Gestire e personalizzare Active Directory Federation Services con Azure AD Connect

In questo articolo viene descritto come gestire e personalizzare Active Directory Federation Services (ADFS) tramite Azure Active Directory (Azure AD) Connect. Si includono inoltre altre attività comuni di AD FS che potrebbero essere necessarie per eseguire una configurazione completa di una farm di AD FS.

Argomento Contenuto
Gestire AD FS
Ripristinare il trust Come ripristinare il trust federativo con Office 365.
Attuare la federazione con Azure AD mediante l'ID di accesso alternativo Configurazione della federazione usando l'ID di accesso alternativo
Aggiungere un server AD FS Come espandere una farm AD FS con un server AD FS aggiuntivo.
Aggiungere un server proxy applicazione Web AD FS Come espandere la farm AD FS con un server Proxy applicazione Web (WAP) aggiuntivo.
Aggiunta di un dominio federato Come aggiungere un dominio federato.
Aggiornare il certificato SSL Come aggiornare il certificato SSL per una farm AD FS.
Personalizzare AD FS
Aggiungere un'illustrazione o il logo personalizzato della società Come personalizzare la pagina di accesso ad AD FS con un'illustrazione e il logo della società.
Aggiungere una descrizione di accesso Come aggiungere una descrizione della pagina di accesso.
Modificare le regole attestazioni per AD FS Come modificare le attestazioni di AD FS per vari scenari di federazione.

Gestire AD FS

È possibile eseguire diverse operazioni relative ad Azure AD Connect con la procedura guidata di Azure AD Connect con un intervento minimo dell'utente. Al termine dell'installazione guidata di Azure AD Connect, è possibile eseguire nuovamente la procedura guidata per eseguire attività aggiuntive.

Ripristinare il trust

È possibile usare Azure AD Connect per controllare lo stato corrente dell'integrità di trust di AD FS e Azure AD e intraprendere le azioni necessarie per ripristinare il trust. Per ripristinare la relazione di trust tra Azure AD e AD FS, seguire questa procedura.

  1. Selezionare Ripristino del trust di AAD e AD FS nell'elenco delle attività aggiuntive. Ripristino del trust di AAD e AD FS

  2. Nella pagina Connessione ad Azure AD specificare le credenziali di amministratore globale per Azure AD e fare clic su Avanti. Connessione ad Azure AD

  3. Nella pagina Credenziali di accesso remoto specificare le credenziali dell'amministratore di dominio.

    Credenziali di accesso remoto

    Dopo aver fatto clic su Avanti, Azure AD Connect verifica l'integrità del certificato e visualizza gli eventuali problemi.

    Stato dei certificati

    La pagina Pronto per la configurazione mostra l'elenco delle azioni che verranno eseguite per ripristinare il trust.

    Pronto per la configurazione

  4. Fare clic su Installa per ripristinare il trust.

Nota

Azure AD Connect può solo ripristinare o eseguire azioni sui certificati autofirmati. I certificati di terze parti non possono essere ripristinati da Azure AD Connect.

Attuare la federazione con Azure AD mediante AlternateID

Il nome dell’entità utente locale e il nome dell'entità utente cloud devono essere preferibilmente uguali. Se il nome dell’entità utente locale usa un dominio non instradabile (ad esempio Contoso.local) o non può essere modificato a causa di dipendenze dell'applicazione locale, è consigliabile configurare l'ID di accesso alternativo. L’ID di accesso alternativo consente di configurare un'esperienza in cui gli utenti possono accedere con un attributo diverso dal relativo nome dell’entità locale, ad esempio mail. La scelta del nome dell’entità utente in Azure AD Connect ricade per impostazione predefinita sull’attributo userPrincipalName in Active Directory. Se si sceglie qualsiasi altro attributo per il nome dell'entità utente e si sta eseguendo la federazione con AD FS, Azure AD Connect configurerà AD FS per l’ID di accesso alternativo. Di seguito è riportato un esempio della scelta di un attributo diverso per il nome dell'entità utente:

