Active Directory Federation Services in Azure implementerenDeploying Active Directory Federation Services in Azure

AD FS biedt vereenvoudigde, beveiligde identiteitsfederatie en mogelijkheden voor eenmalige webaanmelding (SSO of Single Sign-on).AD FS provides simplified, secured identity federation and Web single sign-on (SSO) capabilities. Federatie met Azure AD of O365 biedt gebruikers de mogelijkheid om zich te verifiëren met on-premises referenties en toegang te krijgen tot alle bronnen in de cloud.Federation with Azure AD or O365 enables users to authenticate using on-premises credentials and access all resources in cloud. Daarom is het echter wel heel belangrijk dat u beschikt over een maximaal beschikbare AD FS-infrastructuur voor toegang tot zowel on-premises resources als resources in de cloud.As a result, it becomes important to have a highly available AD FS infrastructure to ensure access to resources both on-premises and in the cloud. De implementatie van AD FS in Azure kan helpen met minimale inspanningen de vereiste hoge beschikbaarheid te bewerkstelligen.Deploying AD FS in Azure can help achieve the high availability required with minimal efforts. De implementatie van AD FS in Azure heeft verschillende voordelen, waaronder de volgende:There are several advantages of deploying AD FS in Azure, a few of them are listed below:

  • Hoge beschikbaarheid: met de kracht van Azure-beschikbaarheidssets kunt u een maximaal beschikbare infrastructuur garanderen.High Availability - With the power of Azure Availability Sets, you ensure a highly available infrastructure.
  • Eenvoudig te schalen: hebt u betere prestaties nodig?Easy to Scale – Need more performance? U kunt met slechts enkele muisklikken in Azure migreren naar krachtigere machinesEasily migrate to more powerful machines by just a few clicks in Azure
  • Grensoverschrijdende redundantie: met de geografische redundantie van Azure kunt u er zeker van zijn dat uw infrastructuur maximaal beschikbaar is over de hele wereldCross-Geo Redundancy – With Azure Geo Redundancy you can be assured that your infrastructure is highly available across the globe
  • Gemakkelijk te beheren: met de sterk vereenvoudigde beheeropties in Azure Portal is het beheer van uw infrastructuur zeer eenvoudig en probleemloosEasy to Manage – With highly simplified management options in Azure portal, managing your infrastructure is very easy and hassle-free

OntwerpprincipesDesign principles

Implementatie-ontwerp

In het bovenstaande diagram ziet u de aanbevolen basistopologie om de AD FS-infrastructuur in Azure te implementeren.The diagram above shows the recommended basic topology to start deploying your AD FS infrastructure in Azure. Hieronder worden de beginselen van de verschillende onderdelen van de topologie toegelicht:The principles behind the various components of the topology are listed below:

  • DC-/ADFS-servers: als u minder dan 1000 gebruikers hebt, kunt u gewoon de AD FS-rol op uw domeincontrollers installeren.DC / ADFS Servers: If you have fewer than 1,000 users you can simply install AD FS role on your domain controllers. Als u geen prestatie-invloed op de domeincontrollers wilt of als u meer dan 1000 gebruikers hebt, implementeer AD FS dan op afzonderlijke servers.If you do not want any performance impact on the domain controllers or if you have more than 1,000 users, then deploy AD FS on separate servers.
  • WAP-server: u moet webtoepassingsproxyservers implementeren, zodat gebruikers de AD FS ook kunnen bereiken wanneer ze zich niet op het bedrijfsnetwerk bevinden.WAP Server – it is necessary to deploy Web Application Proxy servers, so that users can reach the AD FS when they are not on the company network also.
  • DMZ: de webtoepassingsproxyservers worden geplaatst in de DMZ en TCP/443-toegang is alleen toegestaan tussen de DMZ en het interne subnet.DMZ: The Web Application Proxy servers will be placed in the DMZ and ONLY TCP/443 access is allowed between the DMZ and the internal subnet.
  • Load balancers: voor hoge beschikbaarheid van AD FS en webtoepassingsproxyservers wordt geadviseerd om een interne load balancer voor AD FS-servers te gebruiken en Azure Load Balancer voor webtoepassingsproxyservers.Load Balancers: To ensure high availability of AD FS and Web Application Proxy servers, we recommend using an internal load balancer for AD FS servers and Azure Load Balancer for Web Application Proxy servers.
  • Beschikbaarheidssets: voor redundantie voor uw AD FS-implementatie wordt aanbevolen dat u twee of meer virtuele machines in een beschikbaarheidsset voor vergelijkbare werkbelastingen groepeert.Availability Sets: To provide redundancy to your AD FS deployment, it is recommended that you group two or more virtual machines in an Availability Set for similar workloads. Deze configuratie zorgt ervoor dat tijdens een geplande of onvoorziene onderhoudsgebeurtenis ten minste één virtuele machine beschikbaar isThis configuration ensures that during either a planned or unplanned maintenance event, at least one virtual machine will be available
  • Opslagaccounts: twee opslagaccounts worden aanbevolen.Storage Accounts: It is recommended to have two storage accounts. Het gebruik van één opslagaccount kan leiden tot het ontstaan van één potentieel risico waardoor de implementatie niet meer beschikbaar is in het onwaarschijnlijke scenario waarin het opslagaccount uitvalt.Having a single storage account can lead to creation of a single point of failure and can cause the deployment to become unavailable in an unlikely scenario where the storage account goes down. Met twee opslagaccounts kan er één opslagaccount worden gekoppeld aan elke storingslijn.Two storage accounts will help associate one storage account for each fault line.
  • Netwerkscheiding: implementeer webtoepassingsproxyservers in een afzonderlijk DMZ-netwerk.Network segregation: Web Application Proxy servers should be deployed in a separate DMZ network. U kunt één virtueel netwerk verdelen in twee subnetten en de webtoepassingsproxyserver(s) in een geïsoleerd subnet implementeren.You can divide one virtual network into two subnets and then deploy the Web Application Proxy server(s) in an isolated subnet. U kunt gewoon de instellingen voor de netwerkbeveiligingsgroep voor elk subnet configureren en alleen de vereiste communicatie tussen de twee subnetten toestaan.You can simply configure the network security group settings for each subnet and allow only required communication between the two subnets. Meer informatie vindt u hieronder per implementatiescenarioMore details are given per deployment scenario below

