Distribuzione di Active Directory Federation Services in AzureDeploying Active Directory Federation Services in Azure

AD FS offre funzionalità di federazione delle identità e Single Sign-On (SSO) Web protette e semplificate.AD FS provides simplified, secured identity federation and Web single sign-on (SSO) capabilities. La federazione con Azure AD o O365 consente agli utenti di eseguire l'autenticazione con credenziali locali e accedere a tutte le risorse nel cloud.Federation with Azure AD or O365 enables users to authenticate using on-premises credentials and access all resources in cloud. Di conseguenza, diventa importante la presenza di un'infrastruttura AD FS a disponibilità elevata per garantire l'accesso alle risorse sia in locale sia nel cloud.As a result, it becomes important to have a highly available AD FS infrastructure to ensure access to resources both on-premises and in the cloud. La distribuzione di AD FS in Azure consente di raggiungere facilmente la disponibilità elevata necessaria.Deploying AD FS in Azure can help achieve the high availability required with minimal efforts. Distribuire AD FS in Azure offre diverse vantaggi. Di seguito ne sono elencati alcuni.There are several advantages of deploying AD FS in Azure, a few of them are listed below:

  • Disponibilità elevata : gli avanzati set di disponibilità di Azure assicurano un'infrastruttura a disponibilità elevata.High Availability - With the power of Azure Availability Sets, you ensure a highly available infrastructure.
  • Scalabilità semplificata: se sono necessarie più prestazioni,Easy to Scale – Need more performance? è possibile eseguire facilmente la migrazione a computer più potenti con pochi clic in Azure.Easily migrate to more powerful machines by just a few clicks in Azure
  • Ridondanza tra diverse aree geografiche : la ridondanza geografica di Azure assicura la disponibilità elevata dell'infrastruttura a livello globale.Cross-Geo Redundancy – With Azure Geo Redundancy you can be assured that your infrastructure is highly available across the globe
  • Facilità di gestione : le opzioni di gestione estremamente semplificate del portale di Azure consentono di gestire l'infrastruttura con la massima facilità.Easy to Manage – With highly simplified management options in Azure portal, managing your infrastructure is very easy and hassle-free

Principi di progettazioneDesign principles

Progettazione della distribuzione

Il diagramma riportato sopra illustra la topologia di base consigliata come punto di partenza per la distribuzione di un'infrastruttura AD FS in Azure.The diagram above shows the recommended basic topology to start deploying your AD FS infrastructure in Azure. Di seguito sono elencati i principi alla base dei vari componenti della topologia.The principles behind the various components of the topology are listed below:

  • Controller di dominio/server AD FS: se il numero di utenti è inferiore a 1.000, è sufficiente installare il ruolo AD FS nei controller di dominio.DC / ADFS Servers: If you have fewer than 1,000 users you can simply install AD FS role on your domain controllers. Se si vuole evitare qualsiasi impatto sulle prestazioni dei controller di dominio o sono presenti più di 1.000 utenti, distribuire AD FS su server separati.If you do not want any performance impact on the domain controllers or if you have more than 1,000 users, then deploy AD FS on separate servers.
  • Server WAP : è necessario per distribuire server proxy applicazione Web in modo che gli utenti possano raggiungere AD FS anche quando si trovano all'esterno della rete aziendale.WAP Server – it is necessary to deploy Web Application Proxy servers, so that users can reach the AD FS when they are not on the company network also.
  • Rete perimetrale: i server proxy applicazione Web verranno inseriti nella rete perimetrale e tra la rete perimetrale e la subnet interna sarà consentito SOLO l'accesso TCP/443.DMZ: The Web Application Proxy servers will be placed in the DMZ and ONLY TCP/443 access is allowed between the DMZ and the internal subnet.
  • Servizi di bilanciamento del carico: per garantire la disponibilità elevata dei server proxy applicazione Web e AD FS è consigliabile usare un servizio di bilanciamento del carico interno per i server AD FS e Azure Load Balancer per i server proxy applicazione Web.Load Balancers: To ensure high availability of AD FS and Web Application Proxy servers, we recommend using an internal load balancer for AD FS servers and Azure Load Balancer for Web Application Proxy servers.
  • Set di disponibilità: per implementare la ridondanza nella distribuzione di AD FS, è consigliabile raggruppare due o più macchine virtuali in un set disponibilità per carichi di lavoro simili.Availability Sets: To provide redundancy to your AD FS deployment, it is recommended that you group two or more virtual machines in an Availability Set for similar workloads. Questa configurazione assicura che durante un evento di manutenzione pianificata o non pianificata sia disponibile almeno una macchina virtuale.This configuration ensures that during either a planned or unplanned maintenance event, at least one virtual machine will be available
  • Account di archiviazione: è consigliabile avere due account di archiviazione.Storage Accounts: It is recommended to have two storage accounts. Un singolo account di archiviazione può determinare un singolo punto di guasto e causare l'indisponibilità della distribuzione nell'improbabile scenario in cui l'account di archiviazione diventi inattivo.Having a single storage account can lead to creation of a single point of failure and can cause the deployment to become unavailable in an unlikely scenario where the storage account goes down. Con due account di archiviazione è possibile associare un account di archiviazione per ogni linea di guasto.Two storage accounts will help associate one storage account for each fault line.
  • Separazione delle reti: i server proxy applicazione Web verranno distribuiti in una rete perimetrale separata.Network segregation: Web Application Proxy servers should be deployed in a separate DMZ network. È possibile dividere una rete virtuale in due subnet e quindi distribuire i server proxy applicazione Web in una subnet isolata.You can divide one virtual network into two subnets and then deploy the Web Application Proxy server(s) in an isolated subnet. È sufficiente configurare le impostazioni dei gruppi di sicurezza di rete per ogni subnet e consentire solo la comunicazione necessaria tra le due subnet.You can simply configure the network security group settings for each subnet and allow only required communication between the two subnets. Altri dettagli sono riportati di seguito per i singoli scenari di distribuzione.More details are given per deployment scenario below

