AD FS beheren en aanpassen met Behulp van Microsoft Entra Verbinding maken

  • Artikel

In dit artikel wordt beschreven hoe u Active Directory Federation Services (AD FS) beheert en aanpast met behulp van Microsoft Entra Verbinding maken.

U leert ook over andere algemene AD FS-taken die u mogelijk moet uitvoeren om een AD FS-farm volledig te configureren. Deze taken worden vermeld in de volgende tabel:

Taak Beschrijving
AD FS beheren
De vertrouwensrelatie herstellen Meer informatie over het herstellen van de federatieve vertrouwensrelatie met Microsoft 365.
Federeren met Microsoft Entra-id met behulp van een alternatieve aanmeldings-id Meer informatie over het configureren van federatie met behulp van een alternatieve aanmeldings-id.
Een AD FS-server toevoegen Meer informatie over het uitbreiden van een AD FS-farm met een extra AD FS-server.
Een WAP-server (AD FS Web toepassingsproxy) toevoegen Meer informatie over het uitbreiden van een AD FS-farm met een extra WAP-server.
Een gefedereerd domein toevoegen Meer informatie over het toevoegen van een federatief domein.
Het TLS/SSL-certificaat bijwerken Meer informatie over het bijwerken van het TLS/SSL-certificaat voor een AD FS-farm.
AD FS aanpassen
Een aangepast bedrijfslogo of illustratie toevoegen Meer informatie over het aanpassen van een AD FS-aanmeldingspagina met een bedrijfslogo en illustratie.
Beschrijving van de aanmeldingspagina toevoegen Informatie over het toevoegen van een beschrijving van de aanmeldingspagina.
AD FS-claimregels wijzigen Meer informatie over het wijzigen van AD FS-claims voor verschillende federatiescenario's.

AD FS beheren

U kunt verschillende AD FS-gerelateerde taken uitvoeren in Microsoft Entra Verbinding maken met minimale tussenkomst van de gebruiker met behulp van de Microsoft Entra Verbinding maken wizard. Nadat u Microsoft Entra Verbinding maken hebt geïnstalleerd door de wizard uit te voeren, kunt u deze opnieuw uitvoeren om andere taken uit te voeren.

De vertrouwensrelatie herstellen

U kunt Microsoft Entra Verbinding maken gebruiken om de huidige status van de VERTROUWENsrelatie AD FS en Microsoft Entra ID te controleren en vervolgens de juiste acties te ondernemen om de vertrouwensrelatie te herstellen. Ga als volgt te werk om uw Microsoft Entra-id en AD FS-vertrouwensrelatie te herstellen:

  1. Selecteer Microsoft Entra-id en ADFS Trust herstellen in de lijst met taken.

    Screenshot of the

  2. Geef op de pagina Verbinding maken naar Microsoft Entra-id uw referenties voor hybride identiteit op Beheer istrator voor Microsoft Entra-id en selecteer vervolgens Volgende.

    Screenshot that shows the

  3. Geef op de pagina Aanmeldingsgegevens voor externe toegang de aanmeldingsgegevens voor de domeinbeheerder op.

    Screenshot that shows the

  4. Selecteer Volgende.

    Microsoft Entra Verbinding maken controleert op de status van het certificaat en toont eventuele problemen.

    Screenshot of the

    Op de pagina Gereed om te configureren ziet u de lijst met acties die worden uitgevoerd om de vertrouwensrelatie te herstellen.

    Screenshot that shows the

  5. Selecteer Installeren om de vertrouwensrelatie te herstellen.

Notitie

Microsoft Entra Verbinding maken kan alleen certificaten herstellen of erop reageren die zelfondertekend zijn. Microsoft Entra Verbinding maken kan certificaten van derden niet herstellen.

Federatie met Microsoft Entra-id met behulp van alternateID

U wordt aangeraden de on-premises UPN (User Principal Name) en de user principal name van de cloud hetzelfde te houden. Als de on-premises UPN gebruikmaakt van een niet-routeerbaar domein (bijvoorbeeld Contoso.local) of niet kan worden gewijzigd vanwege afhankelijkheden van lokale toepassingen, raden we u aan een alternatieve aanmeldings-id in te stellen. Met behulp van een alternatieve aanmeldings-id kunt u een aanmeldingservaring configureren waarbij gebruikers zich kunnen aanmelden met een ander kenmerk dan hun UPN, zoals een e-mailadres.

