Gestire e personalizzare AD FS tramite Microsoft Entra Connessione

Questo articolo descrive come gestire e personalizzare Active Directory Federation Services (AD FS) usando Microsoft Entra Connessione.

Verranno inoltre fornite informazioni su altre attività comuni di AD FS che potrebbe essere necessario eseguire per configurare completamente una farm AD FS. Queste attività sono elencate nella tabella seguente:

Attività	Descrizione
Gestire AD FS
Ripristinare il trust	Informazioni su come ripristinare la relazione di trust federativa con Microsoft 365.
Eseguire la federazione con Microsoft Entra ID usando un ID di accesso alternativo	Informazioni su come configurare la federazione usando un ID di accesso alternativo.
Aggiungere un server AD FS	Informazioni su come espandere una farm AD FS con un server AD FS aggiuntivo.
Aggiungere un server PROXY applicazione Web AD FS (WAP)	Informazioni su come espandere una farm AD FS con un server WAP aggiuntivo.
Aggiunta di un dominio federato	Informazioni su come aggiungere un dominio federato.
Aggiornare il certificato TLS/SSL	Informazioni su come aggiornare il certificato TLS/SSL per una farm AD FS.
Personalizzare AD FS
Aggiungere un'illustrazione o il logo personalizzato della società	Informazioni su come personalizzare una pagina di accesso di AD FS con un logo e un'illustrazione aziendali.
Aggiungere una descrizione di accesso	Informazioni su come aggiungere una descrizione della pagina di accesso.
Modificare le regole attestazioni per AD FS	Informazioni su come modificare le attestazioni AD FS per diversi scenari di federazione.

Gestire AD FS

È possibile eseguire varie attività correlate ad AD FS in Microsoft Entra Connessione con un intervento minimo dell'utente tramite la procedura guidata di Microsoft Entra Connessione. Dopo aver completato l'installazione di Microsoft Entra Connessione eseguendo la procedura guidata, è possibile eseguirla di nuovo per eseguire altre attività.

Riparare il trust

È possibile utilizzare Microsoft Entra Connessione per controllare l'integrità corrente dell'attendibilità di AD FS e Microsoft Entra ID e quindi intraprendere azioni appropriate per ripristinare l'attendibilità. Per ripristinare l'ID Microsoft Entra e l'attendibilità di AD FS, eseguire le operazioni seguenti:

1. Selezionare Ripristina ID Microsoft Entra e Attendibilità ADFS dall'elenco delle attività.

   

2. Nella pagina Connessione a Microsoft Entra ID specificare le credenziali di Identità ibrida Amministrazione istrator per Microsoft Entra ID e quindi selezionare Avanti.

   

3. Nella pagina Credenziali di accesso remoto specificare le credenziali dell'amministratore di dominio.

   

4. Selezionare Avanti.

   Microsoft Entra Connessione verifica l'integrità del certificato e mostra eventuali problemi.

   

   La pagina Pronto per la configurazione mostra l'elenco delle azioni che verranno eseguite per ripristinare il trust.

   

5. Selezionare Installa per ripristinare l'attendibilità.

Nota

Microsoft Entra Connessione può riparare o agire solo su certificati autofirmati. Microsoft Entra Connessione non è in grado di ripristinare i certificati di terze parti.

Eseguire la federazione con Microsoft Entra ID usando alternateID

È consigliabile mantenere il nome dell'entità utente locale (UPN) e il nome dell'entità utente cloud uguali. Se l'UPN locale usa un dominio non instradabile (ad esempio, Contoso.local) o non può essere modificato a causa delle dipendenze dell'applicazione locale, è consigliabile configurare un ID di accesso alternativo. Usando un ID di accesso alternativo, è possibile configurare un'esperienza di accesso in cui gli utenti possono accedere con un attributo diverso dal proprio UPN, ad esempio un indirizzo di posta elettronica.

La scelta dell'UPN in Microsoft Entra Connessione viene impostata per impostazione predefinita sull'attributo userPrincipalName in Active Directory. Se si sceglie un altro attributo per l'UPN e si esegue la federazione tramite AD FS, Microsoft Entra Connessione configura AD FS per un ID di accesso alternativo.

Un esempio di scelta di un attributo diverso per l'UPN è illustrato nell'immagine seguente:

La configurazione di un ID di accesso alternativo per AD FS è costituita da due passaggi principali:

1. Configurare il set corretto di attestazioni di rilascio: le regole attestazioni di rilascio nell'attendibilità della relying party dell'ID Microsoft Entra vengono modificate per usare l'attributo UserPrincipalName selezionato come ID alternativo dell'utente.