Passaggi per la distribuzione di AD FS in AzureSteps to deploy AD FS in Azure

I passaggi indicati in questa sezione offrono una guida per distribuire l'infrastruttura AD FS illustrata di seguito in Azure.The steps mentioned in this section outline the guide to deploy the below depicted AD FS infrastructure in Azure.

1. Distribuire la rete1. Deploying the network

Come indicato in precedenza, è possibile creare due subnet in una singola rete virtuale oppure creare due reti virtuali completamente diverse.As outlined above, you can either create two subnets in a single virtual network or else create two completely different virtual networks (VNet). Questo articolo è incentrato sulla distribuzione di una singola rete virtuale e sulla relativa divisione in due subnet.This article will focus on deploying a single virtual network and divide it into two subnets. È attualmente un approccio più semplice perché due reti virtuali separate richiederebbero un gateway da rete virtuale a rete virtuale per le comunicazioni.This is currently an easier approach as two separate VNets would require a VNet to VNet gateway for communications.

1.1 Creare una rete virtuale1.1 Create virtual network

Creare una rete virtuale

Nel portale di Azure selezionare la rete virtuale. È possibile distribuire immediatamente la rete virtuale e una subnet con un solo clic.In the Azure portal, select virtual network and you can deploy the virtual network and one subnet immediately with just one click. Viene definita anche la subnet INT, che è pronta per l'aggiunta di VM.INT subnet is also defined and is ready now for VMs to be added. Il passaggio successivo consiste nell’aggiungere un’altra subnet (denominata “rete perimetrale”) alla rete.The next step is to add another subnet to the network, i.e. the DMZ subnet. Per creare la subnet DMZ, è sufficiente:To create the DMZ subnet, simply

  • Selezionare la rete appena creataSelect the newly created network
  • Nelle proprietà selezionare SubnetIn the properties select subnet
  • Nel pannello Subnet fare clic sul pulsante di aggiuntaIn the subnet panel click on the add button
  • Specificare il nome della subnet e le informazioni relative allo spazio indirizzi per creare la subnetProvide the subnet name and address space information to create the subnet

Subnet

Subnet DMZ

1.2. Creare i gruppi di sicurezza di rete1.2. Creating the network security groups

Un gruppo di sicurezza di rete (NSG) contiene un elenco di regole dell'elenco di controllo di accesso (ACL) che consentono o rifiutano il traffico di rete alle istanze di VM in una rete virtuale.A Network security group (NSG) contains a list of Access Control List (ACL) rules that allow or deny network traffic to your VM instances in a Virtual Network. I gruppi di sicurezza di rete possono essere associati a subnet o singole istanze VM in una subnet.NSGs can be associated with either subnets or individual VM instances within that subnet. Quando un gruppo di sicurezza di rete viene associato a una subnet, le regole ACL si applicano a tutte le istanze di VM in tale subnet.When an NSG is associated with a subnet, the ACL rules apply to all the VM instances in that subnet. Ai fini di questa guida, verranno creati due gruppi di sicurezza di rete, uno per una rete interna e uno per una rete perimetrale,For the purpose of this guidance, we will create two NSGs: one each for an internal network and a DMZ. denominati rispettivamente NSG_INT e NSG_DMZ.They will be labeled NSG_INT and NSG_DMZ respectively.

Creare un gruppo di sicurezza di rete

Al termine della creazione del gruppo di sicurezza di rete, esisteranno 0 regole in ingresso e 0 in uscita.After the NSG is created, there will be 0 inbound and 0 outbound rules. Dopo che i ruoli nei rispettivi server sono installati e funzionanti, è possibile definire le regole in ingresso e in uscita in base al livello di sicurezza desiderato.Once the roles on the respective servers are installed and functional, then the inbound and outbound rules can be made according to the desired level of security.

Inizializzare il gruppo di sicurezza di rete

azione dei gruppi di sicurezza di rete, associare NSG_INT alla subnet INT e NSG_DMZ alla subnet della rete perimetrale.After the NSGs are created, associate NSG_INT with subnet INT and NSG_DMZ with subnet DMZ. Di seguito è riportato uno screenshot di esempio:An example screenshot is given below:

Configurazione dei gruppi di sicurezza di rete

  • Fare clic su Subnet per aprire il pannello delle subnetClick on Subnets to open the panel for subnets
  • Selezionare la subnet da associare al gruppo di sicurezza di reteSelect the subnet to associate with the NSG

Al termine della configurazione, il pannello Subnet avrà l'aspetto seguente:After configuration, the panel for Subnets should look like below:

Subnet dopo la configurazione dei gruppi di sicurezza di rete

1.3. Creare una connessione all'ambiente locale1.3. Create Connection to on-premises

Per distribuire il controller di dominio in Azure sarà necessaria una connessione all'ambiente locale.We will need a connection to on-premises in order to deploy the domain controller (DC) in azure. Azure offre varie opzioni di connettività per connettere l'infrastruttura locale all'infrastruttura di Azure.Azure offers various connectivity options to connect your on-premises infrastructure to your Azure infrastructure.

