Hantera och anpassa Active Directory Federation Services (AD FS) med hjälp av Azure AD-Anslut

Den här artikeln beskriver hur du hanterar och anpassar Active Directory Federation Services (AD FS) (AD FS) med hjälp av Azure Active Directory (Azure AD) Anslut. Den innehåller även andra vanliga AD FS som du kan behöva utföra för en fullständig konfiguration av en AD FS servergrupp.

Avsnitt Vad det omfattar
Hantera AD FS
Reparera förtroendet Så här reparerar du federationsförtroende med Microsoft 365.
Federera med Azure AD med hjälp av alternativt inloggnings-ID Konfigurera federation med alternativt inloggnings-ID
Lägga till AD FS server Så här expanderar du AD FS servergrupp med ytterligare en AD FS server.
Lägga till AD FS webb Programproxy server Så här expanderar du AD FS servergrupp med ytterligare en Programproxy (WAP)-server.
Lägga till en federerad domän Så här lägger du till en federerad domän.
Uppdatera TLS/SSL-certifikatet Uppdatera TLS/SSL-certifikatet för en AD FS servergrupp.
Anpassa AD FS
Lägga till en anpassad företagslogotyp eller illustration Anpassa en AD FS inloggningssida med en företagslogotyp och illustration.
Lägga till en inloggningsbeskrivning Så här lägger du till en beskrivning av inloggningssidan.
Ändra AD FS anspråksregler Ändra AD FS för olika federationsscenarier.

Hantera AD FS

Du kan utföra olika AD FS relaterade uppgifter i Azure AD Anslut med minimala användarintera åtgärder med hjälp av Azure AD Anslut guiden. När du har installerat Azure AD Anslut genom att köra guiden kan du köra guiden igen för att utföra ytterligare uppgifter.

Reparera förtroendet

Du kan använda Azure AD Anslut för att kontrollera det aktuella hälsotillståndet för AD FS och Azure AD-förtroende och vidta lämpliga åtgärder för att reparera förtroendet. Följ dessa steg för att reparera ditt Azure AD- AD FS förtroende.

  1. Välj Reparera AAD och ADFS-förtroende i listan över ytterligare uppgifter. Repair AAD and ADFS Trust

  2. På sidan Anslut Azure AD anger du dina autentiseringsuppgifter för global administratör för Azure AD och klickar på Nästa. Screenshot that shows the

  3. På sidan Autentiseringsuppgifter för fjärråtkomst anger du autentiseringsuppgifterna för domänadministratören.

    Screenshot that shows the

    När du klickar på Nästakontrollerar Azure AD Anslut certifikathälsa och visar eventuella problem.

    State of certificates

    sidan Redo att konfigurera visas en lista över åtgärder som ska utföras för att reparera förtroendet.

    Screenshot that shows the

  4. Klicka på Installera för att reparera förtroendet.

Anteckning

Azure AD Anslut kan bara reparera eller agera på certifikat som är själv signerade. Azure AD Anslut kan inte reparera certifikat från tredje part.

Federera med Azure AD med AlternateID

Vi rekommenderar att det lokala UPN(User Principal Name) och molnanvändarhuvudnamnet behålls på samma sätt. Om lokala UPN använder en icke-dirigerbara domän (ex. Contoso.local) eller kan inte ändras på grund av lokala programberoenden, rekommenderar vi att du ställer in alternativt inloggnings-ID. Med alternativt inloggnings-ID kan du konfigurera en inloggningsupplevelse där användare kan logga in med ett annat attribut än sitt UPN, till exempel e-post. Valet för Användarens huvudnamn i Azure AD Anslut som standard till attributet userPrincipalName i Active Directory. Om du väljer något annat attribut för användarens huvudnamn och federerar med hjälp av AD FS, kommer Azure AD Anslut att konfigurera AD FS för alternativt inloggnings-ID. Ett exempel på hur du väljer ett annat attribut för användarens huvudnamn visas nedan:

Alternate ID attribute selection

Konfiguration av alternativt inloggnings-ID för AD FS består av två huvudsteg:

  1. Konfigurera rätt uppsättning utfärdandeanspråk: Anspråksreglernaför utfärdande i azure AD-förlitande partsförtroende ändras så att det valda UserPrincipalName-attributet används som alternativt ID för användaren.

  2. Aktivera alternativt inloggnings-ID iAD FS konfigurationen: AD FS-konfigurationen uppdateras så att AD FS kan söka efter användare i lämpliga skogar med hjälp av det alternativa ID:t. Den här konfigurationen stöds för AD FS på Windows Server 2012 R2 (med KB2919355) eller senare. Om de AD FS servrarna är 2012 R2, kontrollerar Azure AD Anslut om det finns någon kB som krävs. Om KB inte identifieras visas en varning när konfigurationen har slutförts, enligt nedan:

    Warning for missing KB on 2012R2

    Du kan åtgärda konfigurationen om KB saknas genom att installera nödvändig KB2919355 och sedan reparera förtroendet med reparations-AAD och AD FS förtroende.

