Projděte si požadavky pro nasazení služby AD FS.

Článek
11/09/2015

Platí pro: Azure, Office 365, Power BI, Windows Intune

Aby bylo možné úspěšně vytvořit vztah důvěryhodnosti předávající strany s Azure AD, musíte nejprve zajistit, aby vaše podniková síťová infrastruktura byla nakonfigurovaná tak, aby podporovala požadavky služby AD FS na účty, překlad názvů a certifikáty. Služba AD FS má následující typy požadavků:

Požadavky na software
Požadavky na certifikáty
Síťové požadavky

Požadavky na software

Software služby AD FS musí být nainstalovaný na jakémkoli počítači, který připravujete na federační server nebo roli proxy federačního serveru. Tento software můžete nainstalovat buď pomocí Průvodce instalací služby AD FS, nebo provedením tiché instalace pomocí parametruadfssetup.exe /quiet na příkazovém řádku.

Pro základní instalační platformu vyžaduje služba AD FS operační systém Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 nebo Windows Server 2012 R2. Služba AD FS má samostatný instalační balíček pro Windows Server 2008, Windows Server 2008 R2 platformy operačního systému (a běžně se označuje jako AD FS 2.0), nebo je možné ho nainstalovat přidáním role serveru federační služby jako součást operačního systému Windows Server 2012 nebo Windows Server 2012 R2.

Pokud používáte službu AD FS 2.0 nebo AD FS v Windows Server 2012, nasadíte a nakonfigurujete proxy federačních serverů jako součást implementace řešení jednotného přihlašování.

Pokud používáte službu AD FS v Windows Server 2012 R2, nasadíte proxy webových aplikací, abyste mohli nakonfigurovat nasazení služby AD FS pro přístup k extranetu. V Windows Server 2012 R2 slouží webová proxy aplikací nová služba role serveru vzdáleného přístupu, která umožňuje službě AD FS pro usnadnění přístupu mimo podnikovou síť. Další informace najdete v tématu Přehled webových proxy aplikací.

Požadavky

Během procesu instalace služby AD FS se průvodce instalací pokusí automaticky zkontrolovat a v případě potřeby nainstalovat požadované aplikace i závislé opravy hotfix. Ve většině případů průvodce instalací nainstaluje všechny požadované aplikace potřebné pro provoz a instalaci služby AD FS.

Existuje však jedna výjimka: při instalaci služby AD FS na platformu Windows Server 2008 (jako samostatný instalační balíček označovaný jako AD FS 2.0). Pokud se jedná o případ vaší situace nasazení, musíte se nejprve ujistit, že je na serverech se systémem Windows Server 2008 nainstalovaný .NET 3.5 SP1, než nainstalujete software AD FS 2.0, protože je předpokladem služby AD FS 2.0 a na této platformě se automaticky nenainstaluje Průvodce instalací služby AD FS 2.0. Pokud není nainstalovaný .NET 3.5 SP1, průvodce instalací služby AD FS 2.0 zabrání instalaci softwaru služby AD FS 2.0.

Opravy hotfix

Po instalaci služby AD FS 2.0 je nutné nainstalovat opravy hotfix služby AD FS 2.0. Další informace naleznete v tématu Popis kumulativní aktualizace 2 pro Active Directory Federation Services (AD FS) (AD FS) 2.0.

Virtualizace

SLUŽBA AD FS podporuje virtualizaci softwaru rolí federačního serveru i proxy federačního serveru. Pokud chcete zohlednit redundanci, doporučujeme uložit každý virtuální počítač služby AD FS na samostatné fyzické virtuální servery.

Další informace o nastavení prostředí virtuálního serveru pomocí virtualizační technologie Microsoftu najdete v průvodci Začínáme Technologie Hyper-V.

Požadavky na certifikáty

Certifikáty hrají nejdůležitější roli při zabezpečení komunikace mezi federačními servery, proxy webovými aplikacemi, proxy federačních serverů, cloudovou službou a webovými klienty. Požadavky na certifikáty se liší podle toho, jestli nastavujete federační server, webový proxy aplikací nebo proxy federační server, jak je popsáno v následujících tabulkách.

Certifikáty federačního serveru

Federační servery vyžadují certifikáty v následující tabulce.