  • Da punto a sitoPoint-to-site
  • Da sito a sito di rete virtualeVirtual Network Site-to-site
  • ExpressRouteExpressRoute

È consigliabile usare ExpressRoute.It is recommended to use ExpressRoute. ExpressRoute consente di creare connessioni private tra i data center di Azure e l'infrastruttura disponibile localmente o in un ambiente con percorso condiviso.ExpressRoute lets you create private connections between Azure datacenters and infrastructure that’s on your premises or in a co-location environment. Le connessioni ExpressRoute non sfruttano la rete Internet pubblica.ExpressRoute connections do not go over the public Internet. Queste connessioni offrono maggiore affidabilità, velocità più elevate, latenze minori e sicurezza superiore rispetto alle tipiche connessioni tramite Internet.They offer more reliability, faster speeds, lower latencies and higher security than typical connections over the Internet. Nonostante sia consigliabile usare ExpressRoute, si può scegliere qualsiasi metodo di connessione sia più adatto per l'organizzazione.While it is recommended to use ExpressRoute, you may choose any connection method best suited for your organization. Per altre informazioni su ExpressRoute e sulle varie opzioni di connettività con ExpressRoute, vedere Panoramica tecnica relativa a ExpressRoute.To learn more about ExpressRoute and the various connectivity options using ExpressRoute, read ExpressRoute technical overview.

2. Creare gli account di archiviazione2. Create storage accounts

Per mantenere una disponibilità elevata e non dipendere da un singolo account di archiviazione, è possibile creare due account di archiviazione.In order to maintain high availability and avoid dependence on a single storage account, you can create two storage accounts. Dividere i computer di ogni set di disponibilità in due gruppi e assegnare quindi a ogni gruppo un account di archiviazione separato.Divide the machines in each availability set into two groups and then assign each group a separate storage account.

Creare gli account di archiviazione

3. Creare set di disponibilità3. Create availability sets

Per ogni ruolo (controller di dominio/AD FS e WAP), creare set di disponibilità contenenti almeno 2 computer ognuno.For each role (DC/AD FS and WAP), create availability sets that will contain 2 machines each at the minimum. Sarà così possibile ottenere una disponibilità più elevata per ogni ruolo.This will help achieve higher availability for each role. Durante la creazione dei set di disponibilità, è essenziale stabilire quanto segue.While creating the availability sets, it is essential to decide on the following:

  • Domini di errore: le macchine virtuali nello stesso dominio di errore condividono la stessa alimentazione e lo stesso commutatore di rete fisico.Fault Domains: Virtual machines in the same fault domain share the same power source and physical network switch. È consigliabile usare almeno 2 domini di errore.A minimum of 2 fault domains are recommended. Ai fini di questa distribuzione può essere mantenuto il valore predefinito di 3.The default value is 3 and you can leave it as is for the purpose of this deployment
  • Domini di aggiornamento: i computer appartenenti allo stesso dominio di aggiornamento vengono riavviati insieme nel corso di un aggiornamento.Update domains: Machines belonging to the same update domain are restarted together during an update. È opportuno avere almeno 2 domini di aggiornamento.You want to have minimum of 2 update domains. Ai fini di questa distribuzione può essere mantenuto il valore predefinito di 5.The default value is 5 and you can leave it as is for the purpose of this deployment

Set di disponibilità

Creare i set di disponibilità seguentiCreate the following availability sets

Set di disponibilitàAvailability Set RuoloRole Domini di erroreFault domains Domini di aggiornamentoUpdate domains
contosodcsetcontosodcset Controller di dominio/AD FSDC/ADFS 33 55
contosowapsetcontosowapset WAPWAP 33 55

4. Distribuire le macchine virtuali4. Deploy virtual machines

Il passaggio successivo consiste nel distribuire le macchine virtuali che ospiteranno i diversi ruoli nell'infrastruttura.The next step is to deploy virtual machines that will host the different roles in your infrastructure. In ogni set di disponibilità è consigliato un minimo di due computer.A minimum of two machines are recommended in each availability set. Creare quattro macchine virtuali per la distribuzione di base.Create four virtual machines for the basic deployment.

