Rozšíření služby AD FS (Active Directory Federation Services) do AzureExtend Active Directory Federation Services (AD FS) to Azure

Tato referenční architektura implementuje zabezpečenou hybridní síť, která rozšiřuje místní síť do Azure a k provedení federovaného ověření a autorizace pro komponenty běžící v Azure používá službu Active Directory Federation Services (AD FS).This reference architecture implements a secure hybrid network that extends your on-premises network to Azure and uses Active Directory Federation Services (AD FS) to perform federated authentication and authorization for components running in Azure. Nasaďte toto řešení.Deploy this solution.

00

Stáhněte si soubor aplikace Visio s touto architekturou.Download a Visio file of this architecture.

Služba AD FS může být hostovaná místně. Pokud je ale aplikace hybridní a některé její části jsou implementované v Azure, může být efektivnější replikovat službu AD FS v cloudu.AD FS can be hosted on-premises, but if your application is a hybrid in which some parts are implemented in Azure, it may be more efficient to replicate AD FS in the cloud.

Diagram znázorňuje následující scénáře:The diagram shows the following scenarios:

  • Kód aplikace z partnerské organizace přistupuje k webové aplikaci hostované uvnitř virtuální sítě Azure.Application code from a partner organization accesses a web application hosted inside your Azure VNet.
  • Externí registrovaný uživatel s přihlašovacími údaji uloženými ve službě Active Directory Domain Services přistupuje k webové aplikaci hostované uvnitř virtuální sítě Azure.An external, registered user with credentials stored inside Active Directory Domain Services (DS) accesses a web application hosted inside your Azure VNet.
  • Uživatel připojený k vaší virtuální síti pomocí autorizovaného zařízení spouští webovou aplikaci hostovanou uvnitř virtuální sítě Azure.A user connected to your VNet using an authorized device executes a web application hosted inside your Azure VNet.

Obvyklá využití pro tuto architekturu:Typical uses for this architecture include:

  • Hybridní aplikace, kde úlohy běží částečně místně a částečně v AzureHybrid applications where workloads run partly on-premises and partly in Azure.
  • Řešení, která ke zveřejňování webových aplikací v partnerských organizacích používají federovanou autorizaciSolutions that use federated authorization to expose web applications to partner organizations.
  • Systémy podporující přístup z webových prohlížečů spuštěných vně brány firewall organizaceSystems that support access from web browsers running outside of the organizational firewall.
  • Systémy umožňující uživatelům přistupovat k webovým aplikacím prostřednictvím připojení z autorizovaných externích zařízení, jako jsou například vzdálené počítače, notebooky a jiná mobilní zařízeníSystems that enable users to access to web applications by connecting from authorized external devices such as remote computers, notebooks, and other mobile devices.

Tato referenční architektura se zaměřuje na pasivní federaci, ve které federační servery rozhodují, jak a kdy se má uživatel ověřit.This reference architecture focuses on passive federation, in which the federation servers decide how and when to authenticate a user. Uživatel zadá přihlašovací údaje při spuštění aplikace.The user provides sign in information when the application is started. Nejčastěji tento mechanismus používají webové prohlížeče. Jeho součástí je protokol, který prohlížeč přesměruje na web, kde dojde k ověření uživatele.This mechanism is most commonly used by web browsers and involves a protocol that redirects the browser to a site where the user authenticates. Služba AD FS dále podporuje aktivní federaci, ve které aplikace přebírá odpovědnost za poskytnutí přihlašovacích údajů bez dalšího zásahu uživatele. Tento scénář je ale mimo rámec této architektury.AD FS also supports active federation, where an application takes on responsibility for supplying credentials without further user interaction, but that scenario is outside the scope of this architecture.

Další informace najdete v článku Volba řešení pro integraci místní služby Active Directory s Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitekturaArchitecture

Tato architektura rozšiřuje implementaci popsanou v tématu Rozšíření služby AD DS do Azure.This architecture extends the implementation described in Extending AD DS to Azure. Její součástí jsou následující komponenty.It contains the followign components.

  • Podsíť AD DS.AD DS subnet. Servery služby AD DS jsou součástí vlastní podsítě s pravidly skupiny zabezpečení sítě fungujícími jako brána firewall.The AD DS servers are contained in their own subnet with network security group (NSG) rules acting as a firewall.

  • Servery AD DS.AD DS servers. Řadiče domény běžící jako virtuální počítače v Azure.Domain controllers running as VMs in Azure. Tyto servery poskytují ověřování místních identit v rámci domény.These servers provide authentication of local identities within the domain.

  • Podsíť AD FS.AD FS subnet. Servery služby AD FS jsou umístěné ve vlastní podsíti s pravidly skupiny zabezpečení sítě fungujícími jako brána firewall.The AD FS servers are located within their own subnet with NSG rules acting as a firewall.