De keuze van UPN in Microsoft Entra Verbinding maken standaard ingesteld op het kenmerk userPrincipalName in Active Directory. Als u een ander kenmerk voor de UPN kiest en federatief is met AD FS, configureert Microsoft Entra Verbinding maken AD FS voor een alternatieve aanmeldings-id.

Een voorbeeld van het kiezen van een ander kenmerk voor de UPN wordt weergegeven in de volgende afbeelding:

Screenshot that shows the

Het configureren van een alternatieve aanmeldings-id voor AD FS bestaat uit twee hoofdstappen:

  1. Configureer de juiste set uitgifteclaims: de regels voor uitgifteclaims in de vertrouwensrelatie van de Relying Party van Microsoft Entra-id worden gewijzigd om het geselecteerde kenmerk UserPrincipalName te gebruiken als alternatieve id van de gebruiker.

  2. Schakel een alternatieve aanmeldings-id in de AD FS-configuratie in: de AD FS-configuratie wordt bijgewerkt, zodat AD FS gebruikers in de juiste forests kan opzoeken met behulp van de alternatieve id. Deze configuratie wordt ondersteund voor AD FS op Windows Server 2012 R2 (met KB2919355) of hoger. Als de AD FS-servers 2012 R2 zijn, controleert Microsoft Entra Verbinding maken op de aanwezigheid van de vereiste KB. Als de KB niet wordt gedetecteerd, wordt er een waarschuwing weergegeven nadat de configuratie is voltooid, zoals wordt weergegeven in de volgende afbeelding:

    Screenshot of the

    Als er een ontbrekende KB is, kunt u de configuratie oplossen door de vereiste KB2919355 te installeren. Vervolgens kunt u de instructies volgen bij het herstellen van de vertrouwensrelatie.

Notitie

Zie Een alternatieve aanmeldings-id configureren voor meer informatie over alternateID en stappen om deze handmatig te configureren.

Een AD FS-server toevoegen

Notitie

Als u een AD FS-server wilt toevoegen, heeft Microsoft Entra Verbinding maken een PFX-certificaat nodig. Daarom kunt u deze bewerking alleen uitvoeren als u de AD FS-farm hebt geconfigureerd met behulp van Microsoft Entra Verbinding maken.

  1. Selecteer Een extra federatieserver implementeren en selecteer vervolgens Volgende.

    Screenshot of the

  2. Voer op de pagina Verbinding maken naar Microsoft Entra-id uw referenties voor hybride identiteit Beheer istrator voor Microsoft Entra-id in en selecteer vervolgens Volgende.

    Screenshot that shows the

  3. Geef de aanmeldingsgegevens van de domeinbeheerder op.

    Screenshot that shows the

  4. Microsoft Entra Verbinding maken vraagt om het wachtwoord van het PFX-bestand dat u hebt opgegeven bij het configureren van uw nieuwe AD FS-farm met Microsoft Entra Verbinding maken. Selecteer Wachtwoord invoeren om het wachtwoord voor het PFX-bestand op te geven.

    Screenshot of the

    Screenshot that shows the

  5. Voer op de pagina AD FS-servers de servernaam of het IP-adres in dat moet worden toegevoegd aan de AD FS-farm.

    Screenshot that shows the

  6. Selecteer Volgende en ga door met het voltooien van de laatste pagina Configureren .

    Nadat Microsoft Entra Verbinding maken klaar is met het toevoegen van de servers aan de AD FS-farm, krijgt u de optie om de connectiviteit te controleren.

    Screenshot that shows the

    Screenshot that shows the

Een AD FS WAP-server toevoegen

Notitie

Als u een web-toepassingsproxy-server wilt toevoegen, is voor Microsoft Entra Verbinding maken het PFX-certificaat vereist. Daarom kunt u deze bewerking alleen uitvoeren nadat u de AD FS-farm hebt geconfigureerd met behulp van Microsoft Entra Verbinding maken.