2. Abilitare un ID di accesso alternativo nella configurazione di AD FS: la configurazione di AD FS viene aggiornata in modo che AD FS possa cercare gli utenti nelle foreste appropriate usando l'ID alternativo. Questa configurazione è supportata per AD FS in Windows Server 2012 R2 (con KB2919355) o versioni successive. Se i server AD FS sono 2012 R2, Microsoft Entra Connessione verifica la presenza della knowledge base richiesta. Se la knowledge base non viene rilevata, viene visualizzato un avviso al termine della configurazione, come illustrato nell'immagine seguente:

   

   Se è presente una knowledge base mancante, è possibile risolvere la configurazione installando il KB2919355 richiesto. È quindi possibile seguire le istruzioni riportate in Ripristinare l'attendibilità.

Nota

Per altre informazioni su alternateID e passaggi per configurarlo manualmente, vedere Configurare un ID di accesso alternativo.

Aggiungere un server AD FS

Nota

Per aggiungere un server AD FS, Microsoft Entra Connessione richiede un certificato PFX. Pertanto, è possibile eseguire questa operazione solo se è stata configurata la farm AD FS utilizzando Microsoft Entra Connessione.

1. Selezionare Distribuisci un server federativo aggiuntivo e quindi selezionare Avanti.

   

2. Nella pagina Connessione a Microsoft Entra ID immettere le credenziali di identità ibride Amministrazione istrator per Microsoft Entra ID e quindi selezionare Avanti.

   

3. Specificare le credenziali di amministratore di dominio.

   

4. Microsoft Entra Connessione chiede la password del file PFX fornito durante la configurazione della nuova farm AD FS con Microsoft Entra Connessione. Selezionare Immetti password per specificare la password per il file PFX.

   

   

5. Nella pagina Server ADFS immettere il nome del server o l'indirizzo IP da aggiungere alla farm ADFS.

   

6. Selezionare Avanti e quindi continuare a completare la pagina finale Configura .

   Dopo che Microsoft Entra Connessione ha completato l'aggiunta dei server alla farm AD FS, si avrà la possibilità di verificare la connettività.

   

   

Aggiungere un server WAP AD FS

Nota

Per aggiungere un server Proxy applicazione Web, Microsoft Entra Connessione richiede il certificato PFX. Pertanto, è possibile eseguire questa operazione solo dopo aver configurato la farm AD FS usando Microsoft Entra Connessione.

1. Selezionare Distribuisci il proxy applicazione Web (nessuno attualmente configurato) nell'elenco delle attività disponibili.

   

2. Specificare le credenziali di Azure Hybrid Identity Amministrazione istrator.

   

3. Nella pagina Specifica certificato SSL specificare la password per il file PFX specificato durante la configurazione della farm AD FS con Microsoft Entra Connessione.

   

4. Aggiungere il server da usare come server WAP. Dato che il server WAP potrebbe anche non essere aggiunto al dominio, la procedura guidata richiede le credenziali amministrative da aggiungere per il server.

   

5. Nella pagina Credenziali attendibilità proxy specificare le credenziali amministrative per configurare l'attendibilità del proxy e accedere al server primario nella farm AD FS.

   

6. La pagina Pronto per la configurazione della procedura guidata mostra l'elenco delle azioni che verranno eseguite.

   

7. Selezionare Installa per completare la configurazione. Al termine della configurazione, la procedura guidata offre la possibilità di verificare la connettività ai server. Selezionare Verifica per verificare la connettività.

   

Aggiunta di un dominio federato

È facile aggiungere un dominio per essere federato con Microsoft Entra ID usando Microsoft Entra Connessione. Microsoft Entra Connect aggiunge il dominio per la federazione e modifica le regole di attestazione per riflettere correttamente l'emittente quando si dispone di più domini federati con Microsoft Entra ID.

1. Per aggiungere un dominio federato, selezionare Aggiungi un altro dominio Microsoft Entra.

   

2. Nella pagina successiva della procedura guidata specificare le credenziali di amministratore globale per Microsoft Entra ID.

   

3. Nella pagina Credenziali di accesso remoto specificare le credenziali di amministratore di dominio.

   

4. Nella pagina successiva la procedura guidata fornisce un elenco di domini Microsoft Entra con cui è possibile eseguire la federazione della directory locale. Scegliere il dominio dall'elenco.

   

   Dopo aver scelto il dominio, la procedura guidata informa le azioni aggiuntive che verranno eseguite e l'impatto della configurazione. In alcuni casi, se si seleziona un dominio non ancora verificato in Microsoft Entra ID, la procedura guidata consente di verificare il dominio. Per altre informazioni, vedere Aggiungere il nome di dominio personalizzato a Microsoft Entra ID.

5. Selezionare Avanti.

   Nella pagina Pronto per la configurazione sono elencate le azioni che verranno eseguite da Microsoft Entra Connessione.

   

6. Selezionare Installa per completare la configurazione.

Nota

Gli utenti nel dominio federato aggiunto devono essere sincronizzati prima di poter accedere all'ID Microsoft Entra.