  • Servery AD FS.AD FS servers. Servery služby AD FS poskytují federovanou autorizaci a ověřování.The AD FS servers provide federated authorization and authentication. V této architektuře provádějí následující úkoly:In this architecture, they perform the following tasks:

    • Přijímají tokeny zabezpečení obsahující deklarace identity vytvořené partnerským federačním serverem jménem uživatele partnera.Receiving security tokens containing claims made by a partner federation server on behalf of a partner user. Služba AD FS ověří, že jsou tokeny platné, dříve než deklarace identity předá k autorizaci požadavků webové aplikaci běžící v Azure.AD FS verifies that the tokens are valid before passing the claims to the web application running in Azure to authorize requests.

      Webová aplikace běžící v Azure je přijímající strana.The web application running in Azure is the relying party. Partnerský federační server musí vystavit takové deklarace identity, kterým webová aplikace rozumí.The partner federation server must issue claims that are understood by the web application. Partnerské federační servery se označují jako partneři poskytující účty, protože odesílají žádosti o přístup jménem ověřených účtů v partnerské organizaci.The partner federation servers are referred to as account partners, because they submit access requests on behalf of authenticated accounts in the partner organization. Servery služby AD FS se označují jako partneři poskytující prostředky, protože poskytují přístup k prostředkům (webová aplikace).The AD FS servers are called resource partners because they provide access to resources (the web application).

    • Ověřují a autorizují příchozí žádosti od externích uživatelů používajících webový prohlížeč nebo zařízení, které potřebuje přístup k webovým aplikacím, pomocí služby AD DS a služby Active Directory Device Registration Service.Authenticating and authorizing incoming requests from external users running a web browser or device that needs access to web applications, by using AD DS and the Active Directory Device Registration Service.

    Servery služby AD FS jsou nakonfigurované jako farma, ke které se přistupuje prostřednictvím služby Azure Load Balancer.The AD FS servers are configured as a farm accessed through an Azure load balancer. Tato implementace vylepšuje dostupnost a škálovatelnost.This implementation improves availability and scalability. Servery služby AD FS se nezveřejňují přímo na internetu.The AD FS servers are not exposed directly to the Internet. Veškerý internetový provoz se filtruje prostřednictvím proxy serverů webových aplikací služby AD FS a zóny DMZ (označované také jako hraniční síť).All Internet traffic is filtered through AD FS web application proxy servers and a DMZ (also referred to as a perimeter network).

    Další informace o tom, jak funguje služba AD FS, najdete v tématu Přehled služby Active Directory Federation Services.For more information about how AD FS works, see Active Directory Federation Services Overview. Článek Nasazení služby AD FS v Azure navíc obsahuje podrobný úvod k implementaci.Also, the article AD FS deployment in Azure contains a detailed step-by-step introduction to implementation.

  • Podsíť proxy serveru služby AD FS.AD FS proxy subnet. Proxy servery služby AD FS mohou být umístěny ve vlastní podsíti s pravidly skupiny zabezpečení sítě zajišťujícími ochranu.The AD FS proxy servers can be contained within their own subnet, with NSG rules providing protection. Servery v této podsíti jsou zveřejněny na internetu prostřednictvím sady síťových virtuálních zařízení, která poskytují bránu firewall mezi virtuální sítí Azure a internetem.The servers in this subnet are exposed to the Internet through a set of network virtual appliances that provide a firewall between your Azure virtual network and the Internet.

  • Proxy servery webových aplikací (WAP) služby AD FS.AD FS web application proxy (WAP) servers. Tyto virtuální počítače fungují jako servery služby AD FS pro příchozí žádosti z partnerských organizací a externích zařízení.These VMs act as AD FS servers for incoming requests from partner organizations and external devices. Servery WAP fungují jako filtr, který servery služby AD FS chrání před přímým přístupem z internetu.The WAP servers act as a filter, shielding the AD FS servers from direct access from the Internet. Stejně jako u serverů služby AD FS vám nasazení serverů WAP ve farmě s vyrovnáváním zatížení zajistí větší dostupnost a škálovatelnost než nasazení kolekce samostatných serverů.As with the AD FS servers, deploying the WAP servers in a farm with load balancing gives you greater availability and scalability than deploying a collection of stand-alone servers.

    Poznámka

    Podrobné informace o instalaci serverů WAP najdete v tématu Instalace a konfigurace proxy serveru webových aplikací.For detailed information about installing WAP servers, see Install and Configure the Web Application Proxy Server

  • Partnerská organizace.Partner organization. Partnerská organizace používající webovou aplikaci, která požaduje přístup k webové aplikaci spuštěné v Azure.A partner organization running a web application that requests access to a web application running in Azure. Federační server v partnerské organizaci ověřuje požadavky místně a odesílá tokeny zabezpečení obsahující deklarace identity službě AD FS běžící v Azure.The federation server at the partner organization authenticates requests locally, and submits security tokens containing claims to AD FS running in Azure. Služba AD FS v Azure ověří tokeny zabezpečení a pokud jsou platné, může předat deklarace identity webové aplikaci běžící v Azure, aby je autorizovala.AD FS in Azure validates the security tokens, and if valid can pass the claims to the web application running in Azure to authorize them.