Stappen voor het implementeren van AD FS in AzureSteps to deploy AD FS in Azure

De stappen die in deze sectie worden beschreven, vormen een handleiding voor de implementatie van de hieronder beschreven AD FS-infrastructuur in Azure.The steps mentioned in this section outline the guide to deploy the below depicted AD FS infrastructure in Azure.

1. Het netwerk implementeren1. Deploying the network

Zoals hierboven is beschreven, kunt u twee subnetten in één virtueel netwerk maken, maar ook twee volledig verschillende virtuele netwerken (VNets).As outlined above, you can either create two subnets in a single virtual network or else create two completely different virtual networks (VNet). Dit artikel gaat over de implementatie van één virtueel netwerk en de verdeling daarvan in twee subnetten.This article will focus on deploying a single virtual network and divide it into two subnets. Dit is momenteel een gemakkelijkere benadering, omdat u voor twee afzonderlijke VNets een VNet naar een VNet-gateway nodig hebt voor communicatie.This is currently an easier approach as two separate VNets would require a VNet to VNet gateway for communications.

1.1 Virtueel netwerk maken1.1 Create virtual network

Virtueel netwerk maken

Als u in Azure Portal Virtueel netwerk selecteert, kunt u met één klik onmiddellijk het virtuele netwerk en één subnet implementeren.In the Azure portal, select virtual network and you can deploy the virtual network and one subnet immediately with just one click. Er wordt ook een INT-subnet gedefinieerd en u kunt daar nu virtuele machines aan toevoegen.INT subnet is also defined and is ready now for VMs to be added. In de volgende stap gaat u nog een subnet aan het netwerk toevoegen, dat wil zeggen het DMZ-subnet.The next step is to add another subnet to the network, i.e. the DMZ subnet. Als u het DMZ-subnet wilt maken:To create the DMZ subnet, simply

  • Selecteer het zojuist gemaakte netwerkSelect the newly created network
  • Selecteer het subnet in de eigenschappenIn the properties select subnet
  • Klik in het deelvenster van het subnet op de knop ToevoegenIn the subnet panel click on the add button
  • Geef de naam en adresruimte van het subnet op om het subnet te makenProvide the subnet name and address space information to create the subnet

Subnet

Subnet-DMZ

1.2. De netwerkbeveiligingsgroepen maken1.2. Creating the network security groups

Een netwerkbeveiligingsgroep (NSG) bevat een lijst met ACL-regels (Access Control List, toegangsbeheerlijst) waarmee netwerkverkeer voor uw VM-exemplaren in een virtueel netwerk wordt toegestaan of geweigerd.A Network security group (NSG) contains a list of Access Control List (ACL) rules that allow or deny network traffic to your VM instances in a Virtual Network. NSG's kunnen worden gekoppeld aan subnetten of afzonderlijke VM-exemplaren in dat subnet.NSGs can be associated with either subnets or individual VM instances within that subnet. Als een NSG is gekoppeld aan een subnet, zijn de ACL-regels van toepassing op alle VM-exemplaren in dat subnet.When an NSG is associated with a subnet, the ACL rules apply to all the VM instances in that subnet. Voor deze richtlijnen maken we twee NSG's: één voor een intern netwerk en één voor een DMZ.For the purpose of this guidance, we will create two NSGs: one each for an internal network and a DMZ. Ze worden respectievelijk NSG_INT en NSG_DMZ genoemd.They will be labeled NSG_INT and NSG_DMZ respectively.

NSG’s maken

Na het maken van de NSG’s zijn er geen regels voor binnenkomende of uitgaande verbindingen.After the NSG is created, there will be 0 inbound and 0 outbound rules. Zodra de rollen op de desbetreffende servers zijn geïnstalleerd en geactiveerd, kunnen de regels voor binnenkomende en uitgaande verbindingen worden gemaakt volgens het gewenste beveiligingsniveau.Once the roles on the respective servers are installed and functional, then the inbound and outbound rules can be made according to the desired level of security.

