Microsoft Entra Bağlan kullanarak AD FS'i yönetme ve özelleştirme

Bu makalede, Microsoft Entra Bağlan kullanarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) nasıl yönetileceği ve özelleştirileceği açıklanır.

Ayrıca, bir AD FS grubu tamamen yapılandırmak için gerçekleştirmeniz gerekebilecek diğer yaygın AD FS görevleri hakkında da bilgi edineceksiniz. Bu görevler aşağıdaki tabloda listelenmiştir:

Görev	Açıklama
AD FS'leri yönetme
Güveni onarma	Microsoft 365 ile federasyon güvenini onarmayı öğrenin.
Alternatif bir oturum açma kimliği kullanarak Microsoft Entra Id ile federasyon	Alternatif bir oturum açma kimliği kullanarak federasyonu yapılandırmayı öğrenin.
AD FS sunucusu ekleme	Ek AD FS sunucusuyla AD FS grubu genişletmeyi öğrenin.
AD FS Web Uygulama Ara Sunucusu (WAP) sunucusu ekleme	Ek BIR WAP sunucusuyla AD FS grubu genişletmeyi öğrenin.
Federasyon etki alanı ekleme	Federasyon etki alanı eklemeyi öğrenin.
TLS/SSL sertifikasını güncelleştirme	BIR AD FS grubu için TLS/SSL sertifikasını güncelleştirmeyi öğrenin.
AD FS'i özelleştirme
Özel şirket logosu veya çizimi ekleme	Ad FS oturum açma sayfasını şirket logosu ve çizimiyle özelleştirmeyi öğrenin.
Oturum açma açıklaması ekleme	Oturum açma sayfası açıklaması eklemeyi öğrenin.
AD FS talep kurallarını değiştirme	Çeşitli federasyon senaryoları için AD FS taleplerini değiştirmeyi öğrenin.

AD FS'leri yönetme

Microsoft Entra Bağlan sihirbazını kullanarak, Microsoft Entra Bağlan'da AD FS ile ilgili çeşitli görevleri en az kullanıcı müdahalesiyle gerçekleştirebilirsiniz. Sihirbazı çalıştırarak Microsoft Entra Bağlan yüklemeyi tamamladıktan sonra, diğer görevleri gerçekleştirmek için yeniden çalıştırabilirsiniz.

Güveni onarma

AD FS ve Microsoft Entra ID güveninin geçerli durumunu denetlemek ve ardından güveni onarmak için uygun eylemleri yapmak için Microsoft Entra Bağlan kullanabilirsiniz. Microsoft Entra Id ve AD FS güveninizi onarmak için aşağıdakileri yapın:

1. Görev listesinden Microsoft Entra Kimliğini ve ADFS Güvenini Onar'ı seçin.

   

2. Microsoft Entra Id'ye Bağlan sayfasında, Microsoft Entra Id için Karma Kimlik Yönetici istrator kimlik bilgilerinizi sağlayın ve İleri'yi seçin.

   

3. Uzaktan erişim kimlik bilgileri sayfasında, etki alanı yöneticisinin kimlik bilgilerini girin.

   

4. İleri'yi seçin.

   Microsoft Entra Bağlan sertifika durumunu denetler ve sorunları gösterir.

   

   Yapılandırmaya hazır sayfası, güveni onarmak için gerçekleştirilecek eylemlerin listesini gösterir.

   

5. Güveni onarmak için Yükle'yi seçin.

Dekont

Microsoft Entra Bağlan yalnızca otomatik olarak imzalanan sertifikaları onarabilir veya üzerinde işlem yapabilir. Microsoft Entra Bağlan üçüncü taraf sertifikaları onaramaz.

AlternateID kullanarak Microsoft Entra ID ile federasyon

Şirket içi Kullanıcı Asıl Adı (UPN) ve bulut Kullanıcı Asıl Adı'nı aynı tutmanızı öneririz. Şirket içi UPN yönlendirilemeyen bir etki alanı (örneğin, Contoso.local) kullanıyorsa veya yerel uygulama bağımlılıkları nedeniyle değiştirilemiyorsa, alternatif bir oturum açma kimliği ayarlamanızı öneririz. Alternatif bir oturum açma kimliği kullanarak, kullanıcıların UPN'leri dışında bir öznitelikle (örneğin, e-posta adresi) oturum açabilecekleri bir oturum açma deneyimi yapılandırabilirsiniz.