Typ certifikátu	Description	Co musíte vědět před nasazením
Certifikát SSL (označovaný také jako ověřovací certifikát serveru) pro službu AD FS v Windows Server 2012 R2	Jedná se o standardní certifikát SSL (Secure Sockets Layer), který slouží k zabezpečení komunikace mezi federačními servery, klienty, webovými proxy aplikací a proxy federačními servery.	Služba AD FS vyžaduje certifikát pro ověřování serveru SSL na každém federačním serveru ve farmě federačních serverů. Stejný certifikát by měl být použit na každém federačním serveru ve farmě. Musíte mít k dispozici certifikát i jeho privátní klíč. Pokud máte například certifikát a jeho privátní klíč v souboru .pfx, budete ho moct importovat přímo do průvodce konfigurací Active Directory Federation Services (AD FS). Tento certifikát SSL musí obsahovat následující: Název subjektu a alternativní název subjektu musí obsahovat název vaší federační služby, například fs.contoso.com Alternativní název subjektu musí obsahovat hodnotu enterpriseregistration následovanou příponou hlavního názvu uživatele (UPN) vaší organizace, například enterpriseregistration.corp.contoso.com
Certifikát SSL (označovaný také jako ověřovací certifikát serveru) pro starší verze služby AD FS	Toto je standardní certifikát Secure Sockets Layercertificate, který slouží k zabezpečení komunikace mezi federačními servery, klienty, webovými proxy aplikací a proxy federačními servery.	Služba AD FS vyžaduje certifikát SSL při konfiguraci nastavení federačního serveru. Služba AD FS ve výchozím nastavení používá certifikát SSL nakonfigurovaný pro výchozí web v Internetová informační služba (IIS). Název subjektu tohoto certifikátu SSL slouží k určení názvu federační služby pro každou instanci služby AD FS, kterou nasadíte. Z tohoto důvodu můžete zvážit volbu názvu subjektu u všech nových certifikátů vydaných certifikační autoritou( CA), které nejlépe představují název vaší společnosti nebo organizace do cloudové služby a tento název musí být směrovatelný na internet. Například v diagramu uvedeném výše v tomto článku (viz fáze 2) by název subjektu certifikátu byl fs.fabrikam.com. Důležité Služba AD FS vyžaduje, aby tento certifikát SSL byl bez tečkového (krátkého) názvu subjektu. Požadované: Vzhledem k tomu, že tento certifikát musí být důvěryhodný klienty služby AD FS a cloudových služeb Microsoftu, použijte certifikát SSL vystavený veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou podřízenou veřejně důvěryhodnému kořenovému adresáři; například VeriSign nebo Thawte.
Podpisový certifikát tokenu	Jedná se o standardní certifikát X.509, který se používá k bezpečnému podepisování všech tokenů, které federační server vydává, a že cloudová služba přijme a ověří.	Podpisový certifikát tokenu musí obsahovat privátní klíč a měl by být součástí řetězu důvěryhodných kořenových certifikátů ve federační službě. Standardně služba AD FS vytváří certifikát podepsaný svým držitelem. V závislosti na potřebách vaší organizace ale můžete tento certifikát později změnit na certifikát vydaný certifikační autoritou pomocí modulu snap-in správa služby AD FS. Doporučení: Použijte certifikát pro podepisování tokenů podepsaný svým držitelem vygenerovaný službou AD FS. Služba AD FS tak bude tento certifikát ve výchozím nastavení spravovat za vás. Pokud například platnost tohoto certifikátu vyprší, služba AD FS vygeneruje nový certifikát podepsaný svým držitelem, který se bude používat předem.

Certifikát SSL (označovaný také jako ověřovací certifikát serveru) pro službu AD FS v Windows Server 2012 R2

Jedná se o standardní certifikát SSL (Secure Sockets Layer), který slouží k zabezpečení komunikace mezi federačními servery, klienty, webovými proxy aplikací a proxy federačními servery.

Služba AD FS vyžaduje certifikát pro ověřování serveru SSL na každém federačním serveru ve farmě federačních serverů. Stejný certifikát by měl být použit na každém federačním serveru ve farmě. Musíte mít k dispozici certifikát i jeho privátní klíč. Pokud máte například certifikát a jeho privátní klíč v souboru .pfx, budete ho moct importovat přímo do průvodce konfigurací Active Directory Federation Services (AD FS). Tento certifikát SSL musí obsahovat následující:

Název subjektu a alternativní název subjektu musí obsahovat název vaší federační služby, například fs.contoso.com
Alternativní název subjektu musí obsahovat hodnotu enterpriseregistration následovanou příponou hlavního názvu uživatele (UPN) vaší organizace, například enterpriseregistration.corp.contoso.com

Certifikát SSL (označovaný také jako ověřovací certifikát serveru) pro starší verze služby AD FS

Toto je standardní certifikát Secure Sockets Layercertificate, který slouží k zabezpečení komunikace mezi federačními servery, klienty, webovými proxy aplikací a proxy federačními servery.