NSG’s initialiseren

Na het maken van de NSG's koppelt u NSG_INT aan INT-subnet en NSG_DMZ aan DMZ-subnet.After the NSGs are created, associate NSG_INT with subnet INT and NSG_DMZ with subnet DMZ. Hieronder ziet u een schermafbeelding van het voorbeeld:An example screenshot is given below:

NPS configureren

  • Klik op Subnetten om het deelvenster voor subnetten te openenClick on Subnets to open the panel for subnets
  • Selecteer het subnet dat u aan de NSG wilt koppelenSelect the subnet to associate with the NSG

Na de configuratie ziet het paneel voor subnetten er als volgt uit:After configuration, the panel for Subnets should look like below:

Subnetten na NSG

1.3. Verbinding maken met on-premises1.3. Create Connection to on-premises

U hebt een verbinding met on-premises nodig om de domeincontroller (DC) in Azure te kunnen implementeren.We will need a connection to on-premises in order to deploy the domain controller (DC) in azure. Azure biedt verschillende connectiviteitsopties om verbinding te maken met de on-premises infrastructuur van uw Azure-infrastructuur.Azure offers various connectivity options to connect your on-premises infrastructure to your Azure infrastructure.

  • Punt-naar-sitePoint-to-site
  • Virtueel netwerk site-naar-siteVirtual Network Site-to-site
  • ExpressRouteExpressRoute

ExpressRoute heeft de voorkeur.It is recommended to use ExpressRoute. Met ExpressRoute kunt u particuliere verbindingen maken tussen Azure-datacenters en infrastructuur on-premises of in een co-locatie-omgeving.ExpressRoute lets you create private connections between Azure datacenters and infrastructure that’s on your premises or in a co-location environment. ExpressRoute-verbindingen gaan niet via het openbare internet.ExpressRoute connections do not go over the public Internet. Dat maakt ze betrouwbaarder en sneller, en geeft ze lagere latenties en een betere beveiliging dan gewone verbindingen via internet.They offer more reliability, faster speeds, lower latencies and higher security than typical connections over the Internet. Hoewel ExpressRoute wordt aanbevolen, kunt u elke verbindingsmethode kiezen die het meest geschikt is voor uw organisatie.While it is recommended to use ExpressRoute, you may choose any connection method best suited for your organization. Zie Technisch overzicht van ExpressRoute voor meer informatie over ExpressRoute en de verschillende connectiviteitsopties met ExpressRoute.To learn more about ExpressRoute and the various connectivity options using ExpressRoute, read ExpressRoute technical overview.

2. Opslagaccount maken2. Create storage accounts

Als u een hoge beschikbaarheid wilt behouden en afhankelijkheid van één opslagaccount wilt vermijden, kunt u twee opslagaccounts maken.In order to maintain high availability and avoid dependence on a single storage account, you can create two storage accounts. Verdeel de machines in elke beschikbaarheidsset in twee groepen en wijs vervolgens aan elke groep een afzonderlijk opslagaccount toe.Divide the machines in each availability set into two groups and then assign each group a separate storage account.

Opslagaccount maken

3. Beschikbaarheidssets maken3. Create availability sets

Maak voor elke rol (DC/AD FS en WAP) beschikbaarheidssets die minimaal twee machines bevatten.For each role (DC/AD FS and WAP), create availability sets that will contain 2 machines each at the minimum. Hiermee kunt u een hogere beschikbaarheid voor elke rol bereiken.This will help achieve higher availability for each role. Bij het maken van de beschikbaarheidssets is het essentieel dat u de volgende zaken bepaalt:While creating the availability sets, it is essential to decide on the following:

  • Foutdomeinen: virtuele machines in hetzelfde foutdomein delen dezelfde voedingsbron en fysieke netwerkswitch.Fault Domains: Virtual machines in the same fault domain share the same power source and physical network switch. Minimaal twee foutdomeinen worden aanbevolen.A minimum of 2 fault domains are recommended. De standaardwaarde is 3. U kunt dit voor deze implementatie zo laten staanThe default value is 3 and you can leave it as is for the purpose of this deployment
  • Updatedomeinen: machines die tot hetzelfde updatedomein behoren, worden tijdens een update gelijktijdig opnieuw opgestart.Update domains: Machines belonging to the same update domain are restarted together during an update. U moet minimaal twee updatedomeinen hebben.You want to have minimum of 2 update domains. De standaardwaarde is 5. U kunt dit voor deze implementatie zo laten staanThe default value is 5 and you can leave it as is for the purpose of this deployment

Beschikbaarheidssets

Maak de volgende beschikbaarheidssetsCreate the following availability sets

BeschikbaarheidssetAvailability Set RolRole FoutdomeinenFault domains UpdatedomeinenUpdate domains
contosodcsetcontosodcset DC/ADFSDC/ADFS 33 55
contosowapsetcontosowapset WAPWAP 33 55

4. Virtuele machines implementeren4. Deploy virtual machines

In de volgende stap gaat u de virtuele machines implementeren waarop de verschillende rollen in uw infrastructuur worden uitgevoerd.The next step is to deploy virtual machines that will host the different roles in your infrastructure. De aanbevolen configuratie is minimaal twee machines per beschikbaarheidsset.A minimum of two machines are recommended in each availability set. Maak voor de basisimplementatie vier virtuele machines.Create four virtual machines for the basic deployment.