    Poznámka

    Můžete také nakonfigurovat tunel VPN pomocí brány Azure a zajistit tak důvěryhodným partnerům přímý přístup ke službě AD FS.You can also configure a VPN tunnel using Azure gateway to provide direct access to AD FS for trusted partners. Žádosti přijaté od těchto partnerů neprocházejí přes servery WAP.Requests received from these partners do not pass through the WAP servers.

Další informace o těch částech architektury, které nesouvisejí se službou AD FS, najdete v těchto tématech:For more information about the parts of the architecture that are not related to AD FS, see the following:

DoporučeníRecommendations

Následující doporučení platí pro většinu scénářů.The following recommendations apply for most scenarios. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.Follow these recommendations unless you have a specific requirement that overrides them.

Doporučení pro virtuální počítačeVM recommendations

Vytvořte virtuální počítače s dostatkem prostředků pro zpracování očekávaného provozu.Create VMs with sufficient resources to handle the expected volume of traffic. Jako výchozí bod použijte velikost stávajících počítačů místně hostujících službu AD FS.Use the size of the existing machines hosting AD FS on premises as a starting point. Monitorujte využití prostředků.Monitor the resource utilization. Velikost virtuálních počítačů můžete změnit a pokud jsou příliš velké, můžete vertikálně snížit jejich kapacitu.You can resize the VMs and scale down if they are too large.

Postupujte podle doporučení uvedených v tématu Spuštění virtuálního počítače s Windows v Azure.Follow the recommendations listed in Running a Windows VM on Azure.

Doporučení pro sítěNetworking recommendations

Pro každý virtuální počítač hostující servery AD FS a WAP se statickými privátními IP adresami nakonfigurujte síťové rozhraní.Configure the network interface for each of the VMs hosting AD FS and WAP servers with static private IP addresses.

Neudělujte virtuálním počítačům služby AD FS veřejné IP adresy.Do not give the AD FS VMs public IP addresses. Další informace najdete v části popisující aspekty zabezpečení.For more information, see the Security considerations section.

Nastavte IP adresu preferovaných a sekundárních serverů DNS pro síťová rozhraní jednotlivých virtuálních počítačů AD FS a WAP, aby odkazovaly na virtuální počítače služby Active Directory DS.Set the IP address of the preferred and secondary domain name service (DNS) servers for the network interfaces for each AD FS and WAP VM to reference the Active Directory DS VMs. Virtuální počítače služby Active Directory DS by měly používat službu DNS.The Active Directory DS VMS should be running DNS. Tento krok je nezbytný, abyste mohli jednotlivým virtuálním počítačům povolit připojit se k doméně.This step is necessary to enable each VM to join the domain.

Dostupnost služby AD FSAD FS availability

Pokud chcete zlepšit dostupnost služby, vytvořte farmu služby AD FS s alespoň dvěma servery.Create an AD FS farm with at least two servers to increase availability of the service. Pro každý virtuální počítač služby AD FS ve farmě použijte jiný účet úložiště.Use different storage accounts for each AD FS VM in the farm. Pomůžete tak zajistit, aby chyba jednoho účtu úložiště nezpůsobila nedostupnost celé farmy.This approach helps to ensure that a failure in a single storage account does not make the entire farm inaccessible.

Důležité

Doporučujeme vám používat spravované disky.We recommend the use of managed disks. Spravované disky nevyžadují účet úložiště.Managed disks do not require a storage account. Jednoduše zadáte velikost a typ disku a disk se potom nasadí s vysokou dostupností.You simply specify the size and type of disk and it is deployed in a highly available way. Naše referenční architektury v současnosti neumí nasadit spravované disky, ve verzi 2 ale budou stavební bloky šablony aktualizovány tak, aby mohly spravované disky nasazovat.Our reference architectures do not currently deploy managed disks but the template building blocks will be updated to deploy managed disks in version 2.

Vytvořte samostatnou skupinu dostupnosti Azure pro virtuální počítače AD FS a WAP.Create separate Azure availability sets for the AD FS and WAP VMs. Ujistěte se, že jsou v každé skupině alespoň dva virtuální počítače.Ensure that there are at least two VMs in each set. Každá skupina dostupnosti musí mít alespoň dvě aktualizační domény a dvě domény selhání.Each availability set must have at least two update domains and two fault domains.