Selezione dell’attributo ID alternativo

La configurazione dell’ID di accesso alternativo per AD FS consiste in due passaggi principali:

  1. Configurare il set corretto di attestazioni di rilascio: le regole di attestazione di rilascio nel trust della relying party di Azure AD vengono modificate per usare l’attributo UserPrincipalName selezionato come ID alternativo dell'utente.
  2. Abilitare l'ID di accesso alternativo nella configurazione di AD FS: la configurazione di AD FS viene aggiornata in modo che AD FS possa cercare gli utenti delle foreste appropriate con un ID alternativo. Questa configurazione è supportata per AD FS in Windows Server 2012 R2 (con KB2919355) o versioni successive. Se i server AD FS sono 2012 R2, Azure AD Connect controlla la presenza della KB richiesta. Se la Knowledge Base non viene rilevata, un avviso verrà visualizzato al termine della configurazione, come illustrato di seguito:

    Avviso per KB mancante su 2012 R2

    Per risolvere la configurazione in caso di KB mancante, installare la KB2919355 richiesta e quindi ripristinare il trust usando Ripristino del trust AAD e AD FS.

Nota

Per altre informazioni su alternateID e i passaggi per eseguire la configurazione manuale, leggere Configurazione di ID di accesso alternativo.

Aggiungere un server AD FS

Nota

Per aggiungere un server AD FS, Azure AD Connect richiede il file PFX del certificato. È quindi possibile eseguire questa operazione solo se la farm AD FS è stata configurata con Azure AD Connect.

  1. Selezionare Distribuzione di un server federativo aggiuntivo e fare clic su Avanti.

    Server federativo aggiuntivo

  2. Nella pagina Connessione ad Azure AD specificare le credenziali di amministratore globale per Azure AD e fare clic su Avanti.

    Connettersi ad Azure AD

  3. Specificare le credenziali di amministratore di dominio.

    Credenziali dell'amministratore di dominio

  4. Azure AD Connect chiederà la password del file PFX specificato durante la configurazione della nuova farm AD FS con Azure AD Connect. Fare clic su Immettere la password per specificare la password del file PFX.

    Password certificato

    Specificare il certificato SSL

  5. Nella pagina Server ADFS immettere il nome del server o l'indirizzo IP da aggiungere alla farm ADFS.

    Server AD FS

  6. Fare clic su Avanti e procedere fino alla pagina Configura finale. Quando Azure AD Connect avrà completato l'aggiunta dei server alla farm AD FS, si potrà verificare la connettività.

    Pronto per la configurazione

    Installazione completata

Aggiungere un server WAP AD FS

Nota

Per aggiungere un server WAP, Azure AD Connect richiede il file PFX del certificato. È quindi possibile eseguire questa operazione solo se la farm AD FS è stata configurata con Azure AD Connect.

  1. Selezionare Distribuisci il proxy applicazione Web (nessuno attualmente configurato) nell'elenco delle attività disponibili.

    Distribuire il Proxy applicazione Web

  2. Specificare le credenziali di amministratore globale di Azure.

    Connettersi ad Azure AD

  3. Nella pagina Specificare il certificato SSL indicare la password per il file PFX specificato durante la configurazione della farm AD FS con Azure AD Connect. Password certificato

    Specificare il certificato SSL

  4. Aggiungere il server da usare come server WAP. Dato che il server WAP potrebbe anche non essere aggiunto al dominio, la procedura guidata richiede le credenziali amministrative da aggiungere per il server.

    Credenziali amministrative del server

  5. Nella pagina Credenziali attendibilità proxy specificare le credenziali amministrative per configurare l'attendibilità del proxy e accedere al server primario nella farm AD FS.