MachineMachine RolRole SubnetSubnet BeschikbaarheidssetAvailability set Storage-accountStorage account IP-adresIP Address
contosodc1contosodc1 DC/ADFSDC/ADFS INTINT contosodcsetcontosodcset contososac1contososac1 StatischStatic
contosodc2contosodc2 DC/ADFSDC/ADFS INTINT contosodcsetcontosodcset contososac2contososac2 StatischStatic
contosowap1contosowap1 WAPWAP DMZDMZ contosowapsetcontosowapset contososac1contososac1 StatischStatic
contosowap2contosowap2 WAPWAP DMZDMZ contosowapsetcontosowapset contososac2contososac2 StatischStatic

Zoals u misschien al hebt gezien, is er geen NSG opgegeven.As you might have noticed, no NSG has been specified. Dit komt omdat u in Azure NSG op het subnetniveau kunt gebruiken.This is because azure lets you use NSG at the subnet level. Daarna kunt u het netwerkverkeer op de machine beheren met behulp van de afzonderlijke NSG die is gekoppeld aan het subnet of het NIC-object.Then, you can control machine network traffic by using the individual NSG associated with either the subnet or else the NIC object. Zie Wat is een netwerkbeveiligingsgroep (NSG)? voor meer informatie.Read more on What is a Network Security Group (NSG). Als u de DNS beheert, wordt een statisch IP-adres aanbevolen.Static IP address is recommended if you are managing the DNS. U kunt Azure DNS gebruiken en dan in de DNS-records voor uw domein naar de nieuwe machines verwijzen met hun Azure FQDN's.You can use Azure DNS and instead in the DNS records for your domain, refer to the new machines by their Azure FQDNs. Wanneer de implementatie is voltooid, moet het deelvenster van de virtuele machine er ongeveer als volgt uitzien:Your virtual machine pane should look like below after the deployment is completed:

Virtuele machines geïmplementeerd

5. De domeincontroller/AD FS-servers configureren5. Configuring the domain controller / AD FS servers

Om inkomende aanvragen te kunnen verifiëren, moet AD FS contact opnemen met de domeincontroller.In order to authenticate any incoming request, AD FS will need to contact the domain controller. Om de kostbare reis van Azure naar on-premises DC voor verificatie te besparen, wordt u geadviseerd om een replica van de domeincontroller in Azure te implementeren.To save the costly trip from Azure to on-premises DC for authentication, it is recommended to deploy a replica of the domain controller in Azure. Voor hoge beschikbaarheid doet u er verstandig aan een beschikbaarheidsset van ten minste twee domeincontrollers te maken.In order to attain high availability, it is recommended to create an availability set of at-least 2 domain controllers.

DomeincontrollerDomain controller RolRole Storage-accountStorage account
contosodc1contosodc1 ReplicaReplica contososac1contososac1
contosodc2contosodc2 ReplicaReplica contososac2contososac2
  • Wijzig het niveau van de twee servers in replicadomeincontrollers bij DNSPromote the two servers as replica domain controllers with DNS
  • Configureer de AD FS-servers door met serverbeheer de AD FS-rol te installeren.Configure the AD FS servers by installing the AD FS role using the server manager.

6. Interne load balancer (ILB) implementeren6. Deploying Internal Load Balancer (ILB)

6.1. De ILB maken6.1. Create the ILB

U implementeert een ILB door in Azure Portal Load Balancers te selecteren en op Toevoegen (+) te klikken.To deploy an ILB, select Load Balancers in the Azure portal and click on add (+).

Notitie

Als Load Balancers niet in het menu wordt weergegeven, klikt u in de linkerbenedenhoek van de portal op Bladeren en bladert u tot u Load Balancers ziet.if you do not see Load Balancers in your menu, click Browse in the lower left of the portal and scroll until you see Load Balancers. Klik vervolgens op de gele ster om deze optie toe te voegen aan het menu.Then click the yellow star to add it to your menu. Selecteer nu het nieuwe pictogram van de load balancer om het deelvenster te openen en de load balancer te configureren.Now select the new load balancer icon to open the panel to begin configuration of the load balancer.

Bladeren naar load balancer

  • Naam: geef de load balancer een passende naamName: Give any suitable name to the load balancer
  • Schema: omdat deze load balancer vóór de AD FS-servers wordt geplaatst en alleen voor interne netwerkverbindingen is bedoeld, selecteert u InternScheme: Since this load balancer will be placed in front of the AD FS servers and is meant for internal network connections ONLY, select “Internal”
  • Virtueel netwerk: kies het virtuele netwerk waarin u de AD FS gaat implementerenVirtual Network: Choose the virtual network where you are deploying your AD FS
  • Subnet: kies hier het interne subnetSubnet: Choose the internal subnet here
  • IP-adrestoewijzing: statischIP Address assignment: Static

Interne load balancer

Wanneer u op Maken klikt en de ILB is geïmplementeerd, wordt deze weergegeven in de lijst met load balancers:After you click create and the ILB is deployed, you should see it in the list of load balancers:

Load balancers na ILB

In de volgende stap configureert u de back-endpool en de back-endtest.Next step is to configure the backend pool and the backend probe.