MachineMachine RuoloRole SubnetSubnet Set di disponibilitàAvailability set Account di archiviazioneStorage account Indirizzo IPIP Address
contosodc1contosodc1 Controller di dominio/AD FSDC/ADFS INTINT contosodcsetcontosodcset contososac1contososac1 StaticStatic
contosodc2contosodc2 Controller di dominio/AD FSDC/ADFS INTINT contosodcsetcontosodcset contososac2contososac2 StaticStatic
contosowap1contosowap1 WAPWAP Rete perimetraleDMZ contosowapsetcontosowapset contososac1contososac1 StaticStatic
contosowap2contosowap2 WAPWAP Rete perimetraleDMZ contosowapsetcontosowapset contososac2contososac2 StaticStatic

Come è possibile osservare, non sono stati specificati gruppi di sicurezza di rete.As you might have noticed, no NSG has been specified. Ciò è dovuto al fatto che Azure consente di usare un gruppo di sicurezza di rete a livello di subnet.This is because azure lets you use NSG at the subnet level. È quindi possibile controllare il traffico di rete dei computer con il singolo gruppo di sicurezza di rete associato alla subnet o alla scheda di interfaccia di rete.Then, you can control machine network traffic by using the individual NSG associated with either the subnet or else the NIC object. Per altre informazioni, vedere Che cos'è un gruppo di sicurezza di rete.Read more on What is a Network Security Group (NSG). Se si gestisce il DNS, è consigliabile usare un indirizzo IP statico.Static IP address is recommended if you are managing the DNS. È possibile usare il DNS di Azure e nei record DNS per il dominio fare invece riferimento ai nuovi computer con i relativi FQDN di Azure.You can use Azure DNS and instead in the DNS records for your domain, refer to the new machines by their Azure FQDNs. Al termine della distribuzione, il riquadro relativo alle macchine virtuali avrà l'aspetto seguente:Your virtual machine pane should look like below after the deployment is completed:

Macchine virtuali distribuite

5. Configurare controller di dominio e server AD FS5. Configuring the domain controller / AD FS servers

Per autenticare qualsiasi richiesta in ingresso, AD FS dovrà contattare il controller di dominio.In order to authenticate any incoming request, AD FS will need to contact the domain controller. Per evitare il costoso trasferimento da Azure al controller di dominio locale per l'autenticazione, è consigliabile distribuire una replica del controller di dominio in Azure.To save the costly trip from Azure to on-premises DC for authentication, it is recommended to deploy a replica of the domain controller in Azure. Per ottenere una disponibilità elevata, è consigliabile creare un set di disponibilità con almeno 2 controller di dominio.In order to attain high availability, it is recommended to create an availability set of at-least 2 domain controllers.

Controller di dominioDomain controller RuoloRole Account di archiviazioneStorage account
contosodc1contosodc1 ReplicaReplica contososac1contososac1
contosodc2contosodc2 ReplicaReplica contososac2contososac2
  • Innalzare i due server al livello di controller di dominio di replica con DNSPromote the two servers as replica domain controllers with DNS
  • Configurare i server AD FS installando il ruolo AD FS con Server ManagerConfigure the AD FS servers by installing the AD FS role using the server manager.

6. Distribuire il servizio di bilanciamento del carico interno6. Deploying Internal Load Balancer (ILB)

6.1. Creare il servizio di bilanciamento del carico interno6.1. Create the ILB

Per distribuire un servizio di bilanciamento del carico interno, selezionare Servizi di bilanciamento del carico nel portale di Azure e fare clic su Aggiungi (+).To deploy an ILB, select Load Balancers in the Azure portal and click on add (+).

Nota

Se nel menu non viene visualizzato Servizi di bilanciamento del carico fare clic su Esplora in basso a sinistra nel portale e scorrere fino a visualizzare l'opzione.if you do not see Load Balancers in your menu, click Browse in the lower left of the portal and scroll until you see Load Balancers. Fare quindi clic sulla stella gialla per aggiungere la voce al menu.Then click the yellow star to add it to your menu. Selezionare l'icona di nuovo servizio di bilanciamento del carico per aprire il pannello e iniziare la relativa configurazione.Now select the new load balancer icon to open the panel to begin configuration of the load balancer.

Visualizzazione di Servizi di bilanciamento del carico

  • Nome: assegnare qualsiasi nome idoneo al servizio di bilanciamento del caricoName: Give any suitable name to the load balancer
  • Schema: poiché il servizio di bilanciamento del carico verrà inserito a monte dei server AD FS e verrà usato SOLO per le connessioni della rete interna, selezionare "Interno"Scheme: Since this load balancer will be placed in front of the AD FS servers and is meant for internal network connections ONLY, select “Internal”
  • Rete virtuale: scegliere la rete virtuale in cui viene distribuito AD FSVirtual Network: Choose the virtual network where you are deploying your AD FS
  • Subnet: scegliere la subnet internaSubnet: Choose the internal subnet here
  • Assegnazione di indirizzi IP: staticiIP Address assignment: Static

Servizio di bilanciamento del carico interno

Dopo che si è fatto clic su Crea, il servizio di bilanciamento del carico interno viene distribuito e dovrebbe essere visualizzato nell'elenco dei servizi di bilanciamento del carico:After you click create and the ILB is deployed, you should see it in the list of load balancers:

Servizi di bilanciamento del carico dopo la distribuzione del servizio di bilanciamento del carico interno

Il passaggio successivo consiste nel configurare il pool back-end e il probe del back-end.Next step is to configure the backend pool and the backend probe.

6.2. Configurare il pool back-end del servizio di bilanciamento del carico interno6.2. Configure ILB backend pool

Selezionare il servizio di bilanciamento del carico interno appena creato nel pannello Servizi di bilanciamento del carico.Select the newly created ILB in the Load Balancers panel. Verrà aperto il pannello delle impostazioni.It will open the settings panel.

