Einrichten einer AD FS-LaborumgebungSet up an AD FS lab environment

In diesem Thema sind die Schritte für die Konfiguration einer Testumgebung aufgeführt, die für das Abschließen der exemplarischen Vorgehensweisen in den folgenden Handbüchern mit exemplarischer Vorgehensweise verwendet werden können:This topic outlines the steps to configure a test environment that can be used to complete the walkthroughs in the following walkthrough guides:

Hinweis

Sie sollten den Webserver und den Verbundserver nicht auf demselben Computer installieren.We do not recommend that you install the web server and the federation server on the same computer.

Führen Sie zum Einrichten dieser Testumgebung die folgenden Schritte durch:To set up this test environment, complete the following steps:

  1. Schritt 1: Konfigurieren des Domänencontrollers (DC1)Step 1: Configure the domain controller (DC1)

  2. Schritt 2: Konfigurieren des Verbund Servers (ADFS1) mit dem Geräte RegistrierungsdienstStep 2: Configure the federation server (ADFS1) with Device Registration Service

  3. Schritt 3: Konfigurieren des Webservers (WebServ1) und einer anspruchsbasierten BeispielanwendungStep 3: Configure the web server (WebServ1) and a sample claims-based application

  4. Schritt 4: Konfigurieren des Clientcomputers (Client1)Step 4: Configure the client computer (Client1)

Schritt 1: Konfigurieren des Domänencontrollers (DC1)Step 1: Configure the domain controller (DC1)

Für diese Testumgebung können Sie Ihre Stamm Active Directory Domäne contoso.com und pass@word1 als Administrator Kennwort angeben.For the purposes of this test environment, you can call your root Active Directory domain contoso.com and specify pass@word1 as the administrator password.

  • Installieren Sie den AD DS-Rollen Dienst, und installieren Sie Active Directory Domain Services (AD DS), um Ihren Computer zu einem Domänen Controller in Windows Server 2012 R2 zu machen.Install the AD DS role service and install Active Directory Domain Services (AD DS) to make your computer a domain controller in Windows Server 2012 R2 . Durch diese Aktion wird das AD DS Schema als Teil der Domänen Controller Erstellung aktualisiert.This action upgrades your AD DS schema as part of the domain controller creation. Weitere Informationen und Schritt-für-Schritt-Anleitungen finden Sie unter https://technet.microsoft.com/ Library/hh472162. aspx.For more information and step-by-step instructions, seehttps://technet.microsoft.com/ library/hh472162.aspx.

Erstellen von Active Directory-TestkontenCreate test Active Directory accounts

Nachdem der Domänencontroller funktionsfähig ist, können Sie eine Testgruppe und Testbenutzerkonten in dieser Domäne erstellen und das Benutzerkonto zum Gruppenkonto hinzufügen.After your domain controller is functional, you can create a test group and test user accounts in this domain and add the user account to the group account. Sie verwenden diese Konten, um die exemplarischen Vorgehensweisen in den Handbüchern mit exemplarischer Vorgehensweise abzuschließen, die zu Beginn dieses Themas aufgeführt sind.You use these accounts to complete the walkthroughs in the walkthrough guides that are referenced earlier in this topic.

Erstellen Sie die folgenden Konten:Create the following accounts:

  • Benutzer: Robert Hatley mit den folgenden Anmelde Informationen: Benutzername: roberth und Kennwort: P@sswordUser: Robert Hatley with the following credentials: User name: RobertH and password: P@ssword

  • Gruppe: FinanceGroup: Finance

Informationen zum Erstellen von Benutzer-und Gruppenkonten in Active Directory (AD) finden Sie unter https://technet.microsoft.com/library/cc783323%28v=ws.10%29.aspx .For information about how to create user and group accounts in Active Directory (AD), see https://technet.microsoft.com/library/cc783323%28v=ws.10%29.aspx.

Fügen Sie das Konto Robert Hatley zur Gruppe Finance hinzu.Add the Robert Hatley account to the Finance group. Informationen zum Hinzufügen eines Benutzers zu einer Gruppe in Active Directory finden Sie unter https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx .For information on how to add a user to a group in Active Directory, see https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Erstellen eines GMSA-KontosCreate a GMSA account

Das Gruppen verwaltete Dienst Konto (Group Managed Service Account, GMSA) ist während der Installation und Konfiguration des Active Directory-Verbunddienste (AD FS) (AD FS) erforderlich.The group Managed Service Account (GMSA) account is required during the Active Directory Federation Services (AD FS) installation and configuration.