6.2. ILB-back-endpool configureren6.2. Configure ILB backend pool

Selecteer de zojuist gemaakte ILB in het deelvenster Load Balancers.Select the newly created ILB in the Load Balancers panel. Het instellingenvenster wordt geopend.It will open the settings panel.

  1. Back-endpools selecteren in het instellingenvensterSelect backend pools from the settings panel
  2. Klik in het deelvenster Back-endpool toevoegen op Virtuele machine toevoegenIn the add backend pool panel, click on add virtual machine
  3. In het volgende deelvenster kunt u een beschikbaarheidsset kiezenYou will be presented with a panel where you can choose availability set
  4. Kies de beschikbaarheidsset AD FSChoose the AD FS availability set

ILB-back-endpool configureren

6.3. Test configureren6.3. Configuring probe

Selecteer Tests in het instellingenvenster ILB-instellingen.In the ILB settings panel, select Probes.

  1. Klik op ToevoegenClick on add
  2. Geef details op voor test a.Provide details for probe a. Naam: naam van test b.Name: Probe name b. Protocol: TCP c.Protocol: TCP c. Poort: 443 (HTTPS) d.Port: 443 (HTTPS) d. Interval: 5 (standaardwaarde). Dit is het interval waarmee de machines in de back-endpool e door ILB worden getest.Interval: 5 (default value) – this is the interval at which ILB will probe the machines in the backend pool e. Drempelwaarde voor onjuiste status: 2 (standaardwaarde). Dit is het aantal opeenvolgende mislukte tests waarna ILB een virtuele machine in de back-endpool beschouwt als niet-reagerend en geen verkeer meer naar die machine verzendt.Unhealthy threshold limit: 2 (default val ue) – this is the threshold of consecutive probe failures after which ILB will declare a machine in the backend pool non-responsive and stop sending traffic to it.

Test ILB configureren

6.4. Taakverdelingsregels maken6.4. Create load balancing rules

Voor een doeltreffende verdeling van het verkeer moet de ILB worden geconfigureerd met taakverdelingsregels.In order to effectively balance the traffic, the ILB should be configured with load balancing rules. Als u een regel voor taakverdeling wilt maken:In order to create a load balancing rule,

  1. Selecteer Taakverdelingsregel in het instellingendeelvenster van de ILBSelect Load balancing rule from the settings panel of the ILB
  2. Klik in het deelvenster Taakverdelingsregel op ToevoegenClick on Add in the Load balancing rule panel
  3. In het deelvenster Taakverdelingsregel toevoegen a.In the Add load balancing rule panel a. Naam: geef een naam op voor de regel b.Name: Provide a name for the rule b. Protocol: selecteer TCP c.Protocol: Select TCP c. Poort: 443 d.Port: 443 d. Back-endpoort: 443 e.Backend port: 443 e. Back-endpool: selecteer de pool die u eerder voor het AD FS-cluster hebt gemaakt f.Backend pool: Select the pool you created for the AD FS cluster earlier f. Test: selecteer de test die u eerder voor de AD FS-servers hebt gemaaktProbe: Select the probe created for AD FS servers earlier

ILB-taakverdelingsregels configureren

6.5. DNS bijwerken met ILB6.5. Update DNS with ILB

Ga naar de DNS-server en maak een CNAME voor de ILB.Go to your DNS server and create a CNAME for the ILB. Dit moet de CNAME zijn voor de federatieservice met het IP-adres dat verwijst naar het IP-adres van de ILB.The CNAME should be for the federation service with the IP address pointing to the IP address of the ILB. Als het IP-adres van de ILB bijvoorbeeld 10.3.0.8 is en de geïnstalleerde federatieservice fs.contoso.com is, maakt u een CNAME voor fs.contoso.com die naar 10.3.0.8 verwijst.For example if the ILB DIP address is 10.3.0.8, and the federation service installed is fs.contoso.com, then create a CNAME for fs.contoso.com pointing to 10.3.0.8. Op die manier komt alle communicatie met betrekking tot fs.contoso.com terecht bij de ILB en wordt deze correct gerouteerd.This will ensure that all communication regarding fs.contoso.com end up at the ILB and are appropriately routed.

7. De webtoepassingsproxyserver configureren7. Configuring the Web Application Proxy server

7.1. De webtoepassingsproxyservers configureren om de AD FS-servers te bereiken7.1. Configuring the Web Application Proxy servers to reach AD FS servers

U moet ervoor zorgen dat de webtoepassingsproxyservers de AD FS-servers achter de ILB kunnen bereiken. Daarom maakt u in de map %systemroot%\system32\drivers\etc\hosts een record voor de ILB.In order to ensure that Web Application Proxy servers are able to reach the AD FS servers behind the ILB, create a record in the %systemroot%\system32\drivers\etc\hosts for the ILB. De DN-naam (Distinguished Name) moet de naam van de federatieservice zijn, bijvoorbeeld fs.contoso.com. De IP-vermelding moet het IP-adres van de ILB zijn (in het voorbeeld is dit 10.3.0.8).Note that the distinguished name (DN) should be the federation service name, for example fs.contoso.com. And the IP entry should be that of the ILB’s IP address (10.3.0.8 as in the example).