    Credenziali di attendibilità del proxy

  6. La pagina Pronto per la configurazione della procedura guidata mostra l'elenco delle azioni che verranno eseguite.

    Pronto per la configurazione

  7. Fare clic su Installa per completare la configurazione. Al termine della configurazione, la procedura guidata offre la possibilità di verificare la connettività ai server. Fare clic su Verifica per controllare la connettività.

    Installazione completata

Aggiunta di un dominio federato

Con Azure AD Connect è facile aggiungere un dominio per la federazione con Azure AD. Azure AD Connect aggiunge il dominio per la federazione e modifica le regole attestazioni per riflettere correttamente l'autorità di certificazione quando sono presenti più domini federati con Azure AD.

  1. Per aggiungere un dominio federato, selezionare l'attività Aggiunta di un altro dominio di Azure AD.

    Dominio di Azure AD aggiuntivo

  2. Nella pagina successiva della procedura guidata specificare le credenziali di amministratore globale per Azure AD.

    Connessione ad Azure AD

  3. Nella pagina Credenziali di accesso remoto specificare le credenziali di amministratore di dominio.

    Credenziali di accesso remoto

  4. Nella pagina successiva la procedura guidata mostra un elenco di domini di Azure AD con cui è possibile attuare la federazione della directory locale. Scegliere il dominio dall'elenco.

    Dominio di Azure AD

    Dopo aver scelto il dominio, la procedura guidata offre informazioni appropriate sulle altre azioni che verranno eseguite e sull'impatto della configurazione. In alcuni casi, se si seleziona un dominio non ancora verificato in Azure AD, la procedura guidata offre informazioni che consentono di verificare il dominio. Per altre informazioni, vedere Aggiungere un nome di dominio personalizzato ad Azure Active Directory .

  5. Fare clic su Avanti. Nella pagina Pronto per la configurazione viene visualizzato l'elenco delle azioni che verranno eseguite da Azure AD Connect. Fare clic su Installa per completare la configurazione.

    Pronto per la configurazione

Personalizzazione di AD FS

Le sezioni seguenti offrono informazioni dettagliate su alcune attività comuni che potrebbe essere necessario eseguire durante la configurazione della pagina di accesso ad AD FS.

Aggiungere un'illustrazione o il logo personalizzato della società

Per modificare il logo della società visualizzato nella pagina Accesso , usare la sintassi e il cmdlet di Windows PowerShell seguenti.

Nota

Le dimensioni consigliate per il logo sono 260 x 35 a 96 DPI, con dimensioni del file non maggiori di 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Nota

Il parametro TargetName è obbligatorio. Il tema predefinito incluso in AD FS è denominato Predefinito.

Aggiungere una descrizione di accesso

Per aggiungere una descrizione alla Pagina di accessostessa, usare la sintassi e il cmdlet di Windows PowerShell seguenti.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Click <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modificare le regole attestazioni per AD FS

AD FS supporta un linguaggio di attestazione avanzato che può essere usato per creare regole attestazioni personalizzate. Per altre informazioni, vedere Ruolo del linguaggio delle regole attestazioni.

Le sezioni seguenti descrivono come scrivere regole personalizzate per alcuni scenari relativi alla federazione di AD FS e Azure AD.

ID non modificabile in base alla presenza di un valore nell'attributo

Azure AD Connect consente di specificare un attributo da usare come ancoraggio di origine durante la sincronizzazione degli oggetti con Azure AD. Se il valore dell'attributo personalizzato non è vuoto, è consigliabile rilasciare un'attestazione con ID non modificabile.

Ad esempio, è possibile selezionare ms-ds-consistencyguid come attributo per l'ancoraggio di origine e rilasciare ImmutableID come ms-ds-consistencyguid nel caso in cui il valore dell'attributo non sia vuoto. Se non esiste un valore a fronte dell'attributo, rilasciare objectGuid come ID non modificabile. È possibile costruire il set di regole attestazioni personalizzate come descritto nella sezione seguente.