Nástroje pro vyrovnávání zatížení pro virtuální počítače AD FS a WAP nakonfigurujte následujícím způsobem:Configure the load balancers for the AD FS VMs and WAP VMs as follows:

  • K zabezpečení externího přístupu k virtuálním počítačům WAP použijte nástroj Azure Load Balancer a k distribuci zatížení napříč servery AD FS ve farmě použijte interní nástroj pro vyrovnávání zatížení.Use an Azure load balancer to provide external access to the WAP VMs, and an internal load balancer to distribute the load across the AD FS servers in the farm.

  • Na servery AD FS/WAP předávejte pouze provoz na portu 443 (HTTPS).Only pass traffic appearing on port 443 (HTTPS) to the AD FS/WAP servers.

  • Nástroji pro vyrovnávání zatížení udělte statickou IP adresu.Give the load balancer a static IP address.

  • Vytvořit sondu stavu pomocí protokolu HTTP proti /adfs/probe.Create a health probe using HTTP against /adfs/probe. Další informace najdete v tématu kontroluje stav nástroje pro vyrovnávání zatížení hardwaru a Proxy webových aplikací nebo AD FS 2012 R2.For more information, see Hardware Load Balancer Health Checks and Web Application Proxy / AD FS 2012 R2.

    Poznámka

    Servery služby AD FS používají protokol SNI (Indikace názvu serveru), proto se pokus nástroje pro vyrovnávání zatížení o sondu pomocí koncového bodu HTTPS nepodaří.AD FS servers use the Server Name Indication (SNI) protocol, so attempting to probe using an HTTPS endpoint from the load balancer fails.

  • Do domény pro nástroj pro vyrovnávání zatížení služby AD FS přidejte záznam DNS A.Add a DNS A record to the domain for the AD FS load balancer. Zadejte IP adresu nástroje pro vyrovnávání zatížení a pojmenujte ho v doméně (například adfs.contoso.com).Specify the IP address of the load balancer, and give it a name in the domain (such as adfs.contoso.com). Jedná se o název, který používají klienti a servery WAP pro přístup k serverové farmě služby AD FS.This is the name clients and the WAP servers use to access the AD FS server farm.

Zabezpečení služby AD FSAD FS security

Braňte přímému zveřejňování serverů služby AD FS na internetu.Prevent direct exposure of the AD FS servers to the Internet. Servery služby AD FS jsou počítače připojené k doméně, které mají plnou autorizaci k udělování tokenů zabezpečení.AD FS servers are domain-joined computers that have full authorization to grant security tokens. Pokud je server ohrožený, uživatel se zlými úmysly může vystavovat úplné přístupové tokeny pro všechny webové aplikace a všechny federační servery chráněné službou AD FS.If a server is compromised, a malicious user can issue full access tokens to all web applications and to all federation servers that are protected by AD FS. Pokud musí váš systém zpracovávat žádosti externích uživatelů, kteří se nepřipojují z důvěryhodných partnerských webů, použijte ke zpracování těchto žádostí servery WAP.If your system must handle requests from external users not connecting from trusted partner sites, use WAP servers to handle these requests. Další informace najdete v tématu Kam umístit proxy federačního serveru.For more information, see Where to Place a Federation Server Proxy.

Servery AD FS a servery WAP umístěte do samostatných podsítí s vlastními branami firewall.Place AD FS servers and WAP servers in separate subnets with their own firewalls. Pravidla brány firewall můžete definovat pomocí pravidel skupiny zabezpečení sítě.You can use NSG rules to define firewall rules. Pokud požadujete komplexnější ochranu, můžete implementovat další bezpečnostní hraniční síť kolem serverů pomocí páru podsítí a síťových virtuálních zařízení, jak je popsáno v dokumentu Implementace zabezpečené hybridní síťové architektury s přístupem k internetu v Azure.If you require more comprehensive protection you can implement an additional security perimeter around servers by using a pair of subnets and network virtual appliances (NVAs), as described in the document Implementing a secure hybrid network architecture with Internet access in Azure. Všechny brány firewall by měly umožňovat provoz na portu 443 (HTTPS).All firewalls should allow traffic on port 443 (HTTPS).

Omezte přímý přístup pomocí přihlášení k serverům AD FS a WAP.Restrict direct sign in access to the AD FS and WAP servers. Připojit by se měli být schopni pouze pracovníci DevOps.Only DevOps staff should be able to connect.

Servery WAP nepřipojujte k doméně.Do not join the WAP servers to the domain.

