appropriato possiamo passa poi sulla installazione del ruolo del proxy ADFS.
Questo sarà coperto in un post a parte, per evitare che questo si ottiene troppo lungo!
Saluti,
Rhoderick
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.