So erstellen Sie ein GMSA-KontoTo create a GMSA account
  1. Öffnen Sie ein Windows PowerShell-Befehlsfenster, und geben Sie Folgendes ein:Open a Windows PowerShell command window and type:

    Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
    New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
    
    

Schritt 2: Konfigurieren des Verbundservers (ADFS1) mit dem GeräteregistrierungsdienstStep 2: Configure the federation server (ADFS1) by using Device Registration Service

Um einen anderen virtuellen Computer einzurichten, installieren Sie Windows Server 2012 R2, und verbinden Sie es mit der Domäne contoso.com.To set up another virtual machine, install Windows Server 2012 R2 and connect it to the domain contoso.com. Richten Sie den Computer ein, nachdem Sie ihn der Domäne hinzugefügt haben, und fahren Sie dann mit der Installation und Konfiguration der AD FS-Rolle fort.Set up the computer after you have joined it to the domain, and then proceed to install and configure the AD FS role.

Ein Video hierzu finden Sie unter Active Directory-Verbunddienste – Videoreihe mit exemplarischer Vorgehensweise: Installieren einer AD FS-Serverfarm.For a video, see Active Directory Federation Services How-To Video Series: Installing an AD FS Server Farm.

Installieren eines SSL-ZertifikatsInstall a server SSL certificate

Sie müssen ein Secure Socket Layer (SSL)-Serverzertifikat auf dem ADFS1-Server im lokalen Computerspeicher installieren.You must install a server Secure Socket Layer (SSL) certificate on the ADFS1 server in the local computer store. Das Zertifikat MUSS über die folgenden Attribute verfügen:The certificate MUST have the following attributes:

  • Antragstellername (CN): adfs1.contoso.comSubject Name (CN): adfs1.contoso.com

  • Alternativer Antragstellername (DNS): adfs1.contoso.comSubject Alternative Name (DNS): adfs1.contoso.com

  • Alternativer Antragstellername (DNS): enterpriseregistration.contoso.comSubject Alternative Name (DNS): enterpriseregistration.contoso.com

Leitfaden Zertifikatregistrierungs-WebdienstCertificate Enrollment Web Service Guidance

Active Directory-Verbunddienste – Videoreihe mit exemplarischer Vorgehensweise: Aktualisieren von Zertifikaten.Active Directory Federation Services How-To Video Series: Updating Certificates.

Installieren der AD FS-ServerrolleInstall the AD FS server role

So installieren Sie den Verbunddienst-RollendienstTo install the Federation Service role service
  1. Melden Sie sich mit dem Domänen Administrator Konto beim Server an administrator@contoso.com .Log on to the server by using the domain administrator account administrator@contoso.com.

  2. Starten Sie den Server-Manager.Start Server Manager. Klicken Sie zum Starten des Server-Managers auf dem Windows-Startbildschirm auf Server-Manager, oder klicken Sie in der Windows-Taskleiste auf dem Windows-Desktop auf Server-Manager.To start Server Manager, click Server Manager on the Windows Start screen, or click Server Manager on the Windows taskbar on the Windows desktop. Klicken Sie auf der Seite Dashboard auf der Kachel Willkommen in der Registerkarte Schnellstart auf Rollen und Features hinzufügen.On the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. Alternativ können Sie im Menü Verwalten auf Rollen und Features hinzufügen klicken.Alternatively, you can click Add Roles and Features on the Manage menu.

  3. Klicken Sie auf der Seite Vorbereitung auf Weiter.On the Before you begin page, click Next.

  4. Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation, und klicken Sie anschließend auf Weiter.On the Select installation type page, click Role-based or feature-based installation, and then click Next.

  5. Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, überprüfen Sie, ob der Zielcomputer ausgewählt ist, und klicken Sie dann auf Weiter.On the Select destination server page, click Select a server from the server pool, verify that the target computer is selected, and then click Next.

  6. Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Verbunddienste, und klicken Sie dann auf Weiter.On the Select server roles page, click Active Directory Federation Services, and then click Next.

  7. Klicken Sie auf der Seite Features auswählen auf Weiter.On the Select features page, click Next.

  8. Klicken Sie auf der Seite Active Directory-Verbunddienst (AD FS) auf Weiter.On the Active Directory Federation Service (AD FS) page, click Next.

  9. Nachdem Sie die Informationen auf der Seite Installationsauswahl bestätigen geprüft haben, aktivieren Sie das Kontrollkästchen Zielserver bei Bedarf automatisch neu starten, und klicken Sie dann auf Installieren.After you verify the information on the Confirm installation selections page, select the Restart the destination server automatically if required check box, and then click Install.

  10. Überprüfen Sie auf der Seite Installationsfortschritt, ob alles ordnungsgemäß installiert wurden, und klicken Sie dann auf Schließen.On the Installation progress page, verify that everything installed correctly, and then click Close.

Konfigurieren des VerbundserversConfigure the federation server

Der nächste Schritt ist die Konfiguration des Verbundservers.The next step is to configure the federation server.

