Konfigurieren von Active Directory Verbunddiensten (AD FS 2.0) für lync Server 2013Configuring Active Directory Federation Services (AD FS 2.0) for Lync Server 2013

 

Letztes Änderungsstand des Themas: 2013-07-03Topic Last Modified: 2013-07-03

Im folgenden Abschnitt wird beschrieben, wie Sie Active Directory Verbunddienste (AD FS 2.0) zur Unterstützung der mehrstufigen Authentifizierung konfigurieren.The following section describes how to configure Active Directory Federation Services (AD FS 2.0) to support multi-factor authentication. Informationen zum Installieren von AD FS 2.0 finden Sie unter AD FS 2.0 Schritt-für-Schritt und Anleitungen unter https://go.microsoft.com/fwlink/p/?LinkId=313374 .For information on how to install AD FS 2.0, see AD FS 2.0 Step-by-Step and How To Guides at https://go.microsoft.com/fwlink/p/?LinkId=313374.

Hinweis

Verwenden Sie beim Installieren von AD FS 2.0 nicht den Windows Server-Manager, um die Active Directory Rolle "Verbunddienste" hinzuzufügen.When installing AD FS 2.0, do not use the Windows Server Manager to add the Active Directory Federation Services role. Laden Sie stattdessen das RTW-Paket für Active Directory Verbunddienste 2,0 unter herunter, und installieren Sie es https://go.microsoft.com/fwlink/p/?LinkId=313375 .Instead, download and install the Active Directory Federation Services 2.0 RTW package at https://go.microsoft.com/fwlink/p/?LinkId=313375.

So konfigurieren Sie AD FS für die zweistufige AuthentifizierungTo configure AD FS for two-factor Authentication

  1. Melden Sie sich mit einem Domänenadministratorkonto beim AD FS 2.0 Computer an.Log in to the AD FS 2.0 computer using a Domain Admin account.

  2. Starten Sie Windows PowerShell.Start Windows PowerShell.

  3. Führen Sie in der Windows PowerShell Befehlszeile den folgenden Befehl aus:From the Windows PowerShell command-line, run the following command:

    add-pssnapin Microsoft.Adfs.PowerShell
    
  4. Erstellen Sie eine Partnerschaft mit jedem lync Server 2013 mit kumulierten Updates für lync Server 2013 2013: Director, Enterprise-Pool und Standard Edition-Server, die für die passive Authentifizierung aktiviert werden, indem Sie den folgenden Befehl ausführen und den Server Namen für Ihre Bereitstellung ersetzen:Establish a partnership with each Lync Server 2013 with Cumulative Updates for Lync Server 2013: July 2013 Director, Enterprise Pool, and Standard Edition server that will be enabled for passive authentication by running the following command, replacing the server name specific to your deployment:

    Add-ADFSRelyingPartyTrust -Name LyncPool01-PassiveAuth -MetadataURL https://lyncpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml
    
  5. Starten Sie im Menü Verwaltungs Tools die AD FS 2.0 Verwaltungskonsole.From the Administrative Tools menu, launch the AD FS 2.0 Management console.

  6. Erweitern Sie Vertrauensstellungen der vertrauenden Seite der Vertrauensstellung > Relying Party Trusts.Expand Trust Relationships > Relying Party Trusts.

  7. Stellen Sie sicher, dass für Ihre lync Server 2013 eine neue Vertrauensstellung mit kumulierten Updates für lync Server 2013 erstellt wurde: July 2013 Enterprise-Pool oder Standard Edition-Server.Verify that a new trust has been created for your Lync Server 2013 with Cumulative Updates for Lync Server 2013: July 2013 Enterprise Pool or Standard Edition server.

  8. Erstellen und Zuweisen einer Ausstellungs Autorisierungsregel für die Vertrauensstellung der vertrauenden Seite mithilfe Windows PowerShell, indem Sie die folgenden Befehle ausführen:Create and assign an Issuance Authorization Rule for your relying party trust using Windows PowerShell by running the following commands:

     $IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
    
     Set-ADFSRelyingPartyTrust -TargetName LyncPool01-PassiveAuth 
     -IssuanceAuthorizationRules $IssuanceAuthorizationRules
    
  9. Erstellen und Zuweisen einer Ausstellungs Transformationsregel für die Vertrauensstellung der vertrauenden Seite mithilfe Windows PowerShell, indem Sie die folgenden Befehle ausführen:Create and assign an Issuance Transform Rule for your relying party trust using Windows PowerShell by running the following commands:

     $IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'
    
     Set-ADFSRelyingPartyTrust -TargetName LyncPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules
    
  10. Klicken Sie in der AD FS 2.0-Verwaltungskonsole mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, und wählen Sie Anspruchsregeln bearbeitenaus.From the AD FS 2.0 Management console, right click on your relying party trust and select Edit Claim Rules.

  11. Wählen Sie die Registerkarte Ausstellungs Autorisierungsregeln aus, und stellen Sie sicher, dass die neue Autorisierungsregel erfolgreich erstellt wurde.Select the Issuance Authorization Rules tab and verify that the new authorization rule was created successfully.

  12. Wählen Sie die Registerkarte ausstellungstransformationsregeln aus, und stellen Sie sicher, dass die neue Transformationsregel erfolgreich erstellt wurde.Select the Issuance Transform Rules tab and verify that the new transform rule was created successfully.