Configurare l'accesso Extranet per ADFS in Windows Server 2012 R2

  • Articolo

Si applica a: Azure, Office 365, Power BI, Windows Intune

In questo argomento viene descritto come installare il ruolo Accesso remoto con il servizio ruolo Proxy applicazione Web e come configurare il server proxy applicazione Web per la connessione a un server Active Directory Federation Services (ADFS).

2.2. Installare il ruolo Accesso remoto

Per distribuire il proxy applicazione Web, è necessario installare il ruolo Accesso remoto con il servizio ruolo Proxy applicazione Web in un server che verrà utilizzato come server proxy applicazione Web.

Ripetere questa procedura per tutti i server che si desidera distribuire come server proxy applicazione Web.

Per installare il servizio ruolo Proxy applicazione Web tramite l'interfaccia utente

  1. In Dashboard nella console Server Manager del server proxy applicazione Web fare clic su Aggiungi ruoli e funzionalità.

  2. Nell'Aggiunta guidata ruoli e funzionalità fare clic su Avanti tre volte finché non viene visualizzata la schermata di selezione del ruolo server.

  3. Nella finestra di dialogo Selezione ruoli server selezionare Accesso remoto e quindi fare clic su Avanti.

  4. Fare clic due volte su Avanti.

  5. Nella finestra di dialogo Selezione servizi ruolo selezionare Proxy applicazione Web, fare clic su Aggiungi funzionalità e quindi su Avanti.

  6. Nella finestra di dialogo Conferma selezioni per l'installazione fare clic su Installa.

  7. Nella finestra di dialogo Stato installazione verificare che l'installazione sia stata completata correttamente e quindi fare clic su Chiudi.

Per installare il servizio ruolo Proxy applicazione Web tramite Windows PowerShell

  1. Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

    Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. Configurare Proxy applicazione Web

È necessario configurare il proxy applicazione Web per la connessione a un server ADFS.

Ripetere questa procedura per tutti i server che si desidera distribuire come server proxy applicazione Web.

Per configurare il proxy applicazione Web tramite l'interfaccia utente

  1. Nel server Application Proxy Web aprire la console gestione accesso remoto: RAMgmtUI.exee quindi premere INVIO. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su .

  2. Nel riquadro di spostamento fare clic su Proxy applicazione Web.

  3. Nel riquadro centrale della console di gestione di Accesso remoto fare clic sull'opzione pereseguire la configurazione guidata del proxy applicazione Web.

  4. Nella schermatainiziale dellaconfigurazione guidata del proxy applicazione Web fare clic su Avanti.

  5. Nella finestra di dialogo Server federativo eseguire le operazioni seguenti e quindi fare clic su Avanti:

    • Nella casella Nome servizio federativo immettere il nome di dominio completo (FQDN) del server ADFS, ad esempio fs.fabrikam.com.

    • Nelle caselle Nome utente e Password immettere le credenziali di un account amministratore locale dei server ADFS.

  6. Nella finestra di dialogo relativa al certificatoproxy ADFS selezionare dall'elenco dei certificati attualmente installati nel server proxy applicazione Web un certificato che deve essere utilizzato dal proxy applicazione Web per la funzionalità proxy ADFS e quindi fare clic su Avanti.

    Il certificato selezionato in questo elenco deve essere il certificato il cui soggetto corrisponde al nome del servizio federativo, ad esempio fs.fabrikam.com.

  7. Verificare le impostazioni nella finestra di dialogo Conferma. Se necessario, è possibile copiare il cmdlet di PowerShell per automatizzare altre installazioni. Fare clic su Configure.

  8. Nella finestra di dialogo Risultati verificare che la configurazione sia stata completata correttamente e quindi fare clic su Chiudi.

Per configurare il proxy applicazione Web tramite Windows PowerShell

  1. Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

    Con il seguente comando viene visualizzata la richiesta di immettere le credenziali di un account amministratore locale nei server ADFS.

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

Ottimizzare le impostazioni di controllo di congestione tra il proxy applicazione Web e i server ADFS - passaggio facoltativo

Il proxy applicazione Web Extranet è in grado di limitare le richieste dalla rete Extranet se la latenza tra il proxy applicazione Web e il server federativo supera una determinata soglia. In base a questa funzionalità, il proxy applicazione Web rifiuterà le richieste di autenticazione client esterne in caso di sovraccarico del server federativo rilevato dalla latenza tra il proxy applicazione Web e il server federativo per la gestione delle richieste di autenticazione. Questo è strettamente correlato a un algoritmo simile utilizzato per il controllo della congestione in TCP, ovvero AIMD (Additive Increase Multiplicative Decrease). La soluzione funziona utilizzando una finestra di congestione rappresentata da un pool di token che vengono concessi a ogni richiesta in ingresso per il proxy applicazione Web.

In una rete perimetrale con latenza elevata o un proxy applicazione Web con carico elevato è possibile che le richieste di autenticazione vengano rifiutate, anche se il server federativo è in grado di soddisfarle in base alle impostazioni predefinite che controllano questo algoritmo. In un ambiente di questo tipo è consigliabile modificare le impostazioni in modo che siano meno aggressive, effettuando le operazioni descritte di seguito.

  1. Nel computer proxy applicazione Web aprire una finestra di comando con privilegi elevati.

  2. Passare alla directory ADFS in %WINDIR%\adfs\config.

  3. Modificare le impostazioni del controllo congestione dai valori predefiniti a "<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Salvare e chiudere il file.

  5. Riavviare il servizio AD FS eseguendo "net stop adfssrv" e quindi "net start adfssrv".

Passaggio successivo

Dopo aver verificato di aver configurato computer web Application Proxy, il passaggio successivo consiste nell'installare Windows PowerShell per l'accesso Single Sign-On con AD FS.

Vedere anche

Concetti

Preparare l'infrastruttura di rete per la configurazione dell'accesso extranet
Elenco di controllo: Uso di ADFS per implementare e gestire Single Sign-On