在 Azure 中部署 Active Directory 联合身份验证服务
Active Directory 联合身份验证服务 (AD FS) 提供了简便而安全的联合身份验证和 Web 单一登录 (SSO) 功能。 通过 Microsoft Entra ID 或 Microsoft 365 联合,用户可以使用本地凭据进行身份验证并访问所有云资源。 这样,就必须建立高可用性的 AD FS 基础结构来确保能够访问本地和云中的资源。
在 Azure 中部署 AD FS 有助于在最少的努力下实现所需的高可用性。 在 Azure 中部署 AD FS 有几个优点:
- 高可用性 - 借助 Azure 可用性集的强大功能,可确保高度可用的基础结构。
- 易于缩放 – 需要更多性能? 只需在 Azure 中选择一些选项即可轻松迁移到功能更强大的计算机。
- 跨地域冗余 – 使用 Azure 异地冗余,可以确保基础结构在全球高度可用。
- 易于管理 – 在 Azure 门户中使用高度简化的管理选项,管理基础结构非常简单且方便。
设计原理
此图显示了建议的基本拓扑,用于开始在 Azure 中部署 AD FS 基础结构。
以下是拓扑的各个组件背后的原则:
- DC/AD FS 服务器:如果用户少于 1,000 人,可以在域控制器 (DC) 上安装 AD FS 角色即可。 如果不希望对 DC 产生任何性能影响,或者拥有 1,000 多个用户,请在单独的服务器上部署 AD FS。
- WAP 服务器 – 部署 Web 应用程序代理服务器,以便在用户不在公司网络上时可以访问 AD FS。
- 外围网络:Web 应用程序代理服务器放置在 DMZ 中,仅允许在外围网络与内部子网之间进行 TCP/443 访问。
- 负载均衡器:为了确保 AD FS 和 Web 应用程序代理服务器的高可用性,建议对 AD FS 服务器使用内部负载均衡器,将 Azure 负载均衡器用于 Web 应用程序代理服务器。
- 可用性集:若要为 AD FS 部署提供冗余,建议将两个或多个虚拟机 (VMs) 分组到可用性集中以用于类似工作负荷。 此配置可确保在计划内或计划外维护事件期间至少有一个 VM 可用。
- 存储帐户:建议有两个存储帐户。 使用单个存储帐户可能会导致创建单一故障点。 如果只有一个存储帐户,可能会导致部署在存储帐户失败的不太可能事件中变得不可用。 两个存储帐户有助于为每个故障行关联一个存储帐户。
- 网络隔离:Web 应用程序代理服务器应部署在单独的 DMZ 网络中。 可以将一个虚拟网络划分为两个子网,然后在隔离的子网中部署 Web 应用程序代理服务器。 可以为每个子网配置网络安全组设置,并仅允许两个子网之间的所需通信。 根据以下部署方案提供了更多详细信息。
在 Azure 中部署 AD FS 的步骤
本部分概述了在 Azure 中部署 AD FS 基础结构的步骤。
部署网络
如前所述,可以在单个虚拟网络中创建两个子网,也可以创建两个不同的虚拟网络。 本文重点介绍如何部署单个虚拟网络并将其划分为两个子网。 这种方法目前更容易,因为两个单独的虚拟网络需要虚拟网络才能进行通信。
创建虚拟网络
使用 Azure 帐户登录到 Azure 门户。
在门户中,搜索并选择“虚拟网络”。
在“虚拟网络”页面,选择“创建”。
在“创建虚拟网络” 的“基本信息”选项卡中输入或选择以下信息 :
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择你的资源组。 或选择“新建”以创建一个。 实例详细信息 虚拟网络名称 输入虚拟网络的名称。 区域 选择区域。 选择“下一页”。
在“安全”选项卡中,启用可能需要的任何安全服务,然后选择“下一步”。
在“IP 地址”选项卡上,已创建一个默认子网,并准备好添加 VM。 对于此示例,请选择“默认”以编辑子网。
- 在“编辑子网”页上,将子网重命名为 INT。
- 根据需要输入 IP 地址和子网大小信息,以定义 IP 地址空间。
- 对于网络安全组,请选择“新建”。
- 在此示例中,输入名称 NSG_INT 并选择“确定”,然后选择“保存”。 已创建第一个子网。
- 若要创建第二个子网,请选择“+ 添加子网”。
- 在“添加子网”页上,输入第二个子网名称“外围网络”,并根据需要输入信息来定义 IP 地址空间。
- 对于网络安全组,请选择“新建”。
- 输入名称 NSG_DMZ,选择“确定”,然后选择“添加”。
选择“审阅 + 创建”,如果一切正常,请选择“创建”。
现在,你有一个包含两个子网的虚拟网络,每个子网都有一个关联的网络安全组。
保护虚拟网络
网络安全组 (NSG) 包含访问控制列表 (ACL) 规则列表,这些规则允许或拒绝虚拟网络中 VM 实例的网络流量。 NSG 可以与子网或该子网中的各个 VM 实例相关联。 当 NSG 与子网关联时,ACL 规则将应用于该子网中的所有 VM 实例。
与子网关联的 NSG 会自动包含一些默认的入站和出站规则。 无法删除默认安全规则,但可以使用更高优先级的规则将其覆盖。 此外,可以根据所需的安全级别添加更多入站和出站规则。
现在,将几个规则添加到两个安全组中的每一个。 对于第一个示例,将入站安全规则添加到 NSG_INT 安全组。
在虚拟网络的子网页上,选择 NSG_INT。
在左侧,选择“入站安全规则”,然后选择“+ 添加”。
在“添加入站安全规则”中,输入或选择以下信息:
设置 值 Source 10.0.1.0/24. 源端口范围 保留(或选择)星号。 星号(*)允许任何端口上的流量。 对于此示例,请为创建的所有规则选择星号。 目标 10.0.0.0/24. 服务 选择“HTTPS”。
目标端口范围和协议的设置将根据指定的服务自动填充。操作 选择“允许”。 优先度 1010.