  1. Selezionare i pool back-end nel pannello delle impostazioniSelect backend pools from the settings panel
  2. Nel pannello Aggiungi pool back-end fare clic su Aggiungi una macchina virtualeIn the add backend pool panel, click on add virtual machine
  3. Verrà visualizzato un pannello in cui è possibile scegliere un set di disponibilitàYou will be presented with a panel where you can choose availability set
  4. Scegliere il set di disponibilità AD FSChoose the AD FS availability set

Configurare il pool back-end del servizio di bilanciamento del carico interno

6.3. Configurare il probe6.3. Configuring probe

Nel pannello Impostazioni del servizio di bilanciamento del carico interno selezionare Probe.In the ILB settings panel, select Probes.

  1. Fare clic su AggiungiClick on add
  2. Specificare i dettagli del probe a.Provide details for probe a. Nome: nome del probe b.Name: Probe name b. Protocollo: TCP c.Protocol: TCP c. Porta: 443 (HTTPS) d.Port: 443 (HTTPS) d. Intervallo: 5 (valore predefinito). È l'intervallo con cui il servizio di bilanciamento del carico interno eseguirà il probe dei computer del pool back-end e.Interval: 5 (default value) – this is the interval at which ILB will probe the machines in the backend pool e. Soglia di non integrità: 2 (valore predefinito). È la soglia di errori di probe consecutivi in seguito ai quali il servizio di bilanciamento del carico interno dichiarerà che un computer del pool back-end non risponde e interromperà l'invio di traffico a tale computer.Unhealthy threshold limit: 2 (default val ue) – this is the threshold of consecutive probe failures after which ILB will declare a machine in the backend pool non-responsive and stop sending traffic to it.

Configurare il probe del servizio di bilanciamento del carico interno

6.4. Creare le regole di bilanciamento del carico6.4. Create load balancing rules

Per bilanciare efficacemente il traffico, il servizio di bilanciamento del carico interno dovrà essere configurato con regole di bilanciamento del carico.In order to effectively balance the traffic, the ILB should be configured with load balancing rules. Per creare una regola di bilanciamento del carico:In order to create a load balancing rule,

  1. Selezionare Regole di bilanciamento del carico nel pannello Impostazioni del servizio di bilanciamento del carico internoSelect Load balancing rule from the settings panel of the ILB
  2. Fare clic su Aggiungi nel pannello Regole di bilanciamento del caricoClick on Add in the Load balancing rule panel
  3. Nel pannello Aggiungi regola di bilanciamento del carico a.In the Add load balancing rule panel a. Nome: specificare un nome per la regola b.Name: Provide a name for the rule b. Protocollo: selezionare TCP c.Protocol: Select TCP c. Porta: 443 d.Port: 443 d. Porta back-end: 443 e.Backend port: 443 e. Pool back-end: selezionare il pool creato in precedenza per il cluster AD FS f.Backend pool: Select the pool you created for the AD FS cluster earlier f. Probe: selezionare il probe creato in precedenza per i server AD FSProbe: Select the probe created for AD FS servers earlier

Configurare le regole di bilanciamento del servizio di bilanciamento del carico interno

6.5. Aggiornare il DNS con il servizio di bilanciamento del carico interno6.5. Update DNS with ILB

Passare al server DNS e creare un CNAME per il servizio di bilanciamento del carico interno.Go to your DNS server and create a CNAME for the ILB. Il CNAME dovrà essere creato per il servizio federativo con indirizzo IP che punta all'indirizzo IP del servizio di bilanciamento del carico interno.The CNAME should be for the federation service with the IP address pointing to the IP address of the ILB. Se l'indirizzo DIP del servizio di bilanciamento del carico interno è 10.3.0.8 e il servizio federativo installato è fs.contoso.com, ad esempio, creare un CNAME per fs.contoso.com che punta a 10.3.0.8.For example if the ILB DIP address is 10.3.0.8, and the federation service installed is fs.contoso.com, then create a CNAME for fs.contoso.com pointing to 10.3.0.8. In questo modo, tutta la comunicazione relativa a fs.contoso.com raggiungerà il servizio di bilanciamento del carico interno e verrà indirizzata correttamente.This will ensure that all communication regarding fs.contoso.com end up at the ILB and are appropriately routed.

7. Configurare il server proxy applicazione Web7. Configuring the Web Application Proxy server

7.1. Configurare i server proxy applicazione Web per raggiungere i server AD FS7.1. Configuring the Web Application Proxy servers to reach AD FS servers

Affinché i server proxy applicazione Web possano raggiungere i server AD FS controllati dal servizio di bilanciamento del carico interno, creare un record per il servizio di bilanciamento del carico interno in %systemroot%\system32\drivers\etc\hosts.In order to ensure that Web Application Proxy servers are able to reach the AD FS servers behind the ILB, create a record in the %systemroot%\system32\drivers\etc\hosts for the ILB. Si noti che il nome distinto dovrà essere il nome del servizio federativo, ad esempio fs.contoso.com, e la voce dell'indirizzo IP dovrà essere quella dell'indirizzo IP del servizio di bilanciamento del carico interno (10.3.0.8 nell'esempio).Note that the distinguished name (DN) should be the federation service name, for example fs.contoso.com. And the IP entry should be that of the ILB’s IP address (10.3.0.8 as in the example).