Regola 1: Attributi della query

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

In questa regola si esegue una query da Active Directory sui valori di ms-ds-consistencyguid e objectGuid per l'utente. Modificare il nome dell'archivio con un nome di archivio appropriato nella distribuzione di AD FS. Sostituire anche il tipo di attestazioni con il tipo appropriato per la federazione, come definito per objectGuid e ms-ds-consistencyguid.

Inoltre, se si usa add invece di issue, si evita di aggiungere un rilascio in uscita per l'entità ed è possibile usare i valori come valori intermedi. L'attestazione verrà rilasciata in una regola successiva, dopo aver stabilito il valore usare come ID non modificabile.

Regola 2: Verificare la presenza di ms-ds-consistencyguid per l'utente

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Questa regola definisce un flag temporaneo denominato idflag, che è impostato su useguid se non è presente un ms-ds-concistencyguid popolato per l'utente. Questo perché secondo la logica di AD FS non sono ammesse attestazioni vuote. Pertanto quando si aggiungono le attestazioni http://contoso.com/ws/2016/02/identity/claims/objectguid e http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid nella regola 1, si ottiene un'attestazione msdsconsistencyguid solo se il valore viene popolato per l'utente. Se non è popolato, AD FS rileva che avrà un valore vuoto e lo rimuove immediatamente. Tutti gli oggetti avranno objectGuid, quindi l'attestazione sarà sempre presente dopo l'esecuzione della regola 1.

Regola 3: Rilasciare ms-ds-consistencyguid come ID non modificabile se presente

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c.Value);

Si tratta di un controllo Exist implicito. Se il valore per l'attestazione esiste, viene emesso come ID non modificabile. Nell'esempio precedente si usa l'attestazione nameidentifier . Sarà necessario sostituirla con il tipo di attestazione appropriato per l'ID non modificabile nel proprio ambiente.

Regola 4: Rilasciare objectGuid come ID non modificabile se ms-ds-consistencyGuid non è presente

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c2.Value);

In questa regola si verifica semplicemente il flag temporaneo idflag. Decidere se rilasciare l'attestazione in base al relativo valore.

Nota

La sequenza delle regole è importante.

SSO con un UPN di sottodominio

È possibile aggiungere più domini per la federazione usando Azure AD Connect, come descritto in Aggiungere un nuovo dominio federato. È necessario modificare l'attestazione basata sul nome dell'entità utente (UPN), in modo che l'ID autorità emittente corrisponda al dominio radice e non al sottodominio, perché il dominio radice federato include anche il dominio figlio.

Per impostazione predefinita, la regola attestazioni per l'ID autorità di certificazione è impostata come:

c:[Type
== “http://schemas.xmlsoap.org/claims/UPN“]

=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid“, Value = regexreplace(c.Value, “.+@(?<domain>.+)“, “http://${domain}/adfs/services/trust/“));

Attestazione predefinita per l'ID autorità di certificazione

La regola predefinita usa semplicemente il suffisso UPN nell'attestazione per l'ID autorità di certificazione. Ad esempio, John è un utente in sub.contoso.com e contoso.com è federato con Azure AD. John immette john@sub.contoso.com come nome utente per accedere ad Azure AD. La regola di attestazione ID autorità emittente predefinita in AD FS gestisce nel modo seguente:

c:[Type
== “http://schemas.xmlsoap.org/claims/UPN“]

=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid“, Value = regexreplace(john@sub.contoso.com, “.+@(?<domain>.+)“, “http://${domain}/adfs/services/trust/“));

Valore dell'attestazione: http://sub.contoso.com/adfs/services/trust/

Perché il valore attestazione dell'autorità emittente contenga solo il dominio radice, modificare la regola attestazioni in modo che corrisponda a quanto segue:

c:[Type == “http://schemas.xmlsoap.org/claims/UPN“]

=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid“, Value = regexreplace(c.Value, “^((.*)([.|@]))?(?<domain>[^.]*[.].*)$”, “http://${domain}/adfs/services/trust/“));

Passaggi successivi

Altre informazioni sulle opzioni di accesso utente.