So konfigurieren Sie den VerbundserverTo configure the federation server
  1. Klicken Sie im Server-Manager auf der Seite Dashboard auf das Benachrichtigungs-Flag und dann auf Konfigurieren Sie den Verbunddienst auf diesem Server.On the Server Manager Dashboard page, click the Notifications flag, and then click Configure the federation service on the server.

    Der Konfigurations-Assistent für Active Directory-Verbunddienste wird geöffnet.The Active Directory Federation Service Configuration Wizard opens.

  2. Wählen Sie auf der Seite Willkommen****Erstellen des ersten Verbundservers in einer Verbundserverfarm aus, und klicken Sie dann auf Weiter.On the Welcome page, select Create the first federation server in a federation server farm, and then click Next.

  3. Geben Sie auf der Seite Verbinden mit AD DS ein Konto mit Domänenadministratorrechten für die Active Directory-Domäne contoso.com an, der dieser Computer angehört, und klicken Sie dann auf Weiter.On the Connect to AD DS page, specify an account with domain administrator rights for the contoso.com Active Directory domain that this computer is joined to, and then click Next.

  4. Führen Sie auf der Seite Diensteigenschaften angeben die folgenden Schritte aus, und klicken Sie dann auf Weiter:On the Specify Service Properties page, do the following, and then click Next:

    • Importieren Sie das SSL-Zertifikat, das Sie zuvor erhalten haben.Import the SSL certificate that you have obtained earlier. Dieses Zertifikat ist das erforderliche Dienstauthentifizierungszertifikat.This certificate is the required service authentication certificate. Navigieren Sie zum Speicherort Ihres SSL-Zertifikats.Browse to the location of your SSL certificate.

    • Zum Bereitstellen eines Namens für Ihren Verbunddienst geben Sie adfs1.contoso.com ein.To provide a name for your federation service, type adfs1.contoso.com. Das ist derselbe Wert, den Sie beim Registrieren eines SSL-Zertifikats bei den Active Directory-Zertifikatdiensten (AD CS) angegeben haben.This value is the same value that you provided when you enrolled an SSL certificate in Active Directory Certificate Services (AD CS).

    • Zum Bereitstellen eines Anzeigenamens für Ihren Verbunddienst geben Sie Contoso Corporation ein.To provide a display name for your federation service, type Contoso Corporation.

  5. Wählen Sie auf der Seite Angeben eines Dienstkontos die Option Vorhandenes Domänenbenutzerkonto oder gruppenverwaltetes Dienstkonto verwenden aus, und geben Sie dann das GMSA-Konto fsgmsa an, das Sie beim Erstellen des Domänencontrollers erstellt haben.On the Specify Service Account page, select Use an existing domain user account or group Managed Service Account, and then specify the GMSA account fsgmsa that you created when you created the domain controller.

  6. Wählen Sie auf der Seite Angeben der Konfigurationsdatenbank die Option Erstellen einer Datenbank auf diesem Server mit der internen Windows-Datenbank aus, und klicken Sie dann auf Weiter.On the Specify Configuration Database page, select Create a database on this server using Windows Internal Database, and then click Next.

  7. Überprüfen Sie Ihre Konfigurationsauswahl auf der Seite Optionen prüfen, und klicken Sie dann auf Weiter.On the Review Options page, verify your configuration selections, and then click Next.

  8. Überprüfen Sie auf der Seite Voraussetzungsprüfungen, ob alle Voraussetzungsprüfungen erfolgreich abgeschlossen wurden, und klicken Sie dann auf Konfigurieren.On the Pre-requisite Checks page, verify that all prerequisite checks were successfully completed, and then click Configure.

  9. Überprüfen Sie die Ergebnisse auf der Seite Ergebnisse, prüfen Sie, ob die Konfiguration erfolgreich abgeschlossen wurden, und klicken Sie dann auf Weitere Schritte, die zum Abschluss der Bereitstellung des Verbunddiensts erforderlich sind.On the Results page, review the results, check whether the configuration has completed successfully, and then click Next steps required for completing your federation service deployment.

Konfigurieren des GeräteregistrierungsdienstsConfigure Device Registration Service

Der nächste Schritt ist die Konfiguration des Geräteregistrierungsdiensts auf dem ADFS1-Server.The next step is to configure Device Registration Service on the ADFS1 server. Ein Video hierzu finden Sie unter Active Directory-Verbunddienste – Videoreihe mit exemplarischer Vorgehensweise: Aktivieren des Geräteregistrierungsdiensts.For a video, see Active Directory Federation Services How-To Video Series: Enabling the Device Registration Service.

So konfigurieren Sie den Geräteregistrierungsdienst für Windows Server 2012 RTMTo configure Device Registration Service for Windows Server 2012 RTM
  1. Wichtig

    Der folgende Schritt gilt für den Windows Server 2012 R2 RTM Build.The following step applies to the Windows Server 2012 R2 RTM build.