规则按优先级顺序进行处理:数字越低,优先级越高。名称 AllowHTTPSFromDMZ. 说明 允许来自 DMZ 的 HTTPS 通信。 做出选择后,选择“添加”。
新的入站安全规则现已添加到 NSG_INT 规则列表的顶部。对下表中显示的值重复这些步骤。 除了创建的新规则之外,还必须按列出的优先级顺序添加以下额外规则,以帮助保护内部子网和 DMZ 子网。
NSG 规则类型 源 目标 服务 操作 优先级 名称 说明 NSG_INT 出站 任意 服务标记/Internet 自定义(80/Any) 拒绝 100 DenyInternetOutbound 无法访问 Internet。 NSG_DMZ 入站 任意 任意 自定义(星号(*)/Any) Allow 1010 AllowHTTPSFromInternet 允许从 Internet 到 DMZ 的 HTTPS。 NSG_DMZ 出站 任意 服务标记/Internet 自定义(80/Any) 拒绝 100 DenyInternetOutbound 除 HTTPS 到 Internet 之外的任何内容都将被阻止。 输入每个新规则的值后,请选择“添加”,并转到下一个,直到为每个 NSG 添加两个新的安全规则。
配置后,NSG 页面如以下示例所示:
注意
如果需要客户端用户证书身份验证(使用 X.509 用户证书进行 clientTLS 身份验证),AD FS 需要为入站访问启用 TCP 端口 49443。
创建到本地的连接
需要连接到本地才能在 Azure 中部署 DC。 Azure 提供了各种选项,用于将本地基础结构连接到 Azure 基础结构。
- 点到站点
- 虚拟网络站点
- ExpressRoute
建议使用 ExpressRoute。 使用 ExpressRoute,可在 Azure 数据中心与本地环境或共同租用环境中的基础结构之间创建专用连接。 ExpressRoute 连接不经过公共 Internet。 与通过 Internet 的典型连接相比,ExpressRoute 连接提供更多的可靠性、更快的速度、更少的延迟和更高的安全性。
虽然建议使用 ExpressRoute,但可以选择最适合组织的任何连接方法。 若要详细了解 ExpressRoute 以及使用 ExpressRoute 的各种连接选项,请阅读 ExpressRoute 技术概述。
创建存储帐户
若要保持高可用性并避免依赖单个存储帐户,请创建两个存储帐户。 将每个可用性集中的计算机划分为两个组,然后为每个组分配一个单独的存储帐户。
若要创建两个存储帐户,请在 Azure 门户中搜索并选择“存储帐户”,然后选择“+ 创建”
在“创建存储帐户”中,在“基本信息”选项卡中输入或选择此信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择你的资源组。 或选择“新建”以创建一个。 实例详细信息 存储帐户名称 为存储帐户输入名称。 对于此示例,请输入 contososac1。 区域 选择你的区域。 性能 为性能级别选择“高级”。 高级帐户类型 选择所需的存储帐户类型:块 Blob、文件共享或页 Blob。 冗余 选择“本地冗余存储(LRS)”。 继续浏览剩余的选项卡。 准备就绪后,在“审阅”选项卡上选择“创建”。
重复上述步骤,创建名为 contososac2 的第二个存储帐户。
创建可用性集
对于每个角色(DC/AD FS 和 WAP),请创建至少包含两台计算机的可用性集。 此配置有助于提高每个角色的可用性。 创建可用性集时,必须决定以下域:
- 容错域:同一容错域中的 VM 共享相同的电源和物理网络交换机。 建议至少使用两个容错域。 默认值为 2,可以按原样保留此部署。
- 更新域:属于同一更新域的计算机在更新期间一起重启。 建议至少两个更新域。 默认值为 5,可以保留此部署的默认值。
若要创建可用性集,请在 Azure 门户中搜索并选择“可用性集”,然后选择“+ 创建”
在“创建可用性集”中,在“基本信息”选项卡中输入或选择此信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择你的资源组。 或选择“新建”以创建一个。 实例详细信息 名称 输入可用性集的名称。 对于此示例,请输入 contosodcset。 区域 选择你的区域。 容错域 2 更新域 5 使用托管磁盘 对于此示例,选择“否”(经典)。 