7.2. Installare il ruolo Proxy applicazione Web7.2. Installing the Web Application Proxy role

Dopo aver verificato che i server proxy applicazione Web possano raggiungere i server AD FS controllati dal servizio di bilanciamento del carico interno, è possibile installare i server proxy applicazione Web.After you ensure that Web Application Proxy servers are able to reach the AD FS servers behind ILB, you can next install the Web Application Proxy servers. I server proxy applicazione Web non vengono aggiunti al dominio.Web Application Proxy servers do not be joined to the domain. Installare i ruoli Proxy applicazione Web nei due server proxy applicazione Web selezionando il ruolo Accesso remoto.Install the Web Application Proxy roles on the two Web Application Proxy servers by selecting the Remote Access role. Server Manager consentirà di completare l'installazione di WAP.The server manager will guide you to complete the WAP installation. Per altre informazioni sulla distribuzione di WAP, vedere Installare e configurare il server del proxy dell'applicazione Web.For more information on how to deploy WAP, read Install and Configure the Web Application Proxy Server.

8. Distribuire il servizio di bilanciamento del carico con connessione Internet (pubblico)8. Deploying the Internet Facing (Public) Load Balancer

8.1. Creare il servizio di bilanciamento del carico con connessione Internet (pubblico)8.1. Create Internet Facing (Public) Load Balancer

Nel portale di Azure selezionare Servizi di bilanciamento del carico e quindi fare clic su Aggiungi.In the Azure portal, select Load balancers and then click on Add. Nel pannello Crea servizio di bilanciamento del carico immettere le informazioni seguenti.In the Create load balancer panel, enter the following information

  1. Nome: nome del servizio di bilanciamento del caricoName: Name for the load balancer
  2. Schema: Pubblico. Questa opzione indica ad Azure che il servizio di bilanciamento del carico dovrà avere un indirizzo pubblico.Scheme: Public – this option tells Azure that this load balancer will need a public address.
  3. Indirizzo IP: creare un nuovo indirizzo IP (dinamico)IP Address: Create a new IP address (dynamic)

Servizio di bilanciamento del carico con connessione Internet

Al termine della distribuzione, il servizio di bilanciamento del carico verrà visualizzato nell'elenco Servizi di bilanciamento del carico.After deployment, the load balancer will appear in the Load balancers list.

Elenco dei servizi di bilanciamento del carico

8.2. Assegnare un'etichetta DNS all'IP pubblico8.2. Assign a DNS label to the public IP

Fare clic sulla voce del servizio di bilanciamento del carico appena creato nel pannello Servizi di bilanciamento del carico per visualizzare il pannello per la configurazione.Click on the newly created load balancer entry in the Load balancers panel to bring up the panel for configuration. Per configurare l'etichetta DNS per l'IP pubblico, seguire questa procedura:Follow below steps to configure the DNS label for the public IP:

  1. Fare clic sull'indirizzo IP pubblico.Click on the public IP address. Verrà aperto il pannello per l'IP pubblico e le relative impostazioniThis will open the panel for the public IP and its settings
  2. Fare clic su ConfigurazioneClick on Configuration
  3. Specificare un'etichetta DNS,Provide a DNS label. che diventerà l'etichetta DNS pubblica accessibile da qualsiasi posizione, ad esempio contosofs.westus.cloudapp.azure.com. È possibile aggiungere una voce nel DNS esterno per il servizio federativo (come fs.contoso.com) che verrà risolta nell'etichetta DNS del servizio di bilanciamento del carico esterno (contosofs.westus.cloudapp.azure.com).This will become the public DNS label that you can access from anywhere, for example contosofs.westus.cloudapp.azure.com. You can add an entry in the external DNS for the federation service (like fs.contoso.com) that resolves to the DNS label of the external load balancer (contosofs.westus.cloudapp.azure.com).

Configurare il servizio di bilanciamento del carico con connessione Internet

Configurare il servizio di bilanciamento del carico con connessione Internet (DNS)

8.3. Configurare il pool back-end per il servizio di bilanciamento del carico con connessione Internet (pubblico)8.3. Configure backend pool for Internet Facing (Public) Load Balancer

Seguire la stessa procedura indicata per la creazione del servizio di bilanciamento del carico interno per configurare il pool back-end per il servizio di bilanciamento del carico con connessione Internet (pubblico) come set di disponibilità per i server WAP,Follow the same steps as in creating the internal load balancer, to configure the backend pool for Internet Facing (Public) Load Balancer as the availability set for the WAP servers. ad esempio contosowapset.For example, contosowapset.

Configurare il pool back-end del servizio di bilanciamento del carico con connessione Internet

8.4. Configurare il probe8.4. Configure probe

Seguire la stessa procedura impiegata durante la configurazione del servizio di bilanciamento del carico interno per configurare il probe per il pool back-end dei server WAP.Follow the same steps as in configuring the internal load balancer to configure the probe for the backend pool of WAP servers.

Configurare il probe del servizio di bilanciamento del carico con connessione Internet

8.5. Creare regole di bilanciamento del carico8.5. Create load balancing rule(s)

Seguire la stessa procedura indicata per il servizio di bilanciamento del carico interno per configurare la regola di bilanciamento del carico per la porta TCP 443.Follow the same steps as in ILB to configure the load balancing rule for TCP 443.