    Öffnen Sie ein Windows PowerShell-Befehlsfenster, und geben Sie Folgendes ein:Open a Windows PowerShell command window and type:

    Initialize-ADDeviceRegistration
    

    Wenn Sie zur Eingabe eines Dienst Kontos aufgefordert werden, geben Sie " kontosofsgmsa $" ein.When you are prompted for a service account, type contosofsgmsa$.

    Führen Sie nun das Windows PowerShell-Cmdlet aus.Now run the Windows PowerShell cmdlet.

    Enable-AdfsDeviceRegistration
    
  2. Navigieren Sie auf dem ADFS1-Server in der AD FS-Verwaltungskonsole zu Authentifizierungsrichtlinien.On the ADFS1 server, in the AD FS Management console, navigate to Authentication Policies. Wählen Sie Globale primäre Authentifizierung bearbeiten aus.Select Edit Global Primary Authentication. Aktivieren Sie das Kontrollkästchen neben Geräteauthentifizierung aktivieren, und klicken Sie dann auf OK.Select the check box next to Enable Device Authentication, and then click OK.

Hinzufügen von Host- (A) und Aliasressourcendatensätzen (CNAME) zu DNSAdd Host (A) and Alias (CNAME) Resource Records to DNS

Auf DC1 müssen Sie sicherstellen, dass die folgenden DNS-Datensätze für den Geräteregistrierungsdienst erstellt werden.On DC1, you must ensure that the following Domain Name System (DNS) records are created for Device Registration Service.

EingabeEntry typeType AdresseAddress
adfs1adfs1 Host (A)Host (A) IP-Adresse des AD FS ServersIP address of the AD FS server
enterpriseregistrationenterpriseregistration Alias (CNAME)Alias (CNAME) adfs1.contoso.comadfs1.contoso.com

Sie können wie folgt vorgehen, um einen Hostressourcendatensatz (A) zu DNS-Unternehmensnamenservern für den Verbundserver und den Geräteregistrierungsdienst hinzuzufügen.You can use the following procedure to add a host (A) resource record to corporate DNS name servers for the federation server and Device Registration Service.

Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren ausführen können.Membership in the Administrators group or an equivalent is the minimum requirement to complete this procedure. Überprüfen Sie die Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften im Hyperlink " https://go.microsoft.com/fwlink/?LinkId=83477 " lokale und Domänen Standard Gruppen ( https://go.microsoft.com/fwlink/p/?LinkId=83477 ).Review details about using the appropriate accounts and group memberships in the HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" Local and Domain Default Groups (https://go.microsoft.com/fwlink/p/?LinkId=83477).

So fügen Sie einen Host (A) und Aliasressourcendatensätze (CNAME) zu DNS für Ihren Verbundserver hinzuTo add a host (A) and alias (CNAME) resource records to DNS for your federation server
  1. Klicken Sie auf DC1 im Server-Manager im Menü Extras auf DNS, um das DNS-Snap-In zu öffnen.On DC1, from Server Manager, on the Tools menu, click DNS to open the DNS snap-in.

  2. Erweitern Sie in der Konsolenstruktur DC1 und Forward-Lookupzonen, klicken Sie mit der rechten Maustaste auf contoso.com, und klicken Sie dann auf Neuer Host (A oder AAAA).In the console tree, expand DC1, expand Forward Lookup Zones, right-click contoso.com, and then click New Host (A or AAAA).

  3. Geben Sie unter Name den gewünschten Namen für Ihre AD FS-Farm ein.In Name, type the name you want to use for your AD FS farm. Verwenden Sie für die exemplarische Vorgehensweise adfs1.For this walkthrough, type adfs1.

  4. Geben Sie im Feld IP-Adresse die IP-Adresse des ADFS1-Servers ein.In IP address, type the IP address of the ADFS1 server. Klicken Sie auf Host hinzufügen.Click Add Host.

  5. Klicken Sie mit der rechten Maustaste auf contoso.com, und klicken Sie dann auf Neuer Alias (CNAME).Right-click contoso.com, and then click New Alias (CNAME).

  6. Geben Sie im Dialogfeld Neuer Ressourcendatensatz****enterpriseregistration in das Feld Aliasname ein.In the New Resource Record dialog box, type enterpriseregistration in the Alias name box.

  7. Geben Sie das Feld für den vollqualifizierten Domänennamen (FQDN) auf dem Zielhost adfs1.contoso.com ein, und klicken Sie dann auf OK.In the Fully Qualified Domain Name (FQDN) of the target host box, type adfs1.contoso.com, and then click OK.

