Bekijk de vereisten voor het implementeren van AD FS

Artikel
11/09/2015

Van toepassing op: Azure, Office 365, Power BI, Windows Intune

Voor een nieuwe AD FS-implementatie om een relying party vertrouwensrelatie te maken met Azure AD, moet u er eerst voor zorgen dat uw bedrijfsnetwerkinfrastructuur is geconfigureerd ter ondersteuning van AD FS-vereisten voor accounts, naamomzetting en certificaten. AD FS heeft de volgende typen vereisten:

Softwarevereisten
Certificaatvereisten
Netwerkvereisten

Softwarevereisten

AD FS-software moet worden geïnstalleerd op elke computer die u voorbereidt op de federatieserver of federatieserverproxyfunctie. U kunt deze software installeren met behulp van de AD FS-installatiewizard of door een stille installatie uit te voeren met behulp van de parameteradfssetup.exe /quiet op een opdrachtregel.

Voor een basisinstallatieplatform vereist AD FS het besturingssysteem Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2. AD FS heeft een afzonderlijk installatiepakket voor de Windows Server 2008, Windows Server 2008 R2-besturingssysteemplatforms (en het wordt vaak aangeduid als AD FS 2.0) of het kan worden geïnstalleerd door de Federation Service-serverrol toe te voegen als onderdeel van het Windows Server 2012 of Windows Server 2012 R2-besturingssysteem.

Als u AD FS 2.0 of AD FS gebruikt in Windows Server 2012, implementeert en configureert u federatieserverproxy's als onderdeel van het implementeren van uw SSO-oplossing.

Als u AD FS gebruikt in Windows Server 2012 R2, implementeert u Web Application Proxy's om uw AD FS-implementatie te configureren voor extranettoegang. In Windows Server 2012 R2 wordt een web-toepassingsproxy, een nieuwe functieservice van de RAS-serverfunctie, gebruikt om uw AD FS in te schakelen voor toegankelijkheid van buiten het bedrijfsnetwerk. Zie Web toepassingsproxy Overzicht voor meer informatie.

Vereisten

Tijdens het AD FS-installatieproces probeert de installatiewizard automatisch te controleren op en, indien nodig, zowel vereiste toepassingen als afhankelijke hotfixes te installeren. In de meeste gevallen installeert de installatiewizard alle vereiste toepassingen die nodig zijn om AD FS te gebruiken en te installeren.

Er is echter één uitzondering: wanneer u AD FS installeert op het Windows Server 2008-platform (als een afzonderlijk installatiepakket dat bekend staat als AD FS 2.0). Als dit het geval is in uw implementatiesituatie, moet u eerst controleren of .NET 3.5 SP1 is geïnstalleerd op de servers met Windows Server 2008 voordat u de AD FS 2.0-software installeert, omdat het een vereiste van AD FS 2.0 is en het niet automatisch wordt geïnstalleerd door de AD FS 2.0-installatiewizard op dit platform. Als .NET 3.5 SP1 niet is geïnstalleerd, voorkomt de installatiewizard van AD FS 2.0 de installatie van de AD FS 2.0-software.

Hotfixes

U moet AD FS 2.0 hotfixes installeren nadat u AD FS 2.0 hebt geïnstalleerd. Zie Beschrijving van updatepakket 2 voor Active Directory Federation Services (AD FS) 2.0 voor meer informatie.

Virtualisatie

AD FS ondersteunt softwarevirtualisatie van zowel de federatieserver als federatieserverproxyfuncties. Als u rekening wilt houden met redundantie, raden we u aan elke virtuele AD FS-machine op afzonderlijke, fysieke virtuele servers op te slaan.

Zie de Handleiding voor Hyper-V-Aan de slag voor meer informatie over het instellen van een virtuele serveromgeving met behulp van Microsoft-virtualisatietechnologie.

Certificaatvereisten

Certificaten spelen de belangrijkste rol bij het beveiligen van communicatie tussen federatieservers, webtoepassingsproxy's, federatieserverproxy's, de cloudservice en webclients. De vereisten voor certificaten variëren, afhankelijk van of u een federatieserver, een web-toepassingsproxy of federatieserverproxycomputer instelt, zoals wordt beschreven in de volgende tabellen.

Federatieservercertificaten

Voor federatieservers zijn de certificaten in de volgende tabel vereist.