Configurare le regole di bilanciamento del servizio di bilanciamento del carico con connessione Internet

9. Proteggere la rete9. Securing the network

9.1. Proteggere la subnet interna9.1. Securing the internal subnet

In generale, per proteggere efficacemente la subnet interna sono necessarie le regole seguenti, nell'ordine indicato di seguito.Overall, you need the following rules to efficiently secure your internal subnet (in the order as listed below)

RegolaRule DescrizioneDescription FlussoFlow
AllowHTTPSFromDMZAllowHTTPSFromDMZ Consente la comunicazione HTTPS dalla rete perimetraleAllow the HTTPS communication from DMZ In ingressoInbound
DenyInternetOutboundDenyInternetOutbound Nessun accesso a InternetNo access to internet In uscitaOutbound

Regole di accesso interno (in ingresso)

[commento]: <> (regole di accesso interno (in ingresso)) [commento]: <> (regole di accesso interno (in uscita))[comment]: <> (INT access rules (inbound)) [comment]: <> (INT access rules (outbound))

9.2. Proteggere la subnet perimetrale9.2. Securing the DMZ subnet

RegolaRule DescrizioneDescription FlussoFlow
AllowHTTPSFromInternetAllowHTTPSFromInternet Consente il traffico HTTPS da Internet alla rete perimetraleAllow HTTPS from internet to the DMZ In ingressoInbound
DenyInternetOutboundDenyInternetOutbound Tutto il traffico non HTTPS verso Internet viene bloccatoAnything except HTTPS to internet is blocked In uscitaOutbound

Regole di accesso esterno (in ingresso)

[commento]: <> (regole di accesso esterno (in ingresso)) [commento]: <> (regole di accesso esterno (in uscita))[comment]: <> (EXT access rules (inbound)) [comment]: <> (EXT access rules (outbound))

Nota

Se è necessaria l'autenticazione del certificato utente client (autenticazione clientTLS con i certificati utente X509), AD FS richiede l'abilitazione della porta TCP 49443 per l'accesso in ingresso.If client user certificate authentication (clientTLS authentication using X509 user certificates) is required, then AD FS requires TCP port 49443 be enabled for inbound access.

10. Testare l'accesso ad AD FS10. Test the AD FS sign-in

Il modo più semplice per testare AD FS consiste nell'usare la pagina IdpInitiatedSignon.aspx.The easiest way is to test AD FS is by using the IdpInitiatedSignon.aspx page. A tale scopo, è necessario abilitare IdpInitiatedSignOn nelle proprietà di AD FS.In order to be able to do that, it is required to enable the IdpInitiatedSignOn on the AD FS properties. Per verificare l'installazione di AD FS, seguire questa procedura.Follow the steps below to verify your AD FS setup

  1. Eseguire con PowerShell il cmdlet di seguito nel server AD FS per impostare l'abilitazione:Run the below cmdlet on the AD FS server, using PowerShell, to set it to enabled. Set-AdfsProperties -EnableIdPInitiatedSignonPage $trueSet-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. Da qualsiasi computer esterno accedere a https://adfs.thecloudadvocate.com/adfs/ls/IdpInitiatedSignon.aspxFrom any external machine access https://adfs.thecloudadvocate.com/adfs/ls/IdpInitiatedSignon.aspx
  3. La pagina di AD FS dovrebbe essere visualizzata come segue:You should see the AD FS page like below:

Pagina di accesso di test

Dopo l'accesso, verrà visualizzato un messaggio di completamento dell'operazione come illustrato di seguito:On successful sign-in, it will provide you with a success message as shown below:

Completamento test

Modello per la distribuzione di AD FS in AzureTemplate for deploying AD FS in Azure

Il modello consente di distribuire una configurazione a 6 computer, 2 per ogni controller di dominio, AD FS e WAP.The template deploys a 6 machine setup, 2 each for Domain Controllers, AD FS and WAP.

Modello di distribuzione di AD FS in AzureAD FS in Azure Deployment Template

Durante la distribuzione di questo modello, è possibile usare una rete virtuale esistente o crearne una nuova.You can use an existing virtual network or create a new VNET while deploying this template. I diversi parametri disponibili per personalizzare la distribuzione sono elencati di seguito insieme alla descrizione dell'uso del parametro nel processo di distribuzione.The various parameters available for customizing the deployment are listed below with the description of usage of the parameter in the deployment process.