7.2. De webtoepassingsproxyrol installeren7.2. Installing the Web Application Proxy role

Nadat u ervoor hebt gezorgd dat de webtoepassingsproxyservers de AD FS-servers achter de ILB kunnen bereiken, kunt u de webtoepassingsproxyservers installeren.After you ensure that Web Application Proxy servers are able to reach the AD FS servers behind ILB, you can next install the Web Application Proxy servers. Webtoepassingsproxyservers hoeven niet te worden toegevoegd aan het domein.Web Application Proxy servers do not be joined to the domain. Installeer de webtoepassingsproxyrollen op de twee webtoepassingsproxyservers door de rol Externe toegang te selecteren.Install the Web Application Proxy roles on the two Web Application Proxy servers by selecting the Remote Access role. Serverbeheer leidt u door de WAP-installatie.The server manager will guide you to complete the WAP installation. Zie De webtoepassingsproxyserver installeren en configureren voor meer informatie over het implementeren van WAP.For more information on how to deploy WAP, read Install and Configure the Web Application Proxy Server.

8. De internetgerichte (openbare) load balancer implementeren8. Deploying the Internet Facing (Public) Load Balancer

8.1. Internetgerichte (openbare) load balancer maken8.1. Create Internet Facing (Public) Load Balancer

Selecteer Load Balancers in Azure Portal en klik op Toevoegen.In the Azure portal, select Load balancers and then click on Add. Voer in het deelvenster Load Balancer maken de volgende informatie inIn the Create load balancer panel, enter the following information

  1. Naam: naam voor de load balancerName: Name for the load balancer
  2. Schema: Openbaar. Met deze optie geeft u aan dat de load balancer een openbaar adres nodig heeft.Scheme: Public – this option tells Azure that this load balancer will need a public address.
  3. IP-adres: maak een nieuw IP-adres (dynamisch)IP Address: Create a new IP address (dynamic)

Internetgerichte load balancer

Na implementatie wordt de load balancer weergegeven in de lijst met load balancers.After deployment, the load balancer will appear in the Load balancers list.

Lijst met load balancers

8.2. Een DNS-label toewijzen aan het openbare IP-adres8.2. Assign a DNS label to the public IP

Klik op de vermelding van de zojuist gemaakte load balancer in het deelvenster Load Balancers om het deelvenster voor configuratie te openen.Click on the newly created load balancer entry in the Load balancers panel to bring up the panel for configuration. Volg onderstaande stappen om het DNS-label voor het openbare IP-adres te configureren:Follow below steps to configure the DNS label for the public IP:

  1. Klik op het openbare IP-adres.Click on the public IP address. Hiermee opent u het deelvenster voor het openbare IP-adres en de bijbehorende instellingenThis will open the panel for the public IP and its settings
  2. Klik op ConfiguratieClick on Configuration
  3. Geef een DNS-label op.Provide a DNS label. Dit wordt het openbare DNS-label waartoe u vanaf elke locatie toegang hebt, bijvoorbeeld contosofs.westus.cloudapp.azure.com. U kunt in de externe DNS een vermelding voor de federatieservice toevoegen (zoals fs.contoso.com). Deze wordt omgezet in het DNS-label van de externe load balancer (contosofs.westus.cloudapp.azure.com).This will become the public DNS label that you can access from anywhere, for example contosofs.westus.cloudapp.azure.com. You can add an entry in the external DNS for the federation service (like fs.contoso.com) that resolves to the DNS label of the external load balancer (contosofs.westus.cloudapp.azure.com).

Internetgerichte load balancer configureren

Internetgerichte load balancer (DNS) configureren

8.3. Back-endpool voor internetgerichte (openbare) load balancer configureren8.3. Configure backend pool for Internet Facing (Public) Load Balancer

Volg dezelfde stappen als voor het maken van de interne load balancer om de back-endpool voor de internetgerichte (openbare) load balancer als beschikbaarheidsset voor de WAP-servers te configureren.Follow the same steps as in creating the internal load balancer, to configure the backend pool for Internet Facing (Public) Load Balancer as the availability set for the WAP servers. Bijvoorbeeld: contosowapset.For example, contosowapset.

Back-endpool voor internetgerichte (openbare) load balancer configureren

8.4. Test configureren8.4. Configure probe

Volg dezelfde stappen als voor het configureren van de interne load balancer om de test voor de back-endpool van de WAP-servers te configureren.Follow the same steps as in configuring the internal load balancer to configure the probe for the backend pool of WAP servers.

Test voor internetgerichte load balancer configureren

8.5. Taakverdelingsregel(s) maken8.5. Create load balancing rule(s)

Volg dezelfde stappen als in ILB om de taakverdelingsregel voor TCP 443 te configureren.Follow the same steps as in ILB to configure the load balancing rule for TCP 443.