Instalace AD FSAD FS installation

Podrobné pokyny pro instalaci a konfiguraci služby AD FS obsahuje článek Nasazení farmy federačních serverů.The article Deploying a Federation Server Farm provides detailed instructions for installing and configuring AD FS. Před konfigurací prvního serveru AD FS ve farmě proveďte následující úkoly:Perform the following tasks before configuring the first AD FS server in the farm:

  1. Získejte veřejně důvěryhodný certifikát pro ověřování serveru.Obtain a publicly trusted certificate for performing server authentication. Název subjektu musí obsahovat název, který klienti používají pro přístup k federační službě.The subject name must contain the name clients use to access the federation service. Může to být název DNS zaregistrovaný pro nástroj pro vyrovnávání zatížení, například adfs.contoso.com (z bezpečnostních důvodů nepoužívejte názvy se zástupnými znaky, jako je například *.contoso.com).This can be the DNS name registered for the load balancer, for example, adfs.contoso.com (avoid using wildcard names such as *.contoso.com, for security reasons). Na všech virtuálních počítačích serverů AD FS používejte stejný certifikát.Use the same certificate on all AD FS server VMs. Certifikát si můžete koupit od důvěryhodné certifikační autority. Pokud ale vaše organizace používá službu AD CS (Active Directory Certificate Services), můžete si vytvořit vlastní.You can purchase a certificate from a trusted certification authority, but if your organization uses Active Directory Certificate Services you can create your own.

    Alternativní název subjektu se používá službou DRS (Device Registration Service) k povolení přístupu z externích zařízení.The subject alternative name is used by the device registration service (DRS) to enable access from external devices. Měl by být ve tvaru enterpriseregistration.contoso.com.This should be of the form enterpriseregistration.contoso.com.

    Další informace najdete v tématu Získání a konfigurace certifikátu SSL (Secure Sockets Layer) pro službu AD FS.For more information, see Obtain and Configure a Secure Sockets Layer (SSL) Certificate for AD FS.

  2. V řadiči domény vygenerujte nový kořenový klíč pro službu Key Distribution Service.On the domain controller, generate a new root key for the Key Distribution Service. Dobu platnosti nastavte na aktuální čas minus 10 hodin (tato konfigurace zkracuje zpoždění, ke kterému může dojít při distribuci a synchronizaci klíčů napříč doménou).Set the effective time to the current time minus 10 hours (this configuration reduces the delay that can occur in distributing and synchronizing keys across the domain). Tento krok je nezbytný pro podporu vytvoření skupinového účtu služby, který se používá ke spuštění služby AD FS.This step is necessary to support creating the group service account that is used to run the AD FS service. Následující příkaz prostředí PowerShell ukazuje příklad tohoto postupu:The following PowerShell command shows an example of how to do this:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    
  3. Každý virtuální počítač serveru AD FS přidejte do domény.Add each AD FS server VM to the domain.

Poznámka

Abyste mohli službu AD FS nainstalovat, musí být řadič domény, na kterém běží role FSMO emulátoru primárního řadiče domény pro tuto doménu, spuštěný a přístupný z virtuálních počítačů služby AD FS.To install AD FS, the domain controller running the primary domain controller (PDC) emulator flexible single master operation (FSMO) role for the domain must be running and accessible from the AD FS VMs. <<RBC: Dá se to zjednodušit?>><<RBC: Is there a way to make this less repetitive?>>

Vztah důvěryhodnosti služby AD FSAD FS trust

Vytvořte důvěryhodnost federace mezi instalací služby AD FS a federačními servery všech partnerských organizací.Establish federation trust between your AD FS installation, and the federation servers of any partner organizations. Nakonfigurujte všechna požadovaná filtrování a mapování deklarací identit.Configure any claims filtering and mapping required.

  • Pracovníci DevOps každé partnerské organizace musí přidat vztah důvěryhodnosti přijímající strany pro webové aplikace přístupné prostřednictvím serverů AD FS.DevOps staff at each partner organization must add a relying party trust for the web applications accessible through your AD FS servers.
  • Pracovníci DevOps vaší organizace musí nakonfigurovat vztah důvěryhodnosti zprostředkovatele deklarací, aby povolili serverům AD FS důvěřovat deklaracím identit poskytovaným partnerskými organizacemi.DevOps staff in your organization must configure claims-provider trust to enable your AD FS servers to trust the claims that partner organizations provide.
  • Pracovníci DevOps vaší organizace musí dále nakonfigurovat službu AD FS tak, aby předávala deklarace identit webovým aplikacím vaší organizace.DevOps staff in your organization must also configure AD FS to pass claims on to your organization's web applications.

Další informace najdete v tématu Vytvoření důvěryhodnosti federace.For more information, see Establishing Federation Trust.