    Wichtig

    Wenn Ihr Unternehmen in einer realen Bereitstellung über mehrere Benutzerprinzipalnamen-Suffixe (User Principal Name, UPN) verfügt, müssen Sie mehrere CNAME-Datensätze erstellen, jeweils einen für die UPN-Suffixe in DNS.In a real-world deployment, if your company has multiple user principal name (UPN) suffixes, you must create multiple CNAME records, one for each of those UPN suffixes in DNS.

Schritt 3: Konfigurieren des Webservers (WebServ1) und einer anspruchsbasierten BeispielanwendungStep 3: Configure the web server (WebServ1) and a sample claims-based application

Richten Sie einen virtuellen Computer (WebServ1) ein, indem Sie das Betriebssystem Windows Server 2012 R2 installieren, und verbinden Sie es mit der Domäne contoso.com.Set up a virtual machine (WebServ1) by installing the Windows Server 2012 R2 operating system and connect it to the domain contoso.com. Nachdem der Computer der Domäne hinzugefügt ist, können Sie mit der Installation und Konfiguration der Webserverrolle fortfahren.After it is joined to the domain, you can proceed to install and configure the Web Server role.

Zum Abschließen der zu Beginn dieses Themas aufgeführten exemplarischen Vorgehensweisen müssen Sie eine Beispielanwendung haben, die von Ihrem Verbundserver (ADFS1) gesichert wird.To complete the walkthroughs that were referenced earlier in this topic, you must have a sample application that is secured by your federation server (ADFS1).

Sie können das Windows Identity Foundation SDK () herunterladen https://www.microsoft.com/download/details.aspx?id=4451 , das eine Anspruchs basierte Beispielanwendung enthält.You can download Windows Identity Foundation SDK (https://www.microsoft.com/download/details.aspx?id=4451, which includes a sample claims-based application.

Sie müssen die folgenden Schritte durchführen, um einen Webserver mit dieser anspruchsbasierten Beispielanwendung einzurichten.You must complete the following steps to set up a web server with this sample claims-based application.

Hinweis

Diese Schritte wurden auf einem Webserver getestet, auf dem das Betriebssystem Windows Server 2012 R2 ausgeführt wird.These steps have been tested on a web server that runs the Windows Server 2012 R2 operating system.

  1. Installieren der Webserver Rolle und von Windows Identity FoundationInstall the Web Server Role and Windows Identity Foundation

  2. Installieren des Windows Identity Foundation SDKInstall Windows Identity Foundation SDK

  3. Konfigurieren der einfachen Anspruchsanwendung in IISConfigure the simple claims app in IIS

  4. Erstellen einer Vertrauensstellung der vertrauenden Seite auf dem VerbundserverCreate a relying party trust on your federation server

Installieren der Webserverrole und von Windows Identity FoundationInstall the Web Server role and Windows Identity Foundation

  1. Hinweis

    Sie müssen Zugriff auf die Windows Server 2012 R2-Installationsmedien haben.You must have access to the Windows Server 2012 R2 installation media.

    Melden Sie sich mit administrator@contoso.com und dem Kennwort bei WebServ1 an pass@word1 .Log on to WebServ1 by using administrator@contoso.com and the password pass@word1.

  2. Klicken Sie im Server-Manager auf der Seite Dashboard auf der Kachel Willkommen in der Registerkarte Schnellstart auf Rollen und Features hinzufügen.From Server Manager, on the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. Alternativ können Sie im Menü Verwalten auf Rollen und Features hinzufügen klicken.Alternatively, you can click Add Roles and Features on the Manage menu.

  3. Klicken Sie auf der Seite Vorbereitung auf Weiter.On the Before you begin page, click Next.

  4. Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation, und klicken Sie anschließend auf Weiter.On the Select installation type page, click Role-based or feature-based installation, and then click Next.

  5. Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, überprüfen Sie, ob der Zielcomputer ausgewählt ist, und klicken Sie dann auf Weiter.On the Select destination server page, click Select a server from the server pool, verify that the target computer is selected, and then click Next.

  6. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen neben Webserver (IIS), und klicken Sie auf Features hinzufügen und dann auf Weiter.On the Select server roles page, select the check box next to Web Server (IIS), click Add Features, and then click Next.

  7. Wählen Sie auf der Seite Features auswählen die Option Windows Identity Foundation 3.5 aus, und klicken Sie dann auf Weiter.On the Select features page, select Windows Identity Foundation 3.5, and then click Next.

  8. Klicken Sie auf der Seite Webserverrolle (IIS) auf Weiter.On the Web Server Role (IIS) page, click Next.

  9. Wählen Sie auf der Seite Rollendienste auswählen****Anwendungsentwicklung aus, und erweitern Sie die Option.On the Select role services page, select and expand Application Development. Wählen Sie ASP.NET 3.5 aus, und klicken Sie auf Features hinzufügen und dann auf Weiter.Select ASP.NET 3.5, click Add Features, and then click Next.