完成所有选择后,选择“查看 + 创建”,如果一切看起来都不错,请选择“创建”。
重复上述步骤,创建名为 contososac2 的第二个可用性集。
部署虚拟机
下一步是部署在基础结构中托管不同角色的 VM。 建议在每个可用性集中至少两台计算机。 因此,对于此示例,我们将为基本部署创建四个 VM。
若要创建 VM,请在 Azure 门户中搜索并选择“虚拟机”。
虚拟机”上,选择“+ 创建”,然后选择“Azure 虚拟机”。
在“创建虚拟机”的“基本信息”选项卡中,输入或选择以下信息 :
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择你的资源组。 或选择“新建”以创建一个。 实例详细信息 虚拟机名称 输入视图名称。 对于第一台计算机,请输入 contosodc1。 区域 选择你的区域。 可用性选项 选择“可用性集”。 可用性集 选择 contosodcset。 安全类型 选择“标准”。 图像 选择映像。 然后选择“配置 VM 生成”并选择“第 1 代”。 对于此示例,需要使用第 1 代映像。 管理员帐户 身份验证类型 选择“SSH 公钥”。 用户名 输入用户名。 密钥对名称 输入密钥对名称。 对于未指定的任何内容,可以保留默认值,准备就绪后,选择“下一步:磁盘”。
在“高级”下的“磁盘”选项卡上,取消选择“使用托管磁盘”,然后选择之前创建的 contososac1 存储帐户。 准备就绪后,选择“下一步:网络”。
在“网络”选项卡中,输入或选择以下信息:
设置 值 虚拟网络 选择包含之前创建的子网的虚拟网络。 子网 对于第一个 VM,请选择 INT 子网。 NIC 网络安全组 选择“无”。 对于未指定的任何内容,可以保留默认值。
完成所有选择后,选择“查看 + 创建”,如果一切看起来都不错,请选择“创建”。
使用下表中的信息重复这些步骤,以创建其余三个 VM:
| 虚拟机名称 | 子网 | 可用性选项 | 可用性集 | 存储帐户 |
|---|---|---|---|---|
| contosodc2 | INT | 可用性集 | contosodcset | contososac2 |
| contosowap1 | DMZ | 可用性集 | contosowapset | contososac1 |
| contosowap2 | DMZ | 可用性集 | contosowapset | contososac2 |
如前所述,没有指定 NSG,因为 Azure 允许在子网级别使用 NSG。 然后,可以使用与子网或 NIC 对象关联的单个 NSG 来控制计算机网络流量。 有关详细信息,请参阅什么是网络安全组 (NSG)。
如果要管理 DNS,建议使用静态 IP 地址。 可以使用 Azure DNS,并通过域的 DNS 记录中的 Azure FQDN 来引用新计算机。 有关详细信息,请参阅将专用 IP 地址更改为静态。
虚拟机页应在部署完成后显示所有四个 VM。
配置 DC/AD FS 服务器
若要对任何传入请求进行身份验证,AD FS 需要联系 DC。 若要节省从 Azure 到本地 DC 的开销,以便进行身份验证,建议在 Azure 中部署 DC 的副本。 为了获得高可用性,最好创建至少两个 DC 的可用性集。
| 域控制器 | 角色 | 存储帐户 |
|---|---|---|
| contosodc1 | 副本 | contososac1 |
| contosodc2 | 副本 | contososac2 |
- 使用 DNS 将两个服务器提升为副本 DC
- 使用服务器管理器安装 AD FS 角色来配置 AD FS 服务器。
创建和部署内部负载均衡器 (ILB)
若要创建和部署 ILB,请在 Azure 门户中搜索并选择“负载均衡器”,然后选择“+ 创建”。
在“创建负载平衡器”中,在“基本信息”选项卡中输入或选择此信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择你的资源组。 或选择“新建”以创建一个。 实例详细信息 名称 输入负载均衡器的名称。 区域 选择你的区域。 类型 由于此负载均衡器将放置在 AD FS 服务器之前,并且仅用于内部网络连接,因此选择“内部” 将 SKU 和层保留为默认值,然后