Publikujte webové aplikace vaší organizace a zpřístupněte je externím partnerům pomocí předběžného ověření prostřednictvím serverů WAP.Publish your organization's web applications and make them available to external partners by using preauthentication through the WAP servers. Další informace najdete v tématu Publikování aplikací pomocí předběžného ověření služby AD FS.For more information, see Publish Applications using AD FS Preauthentication

Služba AD FS podporuje transformaci a rozšíření tokenů.AD FS supports token transformation and augmentation. Služba Azure Active Directory tuto funkci neposkytuje.Azure Active Directory does not provide this feature. Pomocí služby AD FS můžete při nastavování vztahů důvěryhodnosti dělat toto:With AD FS, when you set up the trust relationships, you can:

  • Můžete nakonfigurovat transformace deklarací identit pro autorizační pravidla.Configure claim transformations for authorization rules. Můžete například namapovat zabezpečení skupiny z reprezentace použité partnerskou organizací jinou, než je společnost Microsoft, na něco, co může služba Active Directory DS ve vaší organizaci autorizovat.For example, you can map group security from a representation used by a non-Microsoft partner organization to something that that Active Directory DS can authorize in your organization.
  • Můžete transformovat deklarace identit z jednoho formátu do jiného.Transform claims from one format to another. Pokud třeba vaše aplikace podporuje pouze deklarace identit SAML 1.1, můžete provést mapování ze SAML 2.0 na SAML 1.1.For example, you can map from SAML 2.0 to SAML 1.1 if your application only supports SAML 1.1 claims.

Monitorování AD FSAD FS monitoring

Sada Microsoft System Center Management Pack pro službu Active Directory Federation Services 2012 R2 poskytuje proaktivní a reaktivní monitorování nasazení služby AD FS pro federační server.The Microsoft System Center Management Pack for Active Directory Federation Services 2012 R2 provides both proactive and reactive monitoring of your AD FS deployment for the federation server. Tato sada Management Pack monitoruje:This management pack monitors:

  • Události, které služba AD FS zaznamenává do svých protokolů událostíEvents that the AD FS service records in its event logs.
  • Údaje o výkonu, které shromažďují čítače výkonu služby AD FSThe performance data that the AD FS performance counters collect.
  • Celkový stav systému služby AD FS a webových aplikací (přijímající strany) a poskytuje výstrahy pro kritické problémy a upozornění.The overall health of the AD FS system and web applications (relying parties), and provides alerts for critical issues and warnings.

Aspekty zabezpečeníScalability considerations

Následující aspekty shrnuté z článku Plánování nasazení služby AD FS poskytují výchozí bod pro definování velikosti farem služby AD FS:The following considerations, summarized from the article Plan your AD FS deployment, give a starting point for sizing AD FS farms:

  • Pokud máte méně než 1 000 uživatelů, nevytvářejte vyhrazené servery. Místo toho nainstalujte službu AD FS na všechny servery služby Active Directory DS v cloudu.If you have fewer than 1000 users, do not create dedicated servers, but instead install AD FS on each of the Active Directory DS servers in the cloud. Abyste mohli zachovat dostupnost, ujistěte se, že máte alespoň dva servery služby Active Directory DS.Make sure that you have at least two Active Directory DS servers to maintain availability. Vytvořte jeden server WAP.Create a single WAP server.
  • Pokud máte 1 000 až 15 000 uživatelů, vytvořte dva vyhrazené servery služby AD FS a dva vyhrazené servery WAP.If you have between 1000 and 15000 users, create two dedicated AD FS servers and two dedicated WAP servers.
  • Pokud máte 15 000 až 60 000 uživatelů, vytvořte tři až pět vyhrazených serverů služby AD FS a alespoň dva vyhrazené servery WAP.If you have between 15000 and 60000 users, create between three and five dedicated AD FS servers and at least two dedicated WAP servers.

Tyto aspekty předpokládají, že používáte duální čtyřjádrový virtuální počítač (Standard D4_v2 nebo lepší) v Azure.These considerations assume that you are using dual quad-core VM (Standard D4_v2, or better) sizes in Azure.

Pokud k ukládání konfiguračních dat služby AD FS používáte interní databázi Windows, můžete mít ve farmě maximálně osm serverů služby AD FS.If you are using the Windows Internal Database to store AD FS configuration data, you are limited to eight AD FS servers in the farm. Pokud předpokládáte, že v budoucnu jich budete potřebovat více, použijte SQL Server.If you anticipate that you will need more in the future, use SQL Server. Další informace najdete v tématu Role konfigurační databáze AD FS.For more information, see The Role of the AD FS Configuration Database.

Aspekty dostupnostiAvailability considerations

K uložení informací o konfiguraci služby AD FS můžete použít SQL Server nebo interní databázi Windows.You can use either SQL Server or the Windows Internal Database to hold AD FS configuration information. Interní databáze Windows poskytuje základní redundanci.The Windows Internal Database provides basic redundancy. Změny se zapisují přímo pouze do jedné z databází služby AD FS v clusteru AD FS, zatímco ostatní servery udržují své databáze aktualizované pomocí vyžádané replikace.Changes are written directly to only one of the AD FS databases in the AD FS cluster, while the other servers use pull replication to keep their databases up to date. Když použijete SQL Server, můžete zajistit redundanci kompletní databáze a vysokou dostupnost pomocí clusteringu převzetí služeb při selhání nebo zrcadlení.Using SQL Server can provide full database redundancy and high availability using failover clustering or mirroring.