ParametroParameter DescriptionDescription
PercorsoLocation L'area in cui distribuire le risorse, ad esempio Stati Uniti orientali.The region to deploy the resources into, e.g. East US.
StorageAccountTypeStorageAccountType Il tipo di account di archiviazione creatoThe type of the Storage Account created
VirtualNetworkUsageVirtualNetworkUsage Indica se verrà creata una nuova rete virtuale o ne verrà usata una esistenteIndicates if a new virtual network will be created or use an existing one
VirtualNetworkNameVirtualNetworkName Il nome della rete virtuale da creare, obbligatorio sia in caso di uso di una rete esistente che con una rete nuovaThe name of the Virtual Network to Create, mandatory on both existing or new virtual network usage
VirtualNetworkResourceGroupNameVirtualNetworkResourceGroupName Specifica il nome del gruppo di risorse in cui risiede la rete virtuale esistente.Specifies the name of the resource group where the existing virtual network resides. Quando si usa una rete virtuale esistente, questo diventa un parametro obbligatorio per consentire alla distribuzione di trovare l'ID della rete virtuale esistenteWhen using an existing virtual network, this becomes a mandatory parameter so the deployment can find the ID of the existing virtual network
VirtualNetworkAddressRangeVirtualNetworkAddressRange L'intervallo di indirizzi della nuova rete virtuale, obbligatorio in caso di creazione di una nuova rete virtualeThe address range of the new VNET, mandatory if creating a new virtual network
InternalSubnetNameInternalSubnetName Il nome della subnet interna, obbligatorio sia in caso di uso di una rete virtuale esistente che con una rete virtuale nuovaThe name of the internal subnet, mandatory on both virtual network usage options (new or existing)
InternalSubnetAddressRangeInternalSubnetAddressRange L'intervallo di indirizzi della subnet interna, che contiene controller di dominio e server AD FS, obbligatorio in caso di creazione di una nuova rete virtuale.The address range of the internal subnet, which contains the Domain Controllers and ADFS servers, mandatory if creating a new virtual network.
DMZSubnetAddressRangeDMZSubnetAddressRange L'intervallo di indirizzi della subnet della rete perimetrale, che contiene server proxy dell'applicazione Windows, obbligatorio in caso di creazione di una nuova rete virtuale.The address range of the dmz subnet, which contains the Windows application proxy servers, mandatory if creating a new virtual network.
DMZSubnetNameDMZSubnetName Il nome della subnet interna, obbligatorio sia in caso di uso di una rete virtuale esistente che con una rete virtuale nuova.The name of the internal subnet, mandatory on both virtual network usage options (new or existing).
ADDC01NICIPAddressADDC01NICIPAddress L'indirizzo IP interno del primo controller di dominio; verrà assegnato in modo statico al controller di dominio e deve essere un indirizzo IP valido nella subnet internaThe internal IP address of the first Domain Controller, this IP address will be statically assigned to the DC and must be a valid ip address within the Internal subnet
ADDC02NICIPAddressADDC02NICIPAddress L'indirizzo IP interno del secondo controller di dominio; verrà assegnato in modo statico al controller di dominio e deve essere un indirizzo IP valido nella subnet internaThe internal IP address of the second Domain Controller, this IP address will be statically assigned to the DC and must be a valid ip address within the Internal subnet
ADFS01NICIPAddressADFS01NICIPAddress L'indirizzo IP interno del primo server AD FS; verrà assegnato in modo statico al server AD FS e deve essere un indirizzo IP valido nella subnet internaThe internal IP address of the first ADFS server, this IP address will be statically assigned to the ADFS server and must be a valid ip address within the Internal subnet
ADFS02NICIPAddressADFS02NICIPAddress L'indirizzo IP interno del secondo server AD FS; verrà assegnato in modo statico al server AD FS e deve essere un indirizzo IP valido nella subnet internaThe internal IP address of the second ADFS server, this IP address will be statically assigned to the ADFS server and must be a valid ip address within the Internal subnet
WAP01NICIPAddressWAP01NICIPAddress L'indirizzo IP interno del primo server WAP; verrà assegnato in modo statico al server WAP e deve essere un indirizzo IP valido nella subnet della rete perimetraleThe internal IP address of the first WAP server, this IP address will be statically assigned to the WAP server and must be a valid ip address within the DMZ subnet
WAP02NICIPAddressWAP02NICIPAddress L'indirizzo IP interno del secondo server WAP; verrà assegnato in modo statico al server WAP e deve essere un indirizzo IP valido nella subnet della rete perimetraleThe internal IP address of the second WAP server, this IP address will be statically assigned to the WAP server and must be a valid ip address within the DMZ subnet
ADFSLoadBalancerPrivateIPAddressADFSLoadBalancerPrivateIPAddress L'indirizzo IP interno del servizio di bilanciamento del carico AD FS; verrà assegnato in modo statico al servizio di bilanciamento del carico e deve essere un indirizzo IP valido nella subnet internaThe internal IP address of the ADFS load balancer, this IP address will be statically assigned to the load balancer and must be a valid ip address within the Internal subnet
ADDCVMNamePrefixADDCVMNamePrefix Il prefisso del nome della macchina virtuale per i controller di dominioVirtual Machine name prefix for Domain Controllers
ADFSVMNamePrefixADFSVMNamePrefix Il prefisso del nome della macchina virtuale per i server AD FSVirtual Machine name prefix for ADFS servers
WAPVMNamePrefixWAPVMNamePrefix Il prefisso del nome della macchina virtuale per i server WAPVirtual Machine name prefix for WAP servers
ADDCVMSizeADDCVMSize Le dimensioni della VM dei controller di dominioThe vm size of the Domain Controllers
ADFSVMSizeADFSVMSize Le dimensioni della VM dei server AD FSThe vm size of the ADFS servers
WAPVMSizeWAPVMSize Le dimensioni della VM dei server WAPThe vm size of the WAP servers
AdminUserNameAdminUserName Il nome dell'amministratore locale delle macchine virtualiThe name of the local Administrator of the virtual machines
AdminPasswordAdminPassword La password dell'account dell'amministratore locale delle macchine virtualiThe password for the local Administrator account of the virtual machines

Risorse aggiuntiveAdditional resources

Passaggi successiviNext steps