Taakverdelingsregels van internetgerichte load balancer configureren

9. Het netwerk beveiligen9. Securing the network

9.1. Het interne subnet beveiligen9.1. Securing the internal subnet

Over het algemeen hebt u de volgende regels nodig om het interne subnet doeltreffend te beveiligen (in de hieronder vermelde volgorde)Overall, you need the following rules to efficiently secure your internal subnet (in the order as listed below)

RegelRule BeschrijvingDescription StroomFlow
AllowHTTPSFromDMZAllowHTTPSFromDMZ Staat HTTPS-communicatie vanuit DMZ toeAllow the HTTPS communication from DMZ InkomendInbound
DenyInternetOutboundDenyInternetOutbound Geen toegang tot internetNo access to internet UitgaandOutbound

INT-toegangsregels (inkomend)

9.2. Het DMZ-subnet beveiligen9.2. Securing the DMZ subnet

RegelRule BeschrijvingDescription StroomFlow
AllowHTTPSFromInternetAllowHTTPSFromInternet Staat HTTPS van internet naar de DMZ toeAllow HTTPS from internet to the DMZ InkomendInbound
DenyInternetOutboundDenyInternetOutbound Alles behalve HTTPS naar internet wordt geblokkeerdAnything except HTTPS to internet is blocked UitgaandOutbound

EXT-toegangsregels (inkomend)

Notitie

Als verificatie met certificaat van clientgebruiker (clientTLS-verificatie met X509-gebruikerscertificaten) is vereist, vereist AD FS vervolgens dat TCP-poort 49443 voor inkomende toegang wordt ingeschakeld.If client user certificate authentication (clientTLS authentication using X509 user certificates) is required, then AD FS requires TCP port 49443 be enabled for inbound access.

10. De aanmelding bij AD FS testen10. Test the AD FS sign-in

De gemakkelijkste manier om AD FS te testen, is met de pagina IdpInitiatedSignon.aspx.The easiest way is to test AD FS is by using the IdpInitiatedSignon.aspx page. Daartoe moet IdpInitiatedSignOn in de eigenschappen van AD FS worden ingeschakeld.In order to be able to do that, it is required to enable the IdpInitiatedSignOn on the AD FS properties. Volg onderstaande stappen om uw AD FS-installatie te controlerenFollow the steps below to verify your AD FS setup

  1. Voer onderstaande cmdlet met PowerShell uit op de AD FS-server om deze in te schakelen.Run the below cmdlet on the AD FS server, using PowerShell, to set it to enabled. Set-AdfsProperties -EnableIdPInitiatedSignonPage $trueSet-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. Ga vanaf een externe computer naar https://adfs.thecloudadvocate.com/adfs/ls/IdpInitiatedSignon.aspxFrom any external machine access https://adfs.thecloudadvocate.com/adfs/ls/IdpInitiatedSignon.aspx
  3. De volgende AD FS-pagina moet worden weergegeven:You should see the AD FS page like below:

Aanmeldingspagina testen

Bij een geslaagde aanmelding wordt een soortgelijk positief bericht weergegeven:On successful sign-in, it will provide you with a success message as shown below:

Test geslaagd

Sjabloon voor de implementatie van AD FS in AzureTemplate for deploying AD FS in Azure

De sjabloon implementeert een installatie voor 6 machines, 2 elk voor domeincontrollers, AD FS en WAP.The template deploys a 6 machine setup, 2 each for Domain Controllers, AD FS and WAP.

Implementatiesjabloon voor AD FS in AzureAD FS in Azure Deployment Template

U kunt een bestaand virtueel netwerk gebruiken of een nieuw VNET maken tijdens het implementeren van deze sjabloon.You can use an existing virtual network or create a new VNET while deploying this template. De verschillende parameters die beschikbaar zijn voor het aanpassen van de implementatie worden hieronder vermeld met de beschrijving van het gebruik van de parameter in het implementatieproces.The various parameters available for customizing the deployment are listed below with the description of usage of the parameter in the deployment process.