Microsoft Entra Bağlan'da UPN seçimi, varsayılan olarak Active Directory'deki userPrincipalName özniteliğidir. UPN için başka bir öznitelik seçerseniz ve AD FS kullanarak federasyon kuruyorsanız, Microsoft Entra Bağlan AD FS'yi alternatif bir oturum açma kimliği için yapılandırıyor.

Aşağıdaki görüntüde UPN için farklı bir öznitelik seçme örneği gösterilmiştir:

AD FS için alternatif bir oturum açma kimliği yapılandırmak iki ana adımdan oluşur:

1. Doğru verme talepleri kümesini yapılandırın: Microsoft Entra Id bağlı olan taraf güvenindeki verme talep kuralları, kullanıcının alternatif kimliği olarak seçilen UserPrincipalName özniteliğini kullanacak şekilde değiştirilir.

2. AD FS yapılandırmasında alternatif bir oturum açma kimliği etkinleştirin: AD FS yapılandırması, AD FS'nin alternatif kimliği kullanarak kullanıcıları uygun ormanlarda arayabilmesi için güncelleştirilir. Bu yapılandırma, Windows Server 2012 R2 (KB2919355 ile) veya sonraki sürümlerde AD FS için desteklenir. AD FS sunucuları 2012 R2 ise, Microsoft Entra Bağlan gerekli KB'nin olup olmadığını denetler. KB algılanmazsa, aşağıdaki görüntüde gösterildiği gibi yapılandırma tamamlandıktan sonra bir uyarı görüntülenir:

   

   Eksik bir KB varsa, gerekli KB2919355 yükleyerek yapılandırmayı düzeltebilirsiniz. Ardından güveni onarma başlığındaki yönergeleri izleyebilirsiniz.

Dekont

AlternateID ve el ile yapılandırma adımları hakkında daha fazla bilgi için bkz . Alternatif oturum açma kimliği yapılandırma.

AD FS sunucusu ekleme

Dekont

AD FS sunucusu eklemek için Microsoft Entra Bağlan bir PFX sertifikası gerektirir. Bu nedenle, bu işlemi yalnızca MICROSOFT Entra Bağlan kullanarak AD FS grubu yapılandırdıysanız gerçekleştirebilirsiniz.

1. Ek federasyon sunucusu dağıt'ı ve ardından İleri'yi seçin.

   

2. Microsoft Entra Id'ye Bağlan sayfasında, Microsoft Entra Id için Karma Kimlik Yönetici istrator kimlik bilgilerinizi girin ve İleri'yi seçin.

   

3. Etki alanı yöneticisi kimlik bilgilerini sağlayın.

   

4. Microsoft Entra Bağlan, yeni AD FS grubunuzu Microsoft Entra Bağlan ile yapılandırırken sağladığınız PFX dosyasının parolasını sorar. PFX dosyasının parolasını sağlamak için ParolaYı Girin'i seçin.

   

   

5. AD FS Sunucuları sayfasında, AD FS grubuna eklenecek sunucu adını veya IP adresini girin.

   

6. İleri'yi seçin ve son Yapılandır sayfasını tamamlamaya devam edin.

   Microsoft Entra Bağlan sunucuları AD FS grubuna eklemeyi tamamladıktan sonra, bağlantıyı doğrulama seçeneği size verilir.

   

   

AD FS WAP sunucusu ekleme

Dekont

Web Uygulama Ara Sunucusu sunucusu eklemek için Microsoft Entra Bağlan PFX sertifikası gerektirir. Bu nedenle, bu işlemi yalnızca Microsoft Entra Bağlan kullanarak AD FS grubu yapılandırdıktan sonra gerçekleştirebilirsiniz.

1. Kullanılabilir görevler listesinden Web Uygulama Ara Sunucusu Dağıt'ı seçin.

   

2. Azure Hibrit Kimlik Yönetici istrator kimlik bilgilerini sağlayın.

   

3. SSL sertifikasını belirtin sayfasında, AD FS grubu Microsoft Entra Bağlan ile yapılandırılırken sağladığınız PFX dosyasının parolasını girin.