Certificaattype	Description	Wat u moet weten voordat u implementeert
SSL-certificaat (ook wel een serververificatiecertificaat genoemd) voor AD FS in Windows Server 2012 R2	Dit is een standaard SSL-certificaat (Secure Sockets Layer) dat wordt gebruikt voor het beveiligen van communicatie tussen federatieservers, clients, web-toepassingsproxy en federatieserverproxycomputers.	AD FS vereist een certificaat voor SSL-serververificatie op elke federatieserver in uw federatieserverfarm. Hetzelfde certificaat moet worden gebruikt op elke federatieserver in een farm. U moet zowel over het certificaat als over de persoonlijke sleutel beschikken. Als u bijvoorbeeld het certificaat en de bijbehorende persoonlijke sleutel in een PFX-bestand hebt, kunt u het bestand rechtstreeks importeren in de wizard Active Directory Federation Services Configuratie. Dit SSL-certificaat moet het volgende bevatten: Onderwerpnaam en alternatieve onderwerpnaam moeten de naam van uw federation-service bevatten, zoals fs.contoso.com Alternatieve onderwerpnaam moet de waarde enterpriseregistration bevatten, gevolgd door het UPN-achtervoegsel van uw organisatie, zoals bijvoorbeeld enterpriseregistration.corp.contoso.com
SSL-certificaat (ook wel serververificatiecertificaat genoemd) voor verouderde versies van AD FS	Dit is een standaard Secure Sockets Layercertificate die wordt gebruikt voor het beveiligen van communicatie tussen federatieservers, clients, web-toepassingsproxy en federatieserverproxycomputers.	AD FS vereist een SSL-certificaat bij het configureren van federatieserverinstellingen. AD FS gebruikt standaard het SSL-certificaat dat is geconfigureerd voor de standaardwebsite in Internet Information Services (IIS). De onderwerpnaam van dit SSL-certificaat wordt gebruikt om de naam van de Federation-service te bepalen voor elk exemplaar van AD FS dat u implementeert. Daarom kunt u overwegen een onderwerpnaam te kiezen voor nieuwe certificaten die zijn uitgegeven door certificeringsinstantie (CA) die het beste de naam van uw bedrijf of organisatie vertegenwoordigen voor de cloudservice en deze naam moet routeerbaar zijn. In het diagram dat eerder in dit artikel is opgegeven (zie Fase 2), wordt de onderwerpnaam van het certificaat bijvoorbeeld fs.fabrikam.com. Belangrijk AD FS vereist dat dit SSL-certificaat zonder puntloze (korte naam) onderwerpnaam. Vereist: Omdat dit certificaat moet worden vertrouwd door clients van AD FS en Microsoft-cloudservices, gebruikt u een SSL-certificaat dat is uitgegeven door een openbare (externe) CA of door een CA die ondergeschikt is aan een openbaar vertrouwde basis; Bijvoorbeeld VeriSign of Thawte.
Certificaat voor token-ondertekening	Dit is een standaard X.509-certificaat dat wordt gebruikt voor het veilig ondertekenen van alle tokens die door de federatieserver worden opgegeven en die de cloudservice accepteert en valideert.	Het certificaat voor token-ondertekening moet een persoonlijke sleutel bevatten en aan een vertrouwd basiscertificaat in de Federation Service kunnen worden gekoppeld. Standaard wordt in AD FS een zelfondertekend certificaat gemaakt. Afhankelijk van de behoeften van uw organisatie kunt u dit later wijzigen in een door de CA uitgegeven certificaat met behulp van de MODULE AD FS-beheer. Aanbeveling: Gebruik het zelfondertekende certificaat voor tokenondertekening dat is gegenereerd door AD FS. Als u dit doet, beheert AD FS dit certificaat standaard voor u. Als dit certificaat bijvoorbeeld verloopt, genereert AD FS een nieuw zelfondertekend certificaat dat van tevoren moet worden gebruikt.

SSL-certificaat (ook wel een serververificatiecertificaat genoemd) voor AD FS in Windows Server 2012 R2

Dit is een standaard SSL-certificaat (Secure Sockets Layer) dat wordt gebruikt voor het beveiligen van communicatie tussen federatieservers, clients, web-toepassingsproxy en federatieserverproxycomputers.

AD FS vereist een certificaat voor SSL-serververificatie op elke federatieserver in uw federatieserverfarm. Hetzelfde certificaat moet worden gebruikt op elke federatieserver in een farm. U moet zowel over het certificaat als over de persoonlijke sleutel beschikken. Als u bijvoorbeeld het certificaat en de bijbehorende persoonlijke sleutel in een PFX-bestand hebt, kunt u het bestand rechtstreeks importeren in de wizard Active Directory Federation Services Configuratie. Dit SSL-certificaat moet het volgende bevatten:

Onderwerpnaam en alternatieve onderwerpnaam moeten de naam van uw federation-service bevatten, zoals fs.contoso.com
Alternatieve onderwerpnaam moet de waarde enterpriseregistration bevatten, gevolgd door het UPN-achtervoegsel van uw organisatie, zoals bijvoorbeeld enterpriseregistration.corp.contoso.com

SSL-certificaat (ook wel serververificatiecertificaat genoemd) voor verouderde versies van AD FS

Dit is een standaard Secure Sockets Layercertificate die wordt gebruikt voor het beveiligen van communicatie tussen federatieservers, clients, web-toepassingsproxy en federatieserverproxycomputers.