Služba AD FS vyžaduje certifikát SSL při konfiguraci nastavení federačního serveru. Služba AD FS ve výchozím nastavení používá certifikát SSL nakonfigurovaný pro výchozí web v Internetová informační služba (IIS).

Název subjektu tohoto certifikátu SSL slouží k určení názvu federační služby pro každou instanci služby AD FS, kterou nasadíte. Z tohoto důvodu můžete zvážit volbu názvu subjektu u všech nových certifikátů vydaných certifikační autoritou( CA), které nejlépe představují název vaší společnosti nebo organizace do cloudové služby a tento název musí být směrovatelný na internet. Například v diagramu uvedeném výše v tomto článku (viz fáze 2) by název subjektu certifikátu byl fs.fabrikam.com.

Důležité

Služba AD FS vyžaduje, aby tento certifikát SSL byl bez tečkového (krátkého) názvu subjektu.

Požadované: Vzhledem k tomu, že tento certifikát musí být důvěryhodný klienty služby AD FS a cloudových služeb Microsoftu, použijte certifikát SSL vystavený veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou podřízenou veřejně důvěryhodnému kořenovému adresáři; například VeriSign nebo Thawte.

Podpisový certifikát tokenu

Jedná se o standardní certifikát X.509, který se používá k bezpečnému podepisování všech tokenů, které federační server vydává, a že cloudová služba přijme a ověří.

Podpisový certifikát tokenu musí obsahovat privátní klíč a měl by být součástí řetězu důvěryhodných kořenových certifikátů ve federační službě. Standardně služba AD FS vytváří certifikát podepsaný svým držitelem. V závislosti na potřebách vaší organizace ale můžete tento certifikát později změnit na certifikát vydaný certifikační autoritou pomocí modulu snap-in správa služby AD FS.

Doporučení: Použijte certifikát pro podepisování tokenů podepsaný svým držitelem vygenerovaný službou AD FS. Služba AD FS tak bude tento certifikát ve výchozím nastavení spravovat za vás. Pokud například platnost tohoto certifikátu vyprší, služba AD FS vygeneruje nový certifikát podepsaný svým držitelem, který se bude používat předem.

Upozornění

Podpisový certifikát tokenu je kritický pro stabilitu služby Federation Service. V případě, že dojde ke změně, musí být o této změně upozorněna cloudová služba. Jinak požadavky na cloudovou službu selžou. Další informace o správě certifikátů ve farmě federačních serverů služby AD FS a cloudové službě najdete v tématu Aktualizace vlastností důvěryhodnosti.

Certifikáty proxy počítačů

Proxy federačního serveru vyžadují certifikát v následující tabulce.

Typ certifikátu	Description	Co musíte vědět před nasazením
Certifikát SSL	Jedná se o standardní certifikát SSL, který slouží k zabezpečení komunikace mezi federačním serverem, proxy federačního serveru nebo webovými proxy aplikací a internetovými klientskými počítači.	Jedná se o stejný ověřovací certifikát serveru jako certifikát používaný federačními servery v podnikové síti. Tento certifikát musí mít stejný název subjektu jako certifikát SSL nakonfigurovaný na federačním serveru v podnikové síti. Pokud používáte službu AD FS v Windows Serveru 2008 nebo Windows Server 2012, musíte tento certifikát nainstalovat na výchozí web proxy počítače federačního serveru. Pokud používáte službu AD FS v Windows Server 2012 R2, musíte tento certifikát importovat do úložiště osobních certifikátů v počítači, který bude fungovat jako webová proxy aplikací. Doporučení: Použijte stejný ověřovací certifikát serveru, který je nakonfigurovaný na federačním serveru, ke kterému se tento proxy federačního serveru nebo webový proxy aplikací připojí.

Certifikát SSL

Jedná se o standardní certifikát SSL, který slouží k zabezpečení komunikace mezi federačním serverem, proxy federačního serveru nebo webovými proxy aplikací a internetovými klientskými počítači.

Jedná se o stejný ověřovací certifikát serveru jako certifikát používaný federačními servery v podnikové síti. Tento certifikát musí mít stejný název subjektu jako certifikát SSL nakonfigurovaný na federačním serveru v podnikové síti.

Pokud používáte službu AD FS v Windows Serveru 2008 nebo Windows Server 2012, musíte tento certifikát nainstalovat na výchozí web proxy počítače federačního serveru.