  1. Selecteer Web Application Proxy implementeren in de lijst met beschikbare taken.

    Deploy Web Application Proxy

  2. Geef de referenties van de Azure Hybrid Identity Beheer istrator op.

    Screenshot that shows the

  3. Geef op de pagina SSL-certificaat opgeven het wachtwoord op voor het PFX-bestand dat u hebt opgegeven bij het configureren van de AD FS-farm met Microsoft Entra Verbinding maken. Certificate password

    Specify TLS/SSL certificate

  4. Voeg de server toe die moet worden toegevoegd als een WAP-server. Omdat de WAP-server mogelijk niet aan het domein is toegevoegd, vraagt de wizard om beheerdersaanmeldingsgegevens voor de server die wordt toegevoegd.

    Administrative server credentials

  5. Geef op de pagina Aanmeldingsgegevens voor proxyvertrouwensrelatie beheerdersaanmeldingsgegevens op om de proxyvertrouwensrelatie te configureren en toegang te krijgen tot de primaire server in de AD FS-farm.

    Proxy trust credentials

  6. Op de pagina Gereed om te configureren toont de wizard de lijst met acties die worden uitgevoerd.

    Screenshot that shows the

  7. Selecteer Installeren om de configuratie te voltooien. Nadat de configuratie is voltooid, kunt u met de wizard de connectiviteit met de servers controleren. Selecteer Controleren om de connectiviteit te controleren.

    Installation complete

Een gefedereerd domein toevoegen

Het is eenvoudig om een domein toe te voegen dat moet worden gefedereerd met Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken. Microsoft Entra Verbinding maken voegt het domein voor federatie toe en wijzigt de claimregels om de verlener correct weer te geven wanneer u meerdere domeinen hebt gefedereerd met Microsoft Entra-id.

  1. Als u een federatief domein wilt toevoegen, selecteert u Een extra Microsoft Entra-domein toevoegen.

    Screenshot of the

  2. Geef op de volgende pagina van de wizard de referenties van de globale beheerder voor Microsoft Entra-id op.

    Screenshot that shows the

  3. Geef op de pagina Aanmeldingsgegevens voor externe toegang de aanmeldingsgegevens van de domeinbeheerder op.

    Screenshot showing the

  4. Op de volgende pagina bevat de wizard een lijst met Microsoft Entra-domeinen waarmee u uw on-premises adreslijst kunt federeren. Kies het domein in de lijst.

    Screenshot of the

    Nadat u het domein hebt gekozen, informeert de wizard u over verdere acties die worden uitgevoerd en de impact van de configuratie. Als u in sommige gevallen een domein selecteert dat nog niet is geverifieerd in Microsoft Entra ID, helpt de wizard u bij het verifiëren van het domein. Zie Uw aangepaste domeinnaam toevoegen aan Microsoft Entra-id voor meer informatie.

  5. Selecteer Volgende.

    Op de pagina Gereed om te configureren worden de acties vermeld die Door Microsoft Entra Verbinding maken worden uitgevoerd.

    Screenshot of the

  6. Selecteer Installeren om de configuratie te voltooien.

Notitie

Gebruikers in het toegevoegde federatieve domein moeten worden gesynchroniseerd voordat ze zich kunnen aanmelden bij Microsoft Entra-id.

AD FS aanpassen

De volgende secties bevatten details over enkele van de algemene taken die u mogelijk moet uitvoeren om uw AD FS-aanmeldingspagina aan te passen.

Als u het logo wilt wijzigen van het bedrijf dat wordt weergegeven op de aanmeldingspagina, gebruikt u de volgende PowerShell-cmdlet en syntaxis.

Notitie

De aanbevolen afmetingen voor het logo zijn 260 x 35 @ 96 dpi met een bestandsgrootte die niet groter is dan 10 kB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Notitie

De parameter TargetName is vereist. Het standaardthema dat met AD FS wordt uitgegeven, heet Standaard.

Beschrijving van de aanmeldingspagina toevoegen

Als u een beschrijving van de aanmeldingspagina wilt toevoegen aan de aanmeldingspagina, gebruikt u de volgende PowerShell-cmdlet en syntaxis.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

AD FS-claimregels wijzigen

AD FS ondersteunt een uitgebreide claimtaal die u kunt gebruiken om aangepaste claimregels te maken. Zie De rol van claimregeltaal voor meer informatie.