ParameterParameter BeschrijvingDescription
LocatieLocation De regio voor het implementeren van de resources, bijvoorbeeld VS - oost.The region to deploy the resources into, e.g. East US.
StorageAccountTypeStorageAccountType Het type opslagaccount dat wordt gemaaktThe type of the Storage Account created
VirtualNetworkUsageVirtualNetworkUsage Geeft aan of een nieuw virtueel netwerk wordt gemaakt of een bestaand wordt gebruiktIndicates if a new virtual network will be created or use an existing one
VirtualNetworkNameVirtualNetworkName De naam van het virtuele netwerk dat wordt gemaakt, verplicht voor gebruik van zowel een bestaand als nieuw virtueel netwerkThe name of the Virtual Network to Create, mandatory on both existing or new virtual network usage
VirtualNetworkResourceGroupNameVirtualNetworkResourceGroupName De naam van de resourcegroep waarin het bestaande virtuele netwerk zich bevindtSpecifies the name of the resource group where the existing virtual network resides. Wanneer u een bestaand virtueel netwerk gebruikt, wordt dit een verplichte parameter zodat de implementatie de ID van het bestaande virtuele netwerk kan vindenWhen using an existing virtual network, this becomes a mandatory parameter so the deployment can find the ID of the existing virtual network
VirtualNetworkAddressRangeVirtualNetworkAddressRange Het adresbereik van de nieuwe VNET, verplicht als u een nieuw virtueel netwerk maaktThe address range of the new VNET, mandatory if creating a new virtual network
InternalSubnetNameInternalSubnetName De naam van het interne subnet, verplicht voor beide soorten opties voor virtueel netwerkgebruik (nieuw of bestaand)The name of the internal subnet, mandatory on both virtual network usage options (new or existing)
InternalSubnetAddressRangeInternalSubnetAddressRange Het adresbereik van het interne subnet, dat de domeincontrollers en AD FS-servers bevat, verplicht als u een nieuw virtueel netwerk maaktThe address range of the internal subnet, which contains the Domain Controllers and ADFS servers, mandatory if creating a new virtual network.
DMZSubnetAddressRangeDMZSubnetAddressRange Het adresbereik van het DMZ-subnet, dat de Windows-proxytoepassingsservers bevat, verplicht als u een nieuw virtueel netwerk maaktThe address range of the dmz subnet, which contains the Windows application proxy servers, mandatory if creating a new virtual network.
DMZSubnetNameDMZSubnetName De naam van het interne subnet, verplicht voor beide soorten opties voor virtueel netwerkgebruik (nieuw of bestaand)The name of the internal subnet, mandatory on both virtual network usage options (new or existing).
ADDC01NICIPAddressADDC01NICIPAddress Het interne IP-adres van de eerste domeincontroller. Dit IP-adres wordt statisch toegewezen aan de domeincontroller en moet een geldig IP-adres binnen het interne subnet zijnThe internal IP address of the first Domain Controller, this IP address will be statically assigned to the DC and must be a valid ip address within the Internal subnet
ADDC02NICIPAddressADDC02NICIPAddress Het interne IP-adres van de tweede domeincontroller. Dit IP-adres wordt statisch toegewezen aan de domeincontroller en moet een geldig IP-adres binnen het interne subnet zijnThe internal IP address of the second Domain Controller, this IP address will be statically assigned to the DC and must be a valid ip address within the Internal subnet
ADFS01NICIPAddressADFS01NICIPAddress Het interne IP-adres van de eerste ADFS-server. Dit IP-adres wordt statisch toegewezen aan de ADFS-server en moet een geldig IP-adres binnen het interne subnet zijnThe internal IP address of the first ADFS server, this IP address will be statically assigned to the ADFS server and must be a valid ip address within the Internal subnet
ADFS02NICIPAddressADFS02NICIPAddress Het interne IP-adres van de tweede ADFS-server. Dit IP-adres wordt statisch toegewezen aan de ADFS-server en moet een geldig IP-adres binnen het interne subnet zijnThe internal IP address of the second ADFS server, this IP address will be statically assigned to the ADFS server and must be a valid ip address within the Internal subnet
WAP01NICIPAddressWAP01NICIPAddress Het interne IP-adres van de eerste WAP-server. Dit IP-adres wordt statisch toegewezen aan de WAP-server en moet een geldig IP-adres binnen het DMZ-subnet zijnThe internal IP address of the first WAP server, this IP address will be statically assigned to the WAP server and must be a valid ip address within the DMZ subnet
WAP02NICIPAddressWAP02NICIPAddress Het interne IP-adres van de tweede WAP-server. Dit IP-adres wordt statisch toegewezen aan de WAP-server en moet een geldig IP-adres binnen het DMZ-subnet zijnThe internal IP address of the second WAP server, this IP address will be statically assigned to the WAP server and must be a valid ip address within the DMZ subnet
ADFSLoadBalancerPrivateIPAddressADFSLoadBalancerPrivateIPAddress Het interne IP-adres van de ADFS load balancer. Dit IP-adres wordt statisch toegewezen aan de load balancer en moet een geldig IP-adres binnen het interne subnet zijnThe internal IP address of the ADFS load balancer, this IP address will be statically assigned to the load balancer and must be a valid ip address within the Internal subnet
ADDCVMNamePrefixADDCVMNamePrefix Naamvoorvoegsel van virtuele machine voor domeincontrollersVirtual Machine name prefix for Domain Controllers
ADFSVMNamePrefixADFSVMNamePrefix Naamvoorvoegsel van virtuele machine voor ADFS-serversVirtual Machine name prefix for ADFS servers
WAPVMNamePrefixWAPVMNamePrefix Naamvoorvoegsel van virtuele machine voor WAP-serversVirtual Machine name prefix for WAP servers
ADDCVMSizeADDCVMSize De VM-grootte van de domeincontrollersThe vm size of the Domain Controllers
ADFSVMSizeADFSVMSize De VM-grootte van de AD FS-serversThe vm size of the ADFS servers
WAPVMSizeWAPVMSize De VM-grootte van de WAP-serversThe vm size of the WAP servers
AdminUserNameAdminUserName De naam van de lokale beheerder van de virtuele machinesThe name of the local Administrator of the virtual machines
AdminPasswordAdminPassword Het wachtwoord van de lokale beheerdersaccount van de virtuele machinesThe password for the local Administrator account of the virtual machines

Aanvullende resourcesAdditional resources

Volgende stappenNext steps