  10. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Alternativen Quellpfad angeben.On the Confirm installation selections page, click Specify an alternate source path. Geben Sie den Pfad zum SxS-Verzeichnis ein, das sich auf dem Windows Server 2012 R2-Installationsmedium befindet.Enter the path to the Sxs directory that is located in the Windows Server 2012 R2 installation media. Beispiel: d:sourcessxs.For example D:SourcesSxs. Klicken Sie auf OK und dann auf Installieren.Click OK, and then click Install.

Installieren des Windows Identity Foundation SDKInstall Windows Identity Foundation SDK

  1. Führen Sie WindowsIdentityFoundation-SDK-3.5.msi aus, um Windows Identity Foundation SDK 3,5 () zu installieren https://www.microsoft.com/download/details.aspx?id=4451) .Run WindowsIdentityFoundation-SDK-3.5.msi to install Windows Identity Foundation SDK 3.5 (https://www.microsoft.com/download/details.aspx?id=4451). Wählen Sie alle Standardoptionen aus.Choose all of the default options.

Konfigurieren der einfachen Anspruchsanwendung in IISConfigure the simple claims app in IIS

  1. Installieren Sie ein gültiges SSL-Zertifikat im Zertifikatspeicher des Computers.Install a valid SSL certificate in the computer certificate store. Das Zertifikat sollte den Namen Ihres Webservers, webserv1.contoso.com, enthalten.The certificate should contain the name of your web server, webserv1.contoso.com.

  2. Kopieren Sie den Inhalt von c:Program Files (x86) Windows Identity Foundation sdkv 3.5 samplesquick startweb applicationpassiveredirectbasedclaimsawarewebapp nach c:inetpubclaimapp.Copy the contents of C:Program Files (x86)Windows Identity Foundation SDKv3.5SamplesQuick StartWeb ApplicationPassiveRedirectBasedClaimsAwareWebApp to C:InetpubClaimapp.

  3. Bearbeiten Sie die Datei Default.aspx.cs, damit keine Anspruchsfilterung stattfindet.Edit the Default.aspx.cs file so that no claim filtering takes place. Mit diesem Schritt wird sichergestellt, dass die Beispielanwendung alle Ansprüche anzeigt, die vom Verbundserver ausgegeben werden.This step is performed to ensure that the sample application displays all the claims that are issued by the federation server. Gehen Sie folgendermaßen vor:Do the following:

    1. Öffenen Sie Default.aspx.cs in einem Text-Editor.Open Default.aspx.cs in a text editor.

    2. Durchsuchen Sie die Datei nach der zweiten Instanz von ExpectedClaims.Search the file for the second instance of ExpectedClaims.

    3. Kommentieren Sie die gesamte IF -Anweisung einschließlich der Klammern aus.Comment out the entire IF statement and its braces. Geben Sie Kommentare ein, indem Sie am Anfang einer Zeile "//" (ohne Anführungszeichen) eingeben.Indicate comments by typing "//" (without the quotes) at the beginning of a line.

    4. Ihre FOREACH -Anweisung sollte jetzt wie im folgenden Codebeispiel aussehen.Your FOREACH statement should now look like this code example.

      Foreach (claim claim in claimsIdentity.Claims)
      {
         //Before showing the claims validate that this is an expected claim
         //If it is not in the expected claims list then don't show it
         //if (ExpectedClaims.Contains( claim.ClaimType ) )
         // {
            writeClaim( claim, table );
         //}
      }
      
      
    5. Speichern und schließen Sie Default.aspx.cs.Save and close Default.aspx.cs.

    6. Öffenen Sie web.config in einem Text-Editor.Open web.config in a text editor.

    7. Entfernen Sie den gesamten Abschnitt <microsoft.identityModel> .Remove the entire <microsoft.identityModel> section. Entfernen Sie alles ab including <microsoft.identityModel> bis einschließlich </microsoft.identityModel>.Remove everything starting from including <microsoft.identityModel> and up to and including </microsoft.identityModel>.

    8. Speichern und schließen Sie web.config.Save and close web.config.

  4. Konfigurieren des IIS-ManagersConfigure IIS Manager

    1. Öffnen Sie das Dialogfeld Internetinformationsdienste-Manager.Open Internet Information Services (IIS) Manager.

    2. Navigieren Sie zu Anwendungspools, und klicken Sie mit der rechten Maustasge auf DefaultAppPool, um Erweiterte Einstellungen auszuwählen.Go to Application Pools, right-click DefaultAppPool to select Advanced Settings. Setzen Sie Benutzerprofil laden auf True, und klicken Sie dann auf OK.Set Load User Profile to True, and then click OK.