In de volgende secties wordt beschreven hoe u aangepaste regels kunt schrijven voor sommige scenario's die betrekking hebben op Microsoft Entra ID en AD FS-federatie.

Onveranderbare id voorwaardelijk voor een waarde die aanwezig is in het kenmerk

Met Microsoft Entra Verbinding maken kunt u een kenmerk opgeven dat moet worden gebruikt als bronanker wanneer objecten worden gesynchroniseerd met Microsoft Entra-id. Als de waarde in het aangepaste kenmerk niet leeg is, kunt u een onveranderbare id-claim uitgeven.

U kunt bijvoorbeeld selecteren ms-ds-consistencyguid als het kenmerk voor het bronanker en immutableID uitgeven, bijvoorbeeld als ms-ds-consistencyguid het kenmerk een waarde heeft. Als er geen waarde is voor het kenmerk, geeft u het probleem objectGuid op als de onveranderbare id. U kunt de set aangepaste claimregels samenstellen, zoals beschreven in de volgende sectie.

Regel 1: Querykenmerken

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

In deze regel voert u een query uit op de waarden van ms-ds-consistencyguid en objectGuid voor de gebruiker uit Active Directory. Wijzig de opslagnaam in een geschikte opslagnaam in uw AD FS-implementatie. Wijzig ook het claimtype in een correct claimtype voor uw federatie, zoals gedefinieerd voor objectGuid en ms-ds-consistencyguid.

addissueU voorkomt ook dat u een uitgaand probleem voor de entiteit toevoegt en de waarden als tussenliggende waarden kunt gebruiken. U geeft de claim in een latere regel uit nadat u hebt vastgesteld welke waarde moet worden gebruikt als onveranderbare id.

Regel 2: Controleren of ms-ds-consistencyguid bestaat voor de gebruiker

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Deze regel definieert een tijdelijke vlag idflag die is ingesteld op useguid als de gebruiker niet ms-ds-consistencyguid is ingevuld. De logica achter dit is dat AD FS geen lege claims toestaat. Wanneer u claims http://contoso.com/ws/2016/02/identity/claims/objectguid toevoegt en http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid in regel 1, krijgt u alleen een msdsconsistencyguid-claim als de waarde voor de gebruiker is ingevuld. Als deze niet is ingevuld, ziet AD FS dat deze een lege waarde heeft en onmiddellijk wordt verwijderd. Alle objecten hebben objectGuid, zodat de claim altijd aanwezig is nadat regel 1 is uitgevoerd.

Regel 3: ms-ds-consistencyguid uitgeven als onveranderbare id als deze aanwezig is

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Dit is een impliciete Exist controle. Als de waarde voor de claim bestaat, geeft u deze op als onveranderbare id. In het vorige voorbeeld wordt de nameidentifier claim gebruikt. U moet dit wijzigen in het juiste claimtype voor de onveranderbare id in uw omgeving.

Regel 4: ObjectGuid uitgeven als onveranderbare id als ms-ds-consistencyGuid niet aanwezig is

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Met deze regel controleert u gewoon de tijdelijke vlag idflag. U besluit of u de claim wilt uitgeven op basis van de waarde ervan.

Notitie

De volgorde van deze regels is belangrijk.

Eenmalige aanmelding met een subdomein-UPN

U kunt meer dan één domein toevoegen dat moet worden gefedereerd met behulp van Microsoft Entra Verbinding maken, zoals beschreven in Een nieuw federatief domein toevoegen. Microsoft Entra Verbinding maken versie 1.1.553.0 en hoger maakt automatisch de juiste claimregelissuerID. Als u Microsoft Entra niet kunt gebruiken Verbinding maken versie 1.1.553.0 of hoger, raden we u aan het hulpprogramma Microsoft Entra RPT-claimregels te gebruiken om juiste claimregels te genereren en in te stellen voor de vertrouwensrelatie van de Relying Party van Microsoft Entra-id.

Volgende stappen

Meer informatie over aanmeldingsopties voor gebruikers.