Aspekty správyManageability considerations

Pracovníci DevOps by měli být připraveni provádět následující úkoly:DevOps staff should be prepared to perform the following tasks:

  • Správu federačních serverů, včetně správy farmy služby AD FS, správy zásad důvěryhodnosti na federačních serverech a správy certifikátů používaných federačními službamiManaging the federation servers, including managing the AD FS farm, managing trust policy on the federation servers, and managing the certificates used by the federation services.
  • Správu serverů WAP, včetně správy farmy WAP a certifikátůManaging the WAP servers including managing the WAP farm and certificates.
  • Správu webových aplikací, včetně konfigurace přijímajících stran, metod ověření a mapování deklaracíManaging web applications including configuring relying parties, authentication methods, and claims mappings.
  • Zálohování komponent služby AD FSBacking up AD FS components.

Aspekty zabezpečeníSecurity considerations

Služba AD FS využívá protokol HTTPS. Proto se ujistěte, že pravidla skupiny zabezpečení sítě pro podsíť obsahující virtuální počítače webové vrstvy povolují požadavky HTTPS.AD FS utilizes the HTTPS protocol, so make sure that the NSG rules for the subnet containing the web tier VMs permit HTTPS requests. Tyto požadavky můžou pocházet z místní sítě, podsítí obsahujících webovou vrstvu, obchodní vrstvu, datovou vrstvu, privátní zónu DMZ, veřejnou zónu DMZ a podsítě obsahující servery služby AD FS.These requests can originate from the on-premises network, the subnets containing the web tier, business tier, data tier, private DMZ, public DMZ, and the subnet containing the AD FS servers.

Zvažte použití sady síťových virtuálních zařízení, která pro účely auditování protokoluje podrobné informace týkající se provozu procházejícího skrz hranici vaší virtuální sítě.Consider using a set of network virtual appliances that logs detailed information on traffic traversing the edge of your virtual network for auditing purposes.

Nasazení řešeníDeploy the solution

Řešení pro nasazení této referenční architektury je k dispozici na GitHubu.A solution is available on GitHub to deploy this reference architecture. Abyste mohli spustit skript PowerShellu, který řešení nasadí, budete potřebovat nejnovější verzi rozhraní Azure CLI.You will need the latest version of the Azure CLI to run the Powershell script that deploys the solution. Pokud chcete tuto referenční architekturu nasadit, postupujte takto:To deploy the reference architecture, follow these steps:

  1. Stáhněte nebo naklonujte do místního počítače složku řešení z GitHubu.Download or clone the solution folder from GitHub to your local machine.

  2. Otevřete rozhraní Azure CLI a přejděte do místní složky řešení.Open the Azure CLI and navigate to the local solution folder.

  3. Spusťte následující příkaz:Run the following command:

    .\Deploy-ReferenceArchitecture.ps1 <subscription id> <location> <mode>
    

    <subscription id> nahraďte ID vašeho předplatného Azure.Replace <subscription id> with your Azure subscription ID.

    Jako <location> zadejte oblast Azure, například eastus nebo westus.For <location>, specify an Azure region, such as eastus or westus.

    Parametr <mode> řídí členitost nasazení a může být jednou z následujících hodnot:The <mode> parameter controls the granularity of the deployment, and can be one of the following values:

    • Onpremise: Nasadí simulované místní prostředí.Onpremise: Deploys a simulated on-premises environment. Toto nasazení můžete použít k testování a experimentování, pokud nemáte existující místní síť, nebo pokud chcete otestovat tuto referenční architekturu, aniž byste museli změnit konfiguraci vaší existující místní sítě.You can use this deployment to test and experiment if you do not have an existing on-premises network, or if you want to test this reference architecture without changing the configuration of your existing on-premises network.
    • Infrastructure: Nasadí infrastrukturu virtuální sítě a systém jump box.Infrastructure: deploys the VNet infrastructure and jump box.
    • CreateVpn: Nasadí bránu virtuální sítě Azure a připojí ji k simulované místní síti.CreateVpn: deploys an Azure virtual network gateway and connects it to the simulated on-premises network.
    • AzureADDS: Nasadí virtuální počítače fungující jako servery služby Active Directory DS, nasadí službu Active Directory do těchto virtuálních počítačů a vytvoří doménu v Azure.AzureADDS: deploys the VMs acting as Active Directory DS servers, deploys Active Directory to these VMs, and creates the domain in Azure.
    • AdfsVm: Nasadí virtuální počítače služby AD FS a připojí je k doméně v Azure.AdfsVm: deploys the AD FS VMs and joins them to the domain in Azure.
    • PublicDMZ: Nasadí veřejné zóny DMZ v Azure.PublicDMZ: deploys the public DMZ in Azure.
    • ProxyVm: Nasadí virtuální počítače proxy serverů služby AD FS a připojí je k doméně v Azure.ProxyVm: deploys the AD FS proxy VMs and joins them to the domain in Azure.
    • Prepare: Nasadí všechna výše uvedená nasazení.Prepare: deploys all of the preceding deployments. Tato možnost se doporučuje, pokud vytváříte zcela nové nasazení a nemáte existující místní infrastrukturu.This is the recommended option if you are building an entirely new deployment and you don't have an existing on-premises infrastructure.
    • Workload: Volitelně nasadí virtuální počítače webové, obchodní a datové vrstvy a podpůrnou síť.Workload: optionally deploys web, business, and data tier VMs and supporting network. Není součástí režimu nasazení Prepare.Not included in the Prepare deployment mode.
    • PrivateDMZ: Volitelně nasadí privátní zónu DMZ v Azure před virtuální počítače Workload nasazené výše.PrivateDMZ: optionally deploys the private DMZ in Azure in front of the Workload VMs deployed above. Není součástí režimu nasazení Prepare.Not included in the Prepare deployment mode.
  4. Počkejte, než se nasazení dokončí.Wait for the deployment to complete. Pokud jste použili možnost Prepare, bude trvat několik hodin, než se nasazení dokončí a zobrazí se zpráva Preparation is completed. Please install certificate to all AD FS and proxy VMs..If you used the Prepare option, the deployment takes several hours to complete, and finishes with the message Preparation is completed. Please install certificate to all AD FS and proxy VMs.