   

4. WaP sunucusu olarak eklenecek sunucuyu ekleyin. WAP sunucusu etki alanına katılmayabileceği için sihirbaz, eklenen sunucuya yönetici kimlik bilgilerini sorar.

   

5. Ara sunucu güveni kimlik bilgileri sayfasında, ara sunucu güvenini yapılandırmak ve AD FS grubundaki birincil sunucuya erişmek için yönetici kimlik bilgilerini sağlayın.

   

6. Yapılandırmaya hazır sayfasında, sihirbaz gerçekleştirilecek eylemlerin listesini gösterir.

   

7. Yapılandırmayı tamamlamak için Yükle'yi seçin. Yapılandırma tamamlandıktan sonra sihirbaz, sunuculara bağlantıyı doğrulama seçeneği sunar. Bağlantıyı denetlemek için Doğrula'yı seçin.

   

Federasyon etki alanı ekleme

Microsoft Entra Bağlan kullanarak Microsoft Entra Id ile federasyon için bir etki alanı eklemek kolaydır. Microsoft Entra Bağlan, federasyon için etki alanını ekler ve Microsoft Entra Id ile birleştirilmiş birden çok etki alanınız olduğunda talep kurallarını vereni doğru yansıtacak şekilde değiştirir.

1. Federasyon etki alanı eklemek için Ek bir Microsoft Entra etki alanı ekle'yi seçin.

   

2. Sihirbazın sonraki sayfasında, Microsoft Entra Id için genel yönetici kimlik bilgilerini sağlayın.

   

3. Uzaktan erişim kimlik bilgileri sayfasında etki alanı yöneticisi kimlik bilgilerini sağlayın.

   

4. Sonraki sayfada sihirbaz, şirket içi dizininizi federasyona ekleyebileceğiniz Microsoft Entra etki alanlarının listesini sağlar. Listeden etki alanını seçin.

   

   Etki alanını seçtikten sonra sihirbaz, gerçekleştireceği diğer eylemler ve yapılandırmanın etkisi hakkında sizi bilgilendirecektir. Bazı durumlarda, Henüz Microsoft Entra Id'de doğrulanmamış bir etki alanı seçerseniz, sihirbaz etki alanını doğrulamanıza yardımcı olur. Daha fazla bilgi için bkz . Özel etki alanı adınızı Microsoft Entra Id'ye ekleme.

5. İleri'yi seçin.

   Yapılandırmaya hazır sayfasında Microsoft Entra Bağlan'ın gerçekleştireceği eylemler listelenir.

   

6. Yapılandırmayı tamamlamak için Yükle'yi seçin.

Dekont

Eklenen federasyon etki alanındaki kullanıcıların Microsoft Entra Kimliği'nde oturum açabilmesi için önce eşitlenmesi gerekir.

AD FS'i özelleştirme

Aşağıdaki bölümlerde, AD FS oturum açma sayfanızı özelleştirmek için gerçekleştirmeniz gerekebilecek bazı yaygın görevlerle ilgili ayrıntılar sağlanır.

Özel şirket logosu veya çizimi ekleme

Oturum açma sayfasında görüntülenen şirketin logosunu değiştirmek için aşağıdaki PowerShell cmdlet'ini ve söz dizimini kullanın.

Dekont

Logo için önerilen boyutlar 260 x 35 @ 96 dpi'dır ve dosya boyutu 10 KB'tan büyük değildir.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Dekont

TargetName parametresi gereklidir. AD FS ile yayımlanan varsayılan tema Varsayılan olarak adlandırılır.

Oturum açma açıklaması ekleme

Oturum açma sayfasına oturum açma sayfası açıklaması eklemek için aşağıdaki PowerShell cmdlet'ini ve söz dizimini kullanın.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

AD FS talep kurallarını değiştirme

AD FS, özel talep kuralları oluşturmak için kullanabileceğiniz zengin bir talep dilini destekler. Daha fazla bilgi için bkz . Talep Kuralı Dilinin Rolü.