    3. Klicken Sie mit der rechten Maustaste auf DefaultAppPool, um Grundeinstellungen auszuwählen.Right-click DefaultAppPool to select Basic Settings. Ändern Sie .NET CLR-Version in .NET CLR Version v2.0.50727.Change the .NET CLR Version to .NET CLR Version v2.0.50727.

    4. Klicken Sie mit der rechten Maustaste auf Standardwebsite, um Bindungen bearbeiten auszuwählen.Right-click Default Web Site to select Edit Bindings.

    5. Fügen Sie eine HTTPS-Bindung zu Port 443 mit dem von Ihnen installierten SSL-Zertifikat hinzu.Add an HTTPS binding to port 443 with the SSL certificate that you have installed.

    6. Klicken Sie mit der rechten Maustaste auf Standardwebsite, um Anwendung hinzufügen auszuwählen.Right-click Default Web Site to select Add Application.

    7. Legen Sie den Alias auf claimapp und den physischen Pfad auf c:inetpubclaimapp fest.Set the alias to claimapp and the physical path to c:inetpubclaimapp.

  5. Gehen Sie wie folgt vor, um claimapp für die Zusammenarbeit mit Ihrem Verbundserver zu konfigurieren:To configure claimapp to work with your federation server, do the following:

    1. Führen Sie FedUtil.exe aus, das sich in " c:Program Files (x86) Windows Identity Foundation sdkv 3.5" befindet.Run FedUtil.exe, which is located in C:Program Files (x86)Windows Identity Foundation SDKv3.5.

    2. Legen Sie den Speicherort der Anwendungskonfiguration auf C:inetputclaimappweb.config fest, und legen Sie den Anwendungs-URI auf die URL Ihrer Website, https://webserv1.contoso.com /claimapp/, fest.Set the application configuration location to C:inetputclaimappweb.config and set the application URI to the URL for your site, https://webserv1.contoso.com /claimapp/. Klicken Sie auf Weiter.Click Next.

    3. Wählen Sie vorhandenen STS verwenden aus, und navigieren Sie zur Metadaten-URL Ihres AD FS Servers https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml .Select Use an existing STS and browse to your AD FS server's metadata URL https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Klicken Sie auf Weiter.Click Next.

    4. Wählen Sie Überprüfung der Zertifikatkette deaktivieren aus, und klicken Sie dann auf Weiter.Select Disable certificate chain validation, and then click Next.

    5. Wählen Sie Keine Verschlüsselung aus, und klicken Sie auf Weiter.Select No encryption, and then click Next. Klicken Sie auf der Seite Angebotene Ansprüche auf Weiter.On the Offered claims page, click Next.

    6. Aktivieren Sie das Kontrollkästchen neben Planen einer Aufgabe zur Durchführung täglicher WS-Verbundmetadatenupdates.Select the check box next to Schedule a task to perform daily WS-Federation metadata updates. Klicken Sie auf Fertig stellen.Click Finish.

    7. Ihre Beispielanwendung ist jetzt konfiguriert.Your sample application is now configured. Wenn Sie die Anwendungs-URL testen https://webserv1.contoso.com/claimapp , sollten Sie Sie an den Verbund Server weiterleiten.If you test the application URL https://webserv1.contoso.com/claimapp, it should redirect you to your federation server. Der Verbundserver sollte eine Fehlerseite anzeigen, da Sie die Vertrauensstellung der vertrauenden Seite noch nicht konfiguriert haben.The federation server should display an error page because you have not yet configured the relying party trust. Anders ausgedrückt, haben Sie diese Testanwendung nicht durch AD FS gesichert.In other words, you have not secured this test application by AD FS.

Sie müssen jetzt Ihre Beispielanwendung, die auf dem Webserver ausgeführt wird, mit AD FS sichern.You must now secure your sample application that runs on your web server with AD FS. Dies erreichen Sie, indem Sie eine Vertrauensstellung der vertrauenden Seite auf Ihrem Verbundserver (ADFS1) hinzufügen.You can do this by adding a relying party trust on your federation server (ADFS1). Ein Video hierzu finden Sie unter Active Directory-Verbunddienste – Videoreihe mit exemplarischer Vorgehensweise: Hinzufügen einer Vertrauensstellung der vertrauenden Seite.For a video, see Active Directory Federation Services How-To Video Series: Add a Relying Party Trust.

Erstellen einer Vertrauensstellung der vertrauenden Seite auf dem VerbundserverCreate a relying party trust on your federation server

  1. Navigieren Sie auf Ihrem Verbundserver (ADFS1) in der AD FS-Verwaltungskonsole zu Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf Vertrauensstellung der vertrauenden Seite hinzufügen.On you federation server (ADFS1), in the AD FS Management console, navigate to Relying Party Trusts, and then click Add Relying Party Trust.