  5. Restartujte systém jump box (ra-adfs-mgmt-vm1 ve skupině ra-adfs-security-rg) a umožněte tak, aby se projevila jeho nastavení DNS.Restart the jump box (ra-adfs-mgmt-vm1 in the ra-adfs-security-rg group) to allow its DNS settings to take effect.

  6. Získejte certifikát SSL pro službu AD FS a nainstalujte ho na virtuální počítače služby AD FS.Obtain an SSL Certificate for AD FS and install this certificate on the AD FS VMs. Mějte na paměti, že se k nim můžete připojit prostřednictvím systému jump box.Note that you can connect to them through the jump box. IP adresy jsou 10.0.5.4 a 10.0.5.5.The IP addresses are 10.0.5.4 and 10.0.5.5. Výchozí uživatelské jméno je contoso\testuser a heslo AweSome@PW.The default username is contoso\testuser with password AweSome@PW.

    Poznámka

    Komentáře ve skriptu Deploy-ReferenceArchitecture.ps1 v tomto okamžiku poskytují podrobné pokyny pro vytvoření testovacího certifikátu podepsaného svým držitelem a autority pomocí příkazu makecert.The comments in the Deploy-ReferenceArchitecture.ps1 script at this point provides detailed instructions for creating a self-signed test certificate and authority using the makecert command. Tento postup ale provádějte pouze jako test a certifikáty vygenerované makecertem nepoužívejte v produkčním prostředí.However, perform these steps as a test only and do not use the certificates generated by makecert in a production environment.

  7. Pro nasazení serverové farmy služby AD FS spusťte následující příkaz PowerShellu:Run the following PowerShell command to deploy the AD FS server farm:

    .\Deploy-ReferenceArchitecture.ps1 <subscription id> <location> Adfs
    
  8. V systému jump box přejděte na https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.htm a otestujte instalaci služby AD FS (může se zobrazit upozornění certifikátu, které pro tento test můžete ignorovat).On the jump box, browse to https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.htm to test the AD FS installation (you may receive a certificate warning that you can ignore for this test). Ověřte, že se zobrazí přihlašovací stránka Contoso Corporation.Verify that the Contoso Corporation sign-in page appears. Přihlaste se jako contoso\testuser s heslem AweS0me@PW.Sign in as contoso\testuser with password AweS0me@PW.

  9. Na virtuální počítače proxy serveru AD FS nainstalujte certifikát SSL.Install the SSL certificate on the AD FS proxy VMs. IP adresy jsou 10.0.6.4 a 10.0.6.5.The IP addresses are 10.0.6.4 and 10.0.6.5.

  10. Pro nasazení prvního proxy serveru AD FS spusťte následující příkaz PowerShellu:Run the following PowerShell command to deploy the first AD FS proxy server:

    .\Deploy-ReferenceArchitecture.ps1 <subscription id> <location> Proxy1
    
  11. Postupujte podle pokynů zobrazených skriptem a otestujte instalaci prvního proxy serveru.Follow the instructions displayed by the script to test the installation of the first proxy server.

  12. Pro nasazení druhého proxy serveru spusťte následující příkaz PowerShellu:Run the following PowerShell command to deploy the second proxy server:

    .\Deploy-ReferenceArchitecture.ps1 <subscription id> <location> Proxy2
    
  13. Postupujte podle pokynů zobrazených skriptem a otestujte kompletní konfiguraci proxy serveru.Follow the instructions displayed by the script to test the complete proxy configuration.

Další postupNext steps