Pokud používáte službu AD FS v Windows Server 2012 R2, musíte tento certifikát importovat do úložiště osobních certifikátů v počítači, který bude fungovat jako webová proxy aplikací.

Doporučení: Použijte stejný ověřovací certifikát serveru, který je nakonfigurovaný na federačním serveru, ke kterému se tento proxy federačního serveru nebo webový proxy aplikací připojí.

Další informace o certifikátech, které federační servery a proxy federačních serverů používají, najdete v průvodci návrhem služby AD FS 2.0 nebo Windows Server 2012 Průvodce návrhem služby AD FS.

Síťové požadavky

Konfigurace následujících síťových služeb je vhodná pro úspěšné nasazení služby AD FS ve vaší organizaci.

Síťové připojení TCP/IP

Aby služba AD FS fungovala, musí existovat síťové připojení TCP/IP mezi klientem, řadiči domény, federačními servery a proxy federačních serverů.

DNS

Primární síťová služba, která je důležitá pro provoz služby AD FS, kromě služby Active Directory, je DNS (Domain Name System). Při nasazení DNS můžou uživatelé při připojování k počítačům a jiným prostředkům v sítích IP používat popisné názvy počítačů, které se snadno pamatují.

Proces aktualizace DNS tak, aby podporoval službu AD FS, se skládá z konfigurace těchto možností:

Interní servery DNS v podnikové síti pro překlad názvu DNS clusteru na IP adresu clusteru clusteru pro cluster nlB, který nakonfigurujete na hostitele služby VYROVNÁVÁNÍ zatížení sítě podnikové sítě. Například překlad fs.fabrikam.com na 172.16.1.3.
Servery DNS hraniční sítě, které přeloží název DNS clusteru na IP adresu clusteru služby NLB, který nakonfigurujete na hraničním hostiteli služby NLB. Například překlad fs.fabrikam.com na 192.0.2.3.

Požadavky na vyrovnávání zatížení sítě

Vyrovnávání zatížení sítě se vyžaduje k zajištění odolnosti proti chybám, vysoké dostupnosti a vyrovnávání zatížení napříč několika uzly. Dá se implementovat pomocí hardwaru, softwaru nebo kombinace obou. Musíte nakonfigurovat záznamy prostředků DNS na základě názvu služby FS pro cluster nlB tak, aby se plně kvalifikovaný název domény clusteru (označovaný také jako název DNS clusteru v tomto článku) přeložil na IP adresu clusteru.

Obecné informace o IP adrese clusteru nlB nebo plně kvalifikovaném názvu domény clusteru naleznete v tématu Zadání parametrů clusteru.

Využití rozšířené ochrany pro ověřování

Pokud mají vaše počítače rozšířenou ochranu pro ověřování a používáte Firefox, Chrome nebo Safari, možná se nebudete moct přihlásit ke cloudové službě pomocí integrovaného ověřování Windows z podnikové sítě. Pokud k této situaci dojde, můžou se uživatelům pravidelně zobrazovat výzvy k přihlášení. Důvodem je výchozí konfigurace (v Windows 7 a opravených klientských operačních systémech) pro službu AD FS a rozšířená ochrana pro ověřování.

Dokud Firefox, Chrome a Safari nepodporují rozšířenou ochranu pro ověřování, doporučujeme všem klientům, kteří přistupují ke cloudové službě, nainstalovat a používat Windows Internet Explorer 8. Pokud chcete pro cloudovou službu používat jednotné přihlašování ve Firefoxu, Chromu nebo Safari, je potřeba zvážit dvě další řešení. Při provádění některého z těchto přístupů se však můžou vyskytnout bezpečnostní obavy. Další informace najdete v tématu Poradce pro zabezpečení společnosti Microsoft: Rozšířená ochrana pro ověřování. Mezi tato řešení patří:

Odinstalace opravy rozšířené ochrany pro ověřování z počítače.
Změna nastavení Rozšířené ochrany pro ověřování na serveru AD FS Další informace naleznete v tématu Konfigurace rozšířených možností pro službu AD FS 2.0.
Překonfigurování nastavení ověřování pro webovou stránku služby AD FS na každém federačním serveru z integrovaného Windows ověřování tak, aby používalo ověřování založené na formulářích.

Další krok

Teď, když jste si prošli požadavky na nasazení služby AD FS, je dalším krokem příprava síťové infrastruktury pro federační servery.

Viz také

Koncepty

Kontrolní seznam: Použití služby AD FS k implementaci a správě jednotného přihlašování