AD FS vereist een SSL-certificaat bij het configureren van federatieserverinstellingen. AD FS gebruikt standaard het SSL-certificaat dat is geconfigureerd voor de standaardwebsite in Internet Information Services (IIS).

De onderwerpnaam van dit SSL-certificaat wordt gebruikt om de naam van de Federation-service te bepalen voor elk exemplaar van AD FS dat u implementeert. Daarom kunt u overwegen een onderwerpnaam te kiezen voor nieuwe certificaten die zijn uitgegeven door certificeringsinstantie (CA) die het beste de naam van uw bedrijf of organisatie vertegenwoordigen voor de cloudservice en deze naam moet routeerbaar zijn. In het diagram dat eerder in dit artikel is opgegeven (zie Fase 2), wordt de onderwerpnaam van het certificaat bijvoorbeeld fs.fabrikam.com.

Belangrijk

AD FS vereist dat dit SSL-certificaat zonder puntloze (korte naam) onderwerpnaam.

Vereist: Omdat dit certificaat moet worden vertrouwd door clients van AD FS en Microsoft-cloudservices, gebruikt u een SSL-certificaat dat is uitgegeven door een openbare (externe) CA of door een CA die ondergeschikt is aan een openbaar vertrouwde basis; Bijvoorbeeld VeriSign of Thawte.

Certificaat voor token-ondertekening

Dit is een standaard X.509-certificaat dat wordt gebruikt voor het veilig ondertekenen van alle tokens die door de federatieserver worden opgegeven en die de cloudservice accepteert en valideert.

Het certificaat voor token-ondertekening moet een persoonlijke sleutel bevatten en aan een vertrouwd basiscertificaat in de Federation Service kunnen worden gekoppeld. Standaard wordt in AD FS een zelfondertekend certificaat gemaakt. Afhankelijk van de behoeften van uw organisatie kunt u dit later wijzigen in een door de CA uitgegeven certificaat met behulp van de MODULE AD FS-beheer.

Aanbeveling: Gebruik het zelfondertekende certificaat voor tokenondertekening dat is gegenereerd door AD FS. Als u dit doet, beheert AD FS dit certificaat standaard voor u. Als dit certificaat bijvoorbeeld verloopt, genereert AD FS een nieuw zelfondertekend certificaat dat van tevoren moet worden gebruikt.

Waarschuwing

Het certificaat voor tokenondertekening is essentieel voor de stabiliteit van de Federation-service. Als deze wijziging wordt gewijzigd, moet de cloudservice op de hoogte worden gesteld van deze wijziging. Anders mislukken de aanvragen voor de cloudservice. Zie Eigenschappen van de vertrouwensrelatie bijwerken voor meer informatie over het beheren van certificaten in de federatieserverfarm van AD FS en de cloudservice.

Proxycomputercertificaten

Federatieserverproxy's vereisen het certificaat in de volgende tabel.

Certificaattype	Description	Wat u moet weten voordat u implementeert
SSL-certificaat	Dit is een standaard SSL-certificaat dat wordt gebruikt voor het beveiligen van communicatie tussen een federatieserver, federatieserverproxy of web-toepassingsproxy en internetclientcomputers.	Dit is hetzelfde certificaat voor serververificatie als het certificaat dat wordt gebruikt door de federatieservers in het bedrijfsnetwerk. Dit certificaat moet dezelfde onderwerpnaam hebben als het SSL-certificaat dat is geconfigureerd op de federatieserver in het bedrijfsnetwerk. Als u AD FS gebruikt in Windows Server 2008 of Windows Server 2012, moet u dit certificaat installeren op de standaardwebsite van de federatieserverproxycomputer. Als u AD FS gebruikt in Windows Server 2012 R2, moet u dit certificaat importeren in het archief persoonlijke certificaten op de computer die als uw web-toepassingsproxy. Aanbeveling: Gebruik hetzelfde certificaat voor serververificatie als is geconfigureerd op de federatieserver waarmee deze federatieserverproxy of web-toepassingsproxy verbinding maakt.

SSL-certificaat

Dit is een standaard SSL-certificaat dat wordt gebruikt voor het beveiligen van communicatie tussen een federatieserver, federatieserverproxy of web-toepassingsproxy en internetclientcomputers.

Dit is hetzelfde certificaat voor serververificatie als het certificaat dat wordt gebruikt door de federatieservers in het bedrijfsnetwerk. Dit certificaat moet dezelfde onderwerpnaam hebben als het SSL-certificaat dat is geconfigureerd op de federatieserver in het bedrijfsnetwerk.