Anteckning

Mer information om alternateID och steg för att konfigurera manuellt finns i Konfigurera alternativt inloggnings-ID

Lägga till AD FS server

Anteckning

För att lägga AD FS server kräver Azure AD Anslut PFX-certifikatet. Därför kan du bara utföra den här åtgärden om du har konfigurerat AD FS servergrupp med hjälp av Azure AD Anslut.

  1. Välj Distribuera ytterligare en federationsserveroch klicka på Nästa.

    Additional federation server

  2. På sidan Anslut Azure AD anger du dina autentiseringsuppgifter för global administratör för Azure AD och klickar på Nästa.

    Screenshot that shows the

  3. Ange autentiseringsuppgifterna för domänadministratören.

    Domain administrator credentials

  4. Azure AD Anslut frågar efter lösenordet för PFX-filen som du angav när du konfigurerade den nya AD FS-servergruppen med Azure AD Anslut. Klicka på Ange lösenord för att ange lösenordet för PFX-filen.

    Screenshot that shows the

    Screenshot that shows the

  5. På sidan AD FS server anger du det servernamn eller den IP-adress som ska läggas till i AD FS servergrupp.

    AD FS servers

  6. Klicka Nästa och gå igenom den sista sidan Konfigurera. När Azure AD Anslut har lagt till servrarna i AD FS servergrupp kan du välja att verifiera anslutningen.

    Screenshot that shows the

    Screenshot that shows the

Lägga till en AD FS WAP-server

Anteckning

För att lägga till en WAP-server kräver Azure AD Anslut PFX-certifikatet. Därför kan du bara utföra den här åtgärden om du har konfigurerat AD FS servergrupp med hjälp av Azure AD Anslut.

  1. Välj Distribuera Programproxy i listan över tillgängliga uppgifter.

    Deploy Web Application Proxy

  2. Ange autentiseringsuppgifterna för global Azure-administratör.

    Screenshot that shows the

  3. På sidan Ange SSL-certifikat anger du lösenordet för PFX-filen som du angav när du konfigurerade AD FS servergrupp med Azure AD Anslut. Certificate password

    Specify TLS/SSL certificate

  4. Lägg till servern som ska läggas till som en WAP-server. Eftersom WAP-servern kanske inte är ansluten till domänen frågar guiden efter administrativa autentiseringsuppgifter för servern som läggs till.

    Administrative server credentials

  5. På sidan Autentiseringsuppgifter för proxyförtroende anger du administrativa autentiseringsuppgifter för att konfigurera proxyförtroende och få åtkomst till den primära servern i AD FS servergrupp.

    Proxy trust credentials

  6. På sidan Klart att konfigurera visar guiden en lista över åtgärder som ska utföras.

    Screenshot that shows the

  7. Slutför konfigurationen genom att klicka på Installera. När konfigurationen är klar ger guiden dig möjlighet att verifiera anslutningen till servrarna. Klicka på Verifiera för att kontrollera anslutningen.

    Installation complete

Lägga till en federerad domän

Det är enkelt att lägga till en domän som ska federeras med Azure AD med hjälp av Azure AD Anslut. Azure AD Anslut lägger till domänen för federation och ändrar anspråksreglerna för att korrekt återspegla utfärdaren när du har flera domäner som är federerade med Azure AD.

  1. Om du vill lägga till en federerad domän väljer du uppgiften Lägg till ytterligare en Azure AD-domän.

    Additional Azure AD domain

  2. På nästa sida i guiden anger du autentiseringsuppgifterna för global administratör för Azure AD.

    Connect to Azure AD

  3. På sidan Autentiseringsuppgifter för fjärråtkomst anger du autentiseringsuppgifterna för domänadministratören.

    Remote access credentials

  4. På nästa sida innehåller guiden en lista över Azure AD-domäner som du kan federera din lokala katalog med. Välj domänen i listan.

    Azure AD domain

    När du har valt domän ger guiden lämplig information om ytterligare åtgärder som guiden ska vidta och hur konfigurationen påverkar. Om du i vissa fall väljer en domän som ännu inte har verifierats i Azure AD innehåller guiden information som hjälper dig att verifiera domänen. Mer information finns i Lägga till ditt Azure Active Directory domännamn.

  5. Klicka på Nästa. På sidan Redo att konfigurera visas en lista över åtgärder som Azure AD Anslut kommer att utföra. Slutför konfigurationen genom att klicka på Installera.