Aşağıdaki bölümlerde, Microsoft Entra Id ve AD FS federasyonuyla ilgili bazı senaryolar için nasıl özel kurallar yazabileceğiniz açıklanmaktadır.

Özniteliğinde mevcut olan bir değere koşullu sabit kimlik

Microsoft Entra Bağlan, nesneler Microsoft Entra Id ile eşitlendiğinde kaynak bağlantı olarak kullanılacak bir öznitelik belirtmenize olanak tanır. Özel öznitelikteki değer boş değilse sabit bir kimlik talebi vermek isteyebilirsiniz.

Örneğin, kaynak bağlantı için özniteliğini seçebilir ms-ds-consistencyguid ve özniteliğin bir değeri olması durumunda olduğu gibi ms-ds-consistencyguid SabitKimliği sorununu çözebilirsiniz. Özniteliğine karşı bir değer yoksa sabit kimlik olarak sorun objectGuid . Aşağıdaki bölümde açıklandığı gibi özel talep kuralları kümesini oluşturabilirsiniz.

Kural 1: Sorgu öznitelikleri

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

Bu kuralda, Active Directory'den kullanıcı için ve objectGuid değerlerini ms-ds-consistencyguid sorgulaacaksınız. AD FS dağıtımınızda mağaza adını uygun bir mağaza adıyla değiştirin. Ayrıca talep türünü ve ms-ds-consistencyguidiçin tanımlandığı şekilde federasyonunuz için uygun bir talep türüyle objectGuid değiştirin.

Ayrıca, kullanıp add kullanmadığınızda issue, varlık için giden bir sorun eklemekten kaçınabilir ve değerleri ara değerler olarak kullanabilirsiniz. sabit kimlik olarak hangi değeri kullanacağınızı belirledikten sonra talebi sonraki bir kuralda yayımlayacaksınız.

Kural 2: Kullanıcı için ms-ds-consistencyguid olup olmadığını denetleyin

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Bu kural, kullanıcı için doldurulmadıysa ms-ds-consistencyguid olarak ayarlanmış useguid olarak adlandırılan idflag geçici bir bayrak tanımlar. Bunun ardındaki mantık, AD FS'nin boş taleplere izin vermemesidir. Talep http://contoso.com/ws/2016/02/identity/claims/objectguid eklediğinizde ve http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid Kural 1'de, yalnızca değer kullanıcı için doldurulduğunda msdsconsistencyguid talebiyle sonuçlanır. Doldurulmazsa AD FS boş bir değere sahip olacağını görür ve hemen bırakır. Kural 1 yürütüldükten sonra bu talep her zaman orada olacak şekilde tüm nesnelere sahip objectGuidolur.

Kural 3: Varsa sabit kimlik olarak ms-ds-consistencyguid sorunu

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Bu örtük Exist bir denetimdir. Talebin değeri varsa sabit kimlik olarak verin. Önceki örnekte talep kullanılır nameidentifier . Bunu ortamınızdaki sabit kimlik için uygun talep türüyle değiştirmeniz gerekir.

Kural 4: ms-ds-consistencyGuid yoksa objectGuid'i sabit kimlik olarak sorun

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Bu kuralla, yalnızca geçici bayrağını idflagdenetlersiniz. Talebin değerine göre verilip verilmeyeceğine siz karar verirsiniz.

Dekont

Bu kuralların sırası önemlidir.

Alt etki alanı UPN'siyle SSO

Yeni federasyon etki alanı ekleme bölümünde açıklandığı gibi Microsoft Entra Bağlan kullanarak federasyon için birden fazla etki alanı ekleyebilirsiniz. Microsoft Entra Bağlan 1.1.553.0 ve sonraki sürümleri için issuerID otomatik olarak doğru talep kuralını oluşturun. Microsoft Entra Bağlan sürüm 1.1.553.0 veya üzerini kullanamıyorsanız, Microsoft Entra ID bağlı olan taraf güveni için doğru talep kuralları oluşturmak ve ayarlamak için Microsoft Entra RPT Talep Kuralları aracını kullanmanızı öneririz.

Sonraki adımlar

Kullanıcı oturum açma seçenekleri hakkında daha fazla bilgi edinin.