Personalizzare AD FS

Le sezioni seguenti forniscono informazioni dettagliate su alcune delle attività comuni che potrebbe essere necessario eseguire per personalizzare la pagina di accesso di AD FS.

Aggiungere un'illustrazione o il logo personalizzato della società

Per modificare il logo dell'azienda visualizzato nella pagina di accesso, usare il cmdlet e la sintassi di PowerShell seguenti.

Nota

Le dimensioni consigliate per il logo sono 260 x 35 a 96 DPI, con dimensioni del file non maggiori di 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Nota

Il parametro TargetName è obbligatorio. Il tema predefinito incluso in AD FS è denominato Predefinito.

Aggiungere una descrizione di accesso

Per aggiungere una descrizione della pagina di accesso alla pagina di accesso, usare il cmdlet e la sintassi di PowerShell seguenti.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modificare le regole di attestazione per AD FS

AD FS supporta un linguaggio di attestazione avanzato che può essere usato per creare regole attestazioni personalizzate. Per altre informazioni, vedere Ruolo del linguaggio delle regole attestazioni.

Le sezioni seguenti descrivono come scrivere regole personalizzate per alcuni scenari correlati a Microsoft Entra ID e federazione AD FS.

ID non modificabile in base alla presenza di un valore nell'attributo

Microsoft Entra Connessione consente di specificare un attributo da usare come ancoraggio di origine quando gli oggetti vengono sincronizzati con Microsoft Entra ID. Se il valore nell'attributo personalizzato non è vuoto, potrebbe essere necessario emettere un'attestazione ID non modificabile.

Ad esempio, è possibile selezionare ms-ds-consistencyguid come attributo per l'ancoraggio di origine e rilasciare ImmutableID come ms-ds-consistencyguid nel caso in cui l'attributo abbia un valore su di esso. Se non esiste alcun valore rispetto all'attributo, rilasciare objectGuid come ID non modificabile. È possibile costruire il set di regole attestazioni personalizzate come descritto nella sezione seguente.

Regola 1: Attributi della query

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

In questa regola si eseguono query sui valori di ms-ds-consistencyguid e objectGuid per l'utente da Active Directory. Modificare il nome dell'archivio con un nome di archivio appropriato nella distribuzione di AD FS. Modificare anche il tipo di attestazioni in un tipo di attestazione appropriato per la federazione, come definito per objectGuid e ms-ds-consistencyguid.

Inoltre, usando add e non issue, si evita di aggiungere un problema in uscita per l'entità e può usare i valori come valori intermedi. l'attestazione verrà eseguita in una regola successiva dopo aver stabilito quale valore usare come ID non modificabile.

Regola 2: Verificare se ms-ds-consistencyguid esiste per l'utente

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Questa regola definisce un flag temporaneo denominato idflag impostato su useguid se non è presente alcun ms-ds-consistencyguid popolamento per l'utente. La logica sottostante è che AD FS non consente attestazioni vuote. Quando si aggiungono attestazioni http://contoso.com/ws/2016/02/identity/claims/objectguid e http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid nella regola 1, si verifica un'attestazione msdsconsistencyguid solo se il valore viene popolato per l'utente. Se non è popolato, AD FS rileva che avrà un valore vuoto e lo rimuove immediatamente. Tutti gli oggetti avranno objectGuid, in modo che l'attestazione sia sempre presente dopo l'esecuzione della regola 1.

Regola 3: Rilasciare ms-ds-consistencyguid come ID non modificabile se presente

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Si tratta di un controllo implicito Exist . Se il valore per l'attestazione esiste, rilasciarlo come ID non modificabile. Nell'esempio precedente viene usata l'attestazione nameidentifier . Sarà necessario sostituirla con il tipo di attestazione appropriato per l'ID non modificabile nel proprio ambiente.

Regola 4: Rilasciare objectGuid come ID non modificabile se ms-ds-consistencyGuid non è presente

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Con questa regola, è sufficiente controllare il flag idflagtemporaneo . Decidere se rilasciare l'attestazione in base al relativo valore.

Nota

La sequenza delle regole è importante.

SSO con un UPN di sottodominio

È possibile aggiungere più domini da federati usando Microsoft Entra Connessione, come descritto in Aggiungere un nuovo dominio federato. Microsoft Entra Connessione versioni 1.1.553.0 e successive crea automaticamente la regola issuerID di attestazione corretta. Se non è possibile usare Microsoft Entra Connessione versione 1.1.553.0 o successiva, è consigliabile usare lo strumento Regole attestazioni RPT di Microsoft Entra per generare e impostare regole di attestazione corrette per l'attendibilità della relying party microsoft Entra ID.

Passaggi successivi

Altre informazioni sulle opzioni di accesso utente.