    Ready to configure

Anteckning

Användare från den tillagda federerade domänen måste synkroniseras innan de kan logga in på Azure AD.

AD FS-anpassning

Följande avsnitt innehåller information om några av de vanliga uppgifter som du kan behöva utföra när du anpassar AD FS inloggningssidan.

Om du vill ändra logotypen för företaget som visas på inloggningssidan använder du följande Windows PowerShell cmdlet och syntax.

Anteckning

De rekommenderade måtten för logotypen är 260 x 35 vid 96 dpi med en filstorlek som inte är större än 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Anteckning

Parametern TargetName krävs. Standardtemat som lanseras med AD FS heter Standard.

Lägga till en inloggningsbeskrivning

Om du vill lägga till en beskrivning av inloggningssidan på inloggningssidananvänder du följande Windows PowerShell och syntax.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Click <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Ändra AD FS anspråksregler

AD FS har stöd för ett omfattande anspråksspråk som du kan använda för att skapa anpassade anspråksregler. Mer information finns i Rollen för anspråksregelspråket.

I följande avsnitt beskrivs hur du kan skriva anpassade regler för vissa scenarier som är relaterade till Azure AD och AD FS federation.

Oföränderligt ID som villkor för att ett värde finns i attributet

Med Azure AD Anslut kan du ange ett attribut som ska användas som en källankare när objekt synkroniseras till Azure AD. Om värdet i det anpassade attributet inte är tomt kan du utfärda ett oföränderligt ID-anspråk.

Du kan till exempel välja ms-ds-consistencyguid som attribut för källankaren och utfärda ImmutableIDsom ms-ds-consistencyguid om attributet har ett värde mot det. Om det inte finns något värde mot attributet utfärdar du objectGuid som det oföränderliga ID:t. Du kan skapa en uppsättning anpassade anspråksregler enligt beskrivningen i följande avsnitt.

Regel 1: Frågeattribut

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

I den här regeln kör du frågor mot värdena för ms-ds-consistencyguid och objectGuid för användaren från Active Directory. Ändra butiksnamnet till ett lämpligt butiksnamn i AD FS distributionen. Ändra också anspråkstypen till en korrekt anspråkstyp för din federation, enligt definitionen för objectGuidoch ms-ds-consistencyguid.

Genom att använda Lägg till och inte utfärdaundviker du dessutom att lägga till ett utgående problem för entiteten och kan använda värdena som mellanliggande värden. Du kommer att utfärda anspråket i en senare regel när du har fastställa vilket värde som ska användas som det oföränderliga ID:t.

Regel 2: Kontrollera om ms-ds-consistencyguid finns för användaren

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Den här regeln definierar en tillfällig flagga med namnet idflag som är inställd på useguid om det inte finns någon ms-ds-consistencyguid ifylld för användaren. Logiken bakom detta är det faktum AD FS inte tillåter tomma anspråk. Så när du lägger till anspråk och i regel 1 får du bara ett http://contoso.com/ws/2016/02/identity/claims/objectguidhttp://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguidhttp://contoso.com/ws/2016/02/identity/claims/objectguid om värdet fylls i för användaren. Om den inte är ifylld ser AD FS att den har ett tomt värde och släpper det omedelbart. Alla objekt har objectGuid, så att anspråket alltid finns där när regel 1 har körts.

Regel 3: Utfärda ms-ds-consistencyguid som oföränderligt ID om det finns

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Det här är en implicit exist-kontroll. Om värdet för anspråket finns utfärdar du det som det oföränderliga ID:t. I föregående exempel används anspråket nameidentifier. Du måste ändra detta till lämplig anspråkstyp för det oföränderliga ID:t i din miljö.

Regel 4: Utfärda objectGuid som oföränderligt ID om ms-ds-consistencyGuid inte finns

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

I den här regeln kontrollerar du helt enkelt den tillfälliga flaggan idflag. Du bestämmer om anspråket ska utfärdas baserat på dess värde.

Anteckning

Sekvensen för dessa regler är viktig.

Enkel inloggning med en UNDERDOMÄN UPN

Du kan lägga till fler än en domän som ska federeras med hjälp av Azure AD Anslut enligt beskrivningen i Lägga till en ny federerad domän. Azure AD Anslut version 1.1.553.0 och senaste skapar automatiskt rätt anspråksregel för issuerID. Om du inte kan använda Azure AD Anslut version 1.1.553.0 eller senaste rekommenderar vi att verktyget Azure AD RPT-anspråksregler används för att generera och ange rätt anspråksregler för azure AD-förlitande partsförtroende.

Nästa steg

Läs mer om alternativ för användar inloggning.