Als u AD FS gebruikt in Windows Server 2008 of Windows Server 2012, moet u dit certificaat installeren op de standaardwebsite van de federatieserverproxycomputer.

Als u AD FS gebruikt in Windows Server 2012 R2, moet u dit certificaat importeren in het archief persoonlijke certificaten op de computer die als uw web-toepassingsproxy.

Aanbeveling: Gebruik hetzelfde certificaat voor serververificatie als is geconfigureerd op de federatieserver waarmee deze federatieserverproxy of web-toepassingsproxy verbinding maakt.

Zie de AD FS 2.0-ontwerphandleiding of Windows Server 2012 AD FS-ontwerphandleiding voor meer informatie over de certificaten die federatieservers en federatieserverproxy's gebruiken.

Netwerkvereisten

Configureren van de volgende netwerkservices op de juiste wijze is essentieel is voor de implementatie van AD FS in uw organisatie.

TCP/IP-netwerkverbinding

Ad FS werkt alleen als tcp/IP-netwerkverbinding bestaat tussen de client, domeincontrollers, federatieservers en federatieserverproxy's.

DNS

De primaire netwerkservice die essentieel is voor de werking van AD FS, behalve Active Directory, is Domain Name System (DNS). Wanneer DNS is geïmplementeerd, kunnen gebruikers de beschrijvende en eenvoudig te onthouden computernamen gebruiken om verbinding maken met computers en andere bronnen in IP-netwerken.

Het proces voor het bijwerken van DNS ter ondersteuning van AD FS bestaat uit het configureren van:

Interne DNS-servers in het bedrijfsnetwerk om de DNS-naam van het cluster op te lossen naar het IP-adres van het cluster voor het NLB-cluster dat u configureert op de NLB-host van het bedrijfsnetwerk. U kunt bijvoorbeeld fs.fabrikam.com omzetten in 172.16.1.3.
DNS-servers van perimeternetwerk om de DNS-naam van het cluster om te omzetten in het IP-adres van het cluster voor het NLB-cluster dat u configureert op de perimeter-NLB-host. U kunt bijvoorbeeld fs.fabrikam.com omzetten in 192.0.2.3.

NLB-vereisten

NLB is vereist om fouttolerantie, hoge beschikbaarheid en taakverdeling op meerdere knooppunten te bieden. Het kan worden geïmplementeerd met hardware, software of een combinatie van beide. U moet de DNS-resourcerecords configureren op basis van uw Federation Service-naam voor het NLB-cluster, zodat de FQDN(Fully Qualified Domain Name) van het cluster (ook wel cluster-DNS-naam in dit artikel genoemd) wordt omgezet in het IP-adres van het cluster.

Zie Clusterparameters opgeven voor algemene informatie over het IP-adres van het NLB-cluster of de FQDN van het cluster.

Uitgebreide beveiliging gebruiken voor verificatie

Als uw computers uitgebreide beveiliging voor verificatie hebben en u Firefox, Chrome of Safari gebruikt, kunt u zich mogelijk niet aanmelden bij de cloudservice met geïntegreerde Windows-verificatie vanuit het bedrijfsnetwerk. Als deze situatie zich voordoet, kunnen uw gebruikers regelmatig aanmeldingsprompts ontvangen. Dit komt door de standaardconfiguratie (op Windows 7 en gepatchte clientbesturingssystemen) voor AD FS en Uitgebreide beveiliging voor verificatie.

Totdat Firefox, Chrome en Safari uitgebreide beveiliging voor verificatie ondersteunen, is de aanbevolen optie voor alle clients die toegang hebben tot de cloudservice om Windows Internet Explorer 8 te installeren en te gebruiken. Als u eenmalige aanmelding wilt gebruiken voor de cloudservice met Firefox, Chrome of Safari, zijn er twee andere oplossingen die u kunt overwegen. Er kunnen echter beveiligingsproblemen zijn bij het nemen van een van deze benaderingen. Zie Microsoft Security Advisory: Uitgebreide beveiliging voor verificatie voor meer informatie. De oplossingen zijn onder andere:

Verwijder de uitgebreide beveiliging voor verificatiepatches van uw computer.
De uitgebreide beveiliging voor verificatie-instelling op de AD FS-server wijzigen. Zie Geavanceerde opties configureren voor AD FS 2.0 voor meer informatie.
Herconfiguratie van de verificatie-instellingen voor de AD FS-webpagina op elke federatieserver van Geïntegreerde Windows verificatie voor het gebruik van op formulieren gebaseerde verificatie.

Volgende stap

Nu u de vereisten voor het implementeren van AD FS hebt gecontroleerd, is de volgende stap het voorbereiden van uw netwerkinfrastructuur voor federatieservers.

Zie ook

Concepten

Controlelijst: AD FS gebruiken om eenmalige aanmelding te implementeren en beheren

Share via