  2. Wählen Sie auf der Seite Auswählen einer Datenquelle die Option Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren aus, geben Sie die Metadaten-URL für claimapp ein, und klicken Sie dann auf Weiter.On the Select Data Source page, select Import data about the relying party published online or on a local network, enter the metadata URL for claimapp, and then click Next. Bei der Ausführung von FedUtil.exe wurde eine Metadaten-XML-Datei erstellt.Running FedUtil.exe created a metadata .xml file. Sie befindet sich unter https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml .It is located at https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

  3. Geben Sie auf der Seite Angeben des Anzeigenamens den Anzeigenamen für Ihre Vertrauensstellung der vertrauenden Seite, claimapp, ein, und klicken Sie dann auf Weiter.On the Specify Display Name page, specify the display name for your relying party trust, claimapp, and then click Next.

  4. Wählen Sie auf der Seite Jetzt mehrstufige Authentifizierung konfigurieren? die Option Ich möchte jetzt keine mehrstufige Authentifizierungseinstellung für diese Vertrauensstellung der vertrauenden Seite angeben, und klicken Sie auf Weiter.On the Configure Multi-factor Authentication Now? page, select I do not want to specify multi-factor authentication setting for this relying party trust at this time, and then click Next.

  5. Wählen Sie auf der Seite Auswählen von Ausstellungsautorisierungsregeln die Option Allen Benutzern Zugriff auf diese vertrauende Seite gewähren, und klicken Sie dann auf Weiter.On the Choose Issuance Authorization Rules page, select Permit all users to access this relying party, and then click Next.

  6. Klicken Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung auf Weiter.On the Ready to Add Trust page, click Next.

  7. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf Regel hinzufügen.On the Edit Claim Rules dialog box, click Add Rule.

  8. Wählen Sie auf der Seite Auswählen eines Regeltyps die Option Senden von Ansprüchen mit benutzerdefinierter Regel aus, und klicken Sie dann auf Weiter.On the Choose Rule Type page, select Send Claims Using a Custom Rule, and then click Next.

  9. Geben Sie auf der Seite Konfigurieren einer Anspruchsregel in das Feld Name der Anspruchsregel****All Claims ein.On the Configure Claim Rule page, in the Claim rule name box, type All Claims. Geben Sie im Feld Benutzerdefinierte Regel die folgende Anspruchsregel ein.In the Custom rule box, type the following claim rule.

    c:[ ]
    => issue(claim = c);
    
    
  10. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK.Click Finish, and then click OK.

Schritt 4: Konfigurieren des Clientcomputers (Client1)Step 4: Configure the client computer (Client1)

Richten Sie einen weiteren virtuellen Computer ein, und installieren Sie Windows 8.1.Set up another virtual machine and install Windows 8.1. Dieser virtuelle Computer muss sich im selben virtuellen Netzwerk befinden wie die anderen Computer.This virtual machine must be on the same virtual network as the other machines. Dieser Computer sollte NICHT zur Contoso-Domäne hinzugefügt werden.This machine should NOT be joined to the Contoso domain.

Der Client MUSS dem SSL-Zertifikat vertrauen, das für den in Step 2: Configure the federation server (ADFS1) with Device Registration Serviceeingerichteten Verbundserver (ADFS1) verwendet wird.The client MUST trust the SSL certificate that is used for the federation server (ADFS1), which you set up in Step 2: Configure the federation server (ADFS1) with Device Registration Service. Darüber hinaus muss er die Zertifikatsperrinformationen für das Zertifikat validieren können.It must also be able to validate certificate revocation information for the certificate.

Sie müssen außerdem ein Microsoft-Konto einrichten und verwenden, um sich bei Client1 anzumelden.You also must set up and use a Microsoft account to log on to Client1.

Weitere InformationenSee Also

Active Directory-Verbunddienste (AD FS) How-To-Video Serie: Installieren einer AD FS-Server Farm Active Directory-Verbunddienste (AD FS) How-To Video Reihe: Aktualisieren von Zertifikaten Active Directory-Verbunddienste (AD FS) How-To Video Reihe: Hinzufügen einer Vertrauensstellung der vertrauenden Seite Active Directory-Verbunddienste (AD FS) How-To Video Reihe: Aktivieren des Geräte Registrierungs Dienstanbieter Active Directory-Verbunddienste (AD FS) How-To Video Serie: Installieren des webanwendungsproxysActive Directory Federation Services How-To Video Series: Installing an AD FS Server Farm Active Directory Federation Services How-To Video Series: Updating Certificates Active Directory Federation Services How-To Video Series: Add a Relying Party Trust Active Directory Federation Services How-To Video Series: Enabling the Device Registration Service Active Directory Federation Services How-To Video Series: Installing the Web Application Proxy