Обзор требований для развертывания служб федерации Active Directory

Назначение: Azure, Office 365, Power BI, Windows Intune

Чтобы в новом развертывании служб федерации Active Directory (AD FS) создать доверительное отношение с отвечающей стороной с помощью Active Directory Azure, необходимо сначала убедиться, что сетевая инфраструктура компании соответствует требованиям AD FS для учетных записей, разрешения имен и сертификатов. AD FS предусматривает следующие типы требований.

  • Требования к ПО

  • Требования к сертификатам

  • Требования к сети

Требования к ПО

Программное обеспечение AD FS должно быть установлено на всех компьютерах, на которых будет реализована роль сервера федерации или прокси-сервера федерации. Вы можете установить это программное обеспечение, используя мастер установки AD FS или параметр adfssetup.exe /quiet в командной строке.

Для базовой установки AD FS требуется операционная система Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2. Службы AD FS имеют отдельный пакет установки для операционных систем Windows Server 2008, Windows Server 2008 R2 (как правило называемый CЛУЖБЫ ФЕДЕРАЦИИ ACTIVE DIRECTORY 2.0), и они также могут быть установлены посредством добавления роли сервера "Служба федерации" в рамках операционной системы Windows Server 2012 или Windows Server 2012 R2.

Если вы используете AD FS 2.0 или AD FS в Windows Server 2012, развертывание и настройка прокси-серверов федерации осуществляется в рамках применения решения SSO.

При использовании AD FS в Windows Server 2012 R2 выполняется развертывание прокси-серверов веб-приложений с целью настройки внешнего доступа к развертыванию AD FS. В Windows Server 2012 R2 для обеспечения доступности AD FS извне сети организации используется новая служба роли удаленного доступа. Дополнительные сведения см. в статье Обзор прокси-серверов веб-приложений.

Предварительные требования

В процессе установки AD FS мастер установки пытается автоматически проверить и при необходимости установить необходимые приложения и соответствующие исправления. В большинстве случаев, мастер установки устанавливает все компоненты, необходимые для выполнения и установки AD FS.

Существует одно исключение: при установке AD FS на платформе Windows Server 2008 (в качестве отдельного пакета установки, известного как AD FS 2.0). Если это относится к вашей установке, сначала необходимо убедиться, что на серверах с Windows Server 2008 установлена технология .NET 3.5 с пакетом обновления 1 (SP1), прежде чем устанавливать программное обеспечение CЛУЖБЫ ФЕДЕРАЦИИ ACTIVE DIRECTORY 2.0, так как это обязательный компонент CЛУЖБЫ ФЕДЕРАЦИИ ACTIVE DIRECTORY 2.0, и он не устанавливается автоматически мастером установки CЛУЖБЫ ФЕДЕРАЦИИ ACTIVE DIRECTORY 2.0 на этой платформе. Если технология .NET 3.5 SP1 не установлена, мастер установки CЛУЖБЫ ФЕДЕРАЦИИ ACTIVE DIRECTORY 2.0 прервет установку программного обеспечения CЛУЖБЫ ФЕДЕРАЦИИ ACTIVE DIRECTORY 2.0.

Исправления

После установки CЛУЖБЫ ФЕДЕРАЦИИ ACTIVE DIRECTORY 2.0 необходимо установить исправления CЛУЖБЫ ФЕДЕРАЦИИ ACTIVE DIRECTORY 2.0. Подробнее см. в Описании накопительного пакета обновлений 2 для служб федерации Active Directory (AD FS) 2.0.

Виртуализация

AD FS поддерживает виртуализацию программного обеспечения для роли сервера федерации и роли прокси-сервера федерации. В целях обеспечения избыточности, рекомендуем хранить каждую виртуальную машину AD FS на отдельных физических виртуальных серверах.

Дополнительные сведения о настройке среды виртуального сервера с использованием технологии виртуализации Майкрософт см. в Руководстве по началу работы с Hyper-V.

Требования к сертификатам

Сертификаты играют наиболее важную роль в обеспечении безопасности соединений между серверами федерации, прокси-серверами веб-приложений, прокси-серверами федерации, облачной службы и веб-клиентами. Требования для сертификатов могут быть различными, в зависимости от того, настраиваете ли вы сервер федерации, прокси-сервер веб-приложения или компьютер прокси-сервера федерации, в соответствии с описанием в следующих таблицах.

Сертификаты сервера федерации

Для серверов федерации требуются сертификаты, указанные в следующей таблице.

Тип сертификата Описание Что нужно знать перед развертыванием

Сертификат SSL (также называется сертификатом проверки подлинности сервера) для AD FS в Windows Server 2012 R2

Это сертификат SSL, используемый для обеспечения безопасности соединений между серверами федерации, клиентами, прокси-серверами веб-приложений и компьютерами прокси-серверов федерации.

AD FS требует сертификат проверки подлинности SSL на каждом сервере федерации в ферме серверов федерации. Такой же сертификат должен использоваться на всех серверах федерации в ферме. Необходимо наличие самого сертификата, а также его закрытого ключа. Например, если у вас есть сертификат и соответствующий закрытый ключ в файле PFX, вы сможете импортировать файл напрямую в Мастер конфигурации служб федерации Active Directory. Сертификат SSL должен содержать следующие данные.

  1. Имя субъекта и альтернативное имя субъекта должны содержать имя службы федерации, например fs.contoso.com.

  2. Альтернативное имя субъекта должно содержать значение enterpriseregistration, после которого должен быть указан суффикс UPN организации, например, enterpriseregistration.corp.contoso.com.

Сертификат SSL (также называется сертификатом проверки подлинности сервера) для старых версий AD FS

Это сертификат SSL, используемый для обеспечения безопасности соединений между серверами федерации, клиентами, прокси-серверами веб-приложений и компьютерами прокси-серверов федерации.

Для AD FS при настройке параметров сервера федерации необходим сертификат SSL. Для AD FS по умолчанию используется сертификат SSL, созданный для веб-сайта по умолчанию в службах IIS.

Имя субъекта в данном сертификате SSL используется для определения имени службы федерации для каждого экземпляра AD FS, который вы развертываете. По этой причине вам может понадобиться выбирать в новых сертификатах, выпущенных центром сертификации (ЦС), такое имя субъекта, которое наилучшим образом отражает имя вашей компании или организации в облачной службы, и данное имя должно быть маршрутизируемым через Интернет. Например, на схеме, представленной ранее в этой статье (см. "Этап 2") имя субъекта сертификата имеет вид "fs.fabrikam.com".

ImportantВажно!
Для AD FS необходимо, чтобы в этом сертификате SSL не указывалось имя субъекта, не содержащее точек (короткое имя).

Обязательно. Поскольку этому сертификату должны доверять клиенты AD FS и облачных служб Майкрософт, следует использовать SSL-сертификат, выданный общедоступным (сторонним) центром сертификации или центром, подчиняющимся доверенному корневому центру сертификации, например VeriSign или Thawte.

Сертификат для подписи маркера

Это стандартный сертификат X.509, используемый для безопасной подписи всех токенов, выпускаемых сервером федерации, которые будут приниматься и проверяться облачной службы.

Сертификат токенов должен содержать закрытый ключ и быть связан с доверенным корневым ЦС в службе федерации. AD FS по умолчанию создает самозаверяющий сертификат. Однако, в зависимости от требований вашей организации, его в дальнейшем можно заменить на сертификат, выпускаемый ЦС, используя оснастку управления AD FS.

Рекомендация. Используйте самозаверяющий сертификат для подписи токенов, созданный AD FS. Посредством этого AD FS по умолчанию самостоятельно управляет данным сертификатом. Например, в случае окончания срока действия этого сертификата AD FS заблаговременно создает новый самозаверяющий сертификат.

Предупреждение

сертификат для подписи токена является важным компонентом, с точки зрения стабильности службы федерации. В случае его изменения облачной службы необходимо оповестить об этом. В противном случае, запросы в облачной службы будут завершаться неудачей. Дополнительные сведения об управлении сертификатами на фермер серверов федерации AD FS и облачной службы см. в разделе Update trust properties.

Сертификаты прокси-компьютера

Для прокси-серверов федерации требуется сертификат, указанный в следующей таблице.

Тип сертификата Описание Что нужно знать перед развертыванием

SSL-сертификат

Это стандартный SSL-сертификат, используемый для обеспечения безопасности соединений между сервером федерации, прокси-сервером федерации или прокси-сервером приложений и компьютерами-клиентами в Интернете.

Это тот же сертификат проверки подлинности сервера, который используется серверами федерации в корпоративной сети. В этом сертификате должно быть указано такое же имя субъекта, как у сертификата SSL, настроенного на сервере федерации в корпоративной сети.

При использовании служб федерации Active Directory в Windows Server 2008 или Windows Server 2012 этот сертификат необходимо установить на веб-сайте по умолчанию на компьютере прокси-сервера федерации.

При использовании служб федерации Active Directory в Windows Server 2012 R2 этот сертификат необходимо импортировать в хранилище личных сертификатов на компьютере, на котором будет работать прокси-служба веб-приложения.

Рекомендация. Используйте тот же сертификат проверки подлинности сервера, который настроен на сервере федерации, к которому будет подключаться данный прокси-сервер федерации или прокси-сервер веб-приложений.

Дополнительные сведения о сертификатах, используемых серверами федерации и прокси-серверами федерации, см. в разделе Руководство по проектированию AD FS 2.0 или Руководстве по проектированию AD FS в Windows Server 2012.

Требования к сети

Надлежащая настройка следующих сетевых служб является необходимым условием для успешного развертывания AD FS в организации.

Сетевые соединения TCP/IP

Для работы AD FS между клиентом, контроллерами домена, серверами федерации и прокси-серверами федерации должны быть настроены сетевые подключения TCP/IP.

DNS

Основной сетевой службой, отвечающей за функционирование AD FS, помимо Active Directory , является служба доменных имен (DNS). Если DNS установлена и работает, пользователи могут подключаться к компьютерам и другим ресурсам в сети IP, используя понятные имена компьютеров, которые легко запомнить.

Процесс обновления DNS для поддержки AD FS заключается в настройке следующих элементов.

  • Внутренние DNS-серверы в корпоративной сети для разрешения DNS-имени кластера в IP-адрес для кластера NLB, настроенного на узле NLB в корпоративной сети. Например, для разрешения fs.fabrikam.com в 172.16.1.3.

  • DNS-серверы сети периметра для разрешения DNS-имени кластера в IP-адрес для кластера NLB, настроенного на узле NLB периметра. Например, для разрешения fs.fabrikam.com в 192.0.2.3.

Требования NLB

NLB требуется для обеспечения отказоустойчивости, высокого уровня доступности и балансировки нагрузки между несколькими узлами. NLB может быть реализована с помощью оборудования и/или программного обеспечения. Необходимо настроить записи ресурсов DNS для кластера NLB в соответствии с именем службы федерации так, чтобы полное доменное имя (FQDN) кластера (в этой статье также называется DNS-именем кластера) разрешалось в соответствующий IP-адрес кластера.

Общие сведения об IP-адресе кластера NLB или FQDN кластера см. в разделе Настройка параметров кластера.

Использование расширенной защиты для проверки подлинности

Если на компьютерах установлена расширенная защита для проверки подлинности, и используется браузер Firefox, Chrome или Safari, вход в облачной службы с использованием встроенной проверки подлинности Windows из корпоративной сети может быть невозможен. При возникновении такой ситуации пользователи могут систематически получать запросы на вход в систему. Это происходит из-за настроек по умолчанию (в Windows 7 и операционных системах клиентов с установленным исправлением) AD FS и расширенной защиты для проверки подлинности.

До тех пор, пока в Firefox, Chrome и Safari не будет реализована расширенная защита для проверки подлинности, рекомендуется установить и использовать облачной службы для всех клиентов, осуществляющих доступ к Windows Internet Explorer 8. Существуют два других решения, позволяющие использовать единый вход в систему для облачной службы с Firefox, Chrome или Safari. Однако использование этих подходов может быть небезопасным. Дополнительные сведения см. в Советах по безопасности от Майкрософт. Расширенная защита для проверки подлинности. Доступны следующие решения.

  • Удаление исправлений расширенной защиты для проверки подлинности, установленных на компьютере.

  • Изменение параметра "Расширенная защита для проверки подлинности" на сервере AD FS. Дополнительные сведения см. в разделе Настройка расширенных параметров AD FS 2.0.

  • Изменение параметров проверки подлинности для веб-страницы AD FS на каждом сервере федерации для перехода со встроенной проверки подлинности Windows на проверку подлинности с использованием форм.

Дальнейшие действия

Теперь, после изучения требований к развертыванию AD FS, можно перейти к следующему этапу – Подготовка инфраструктуры сети для серверов федерации.

См. также

Основные понятия

Контрольный список Использование службы федерации Active Directory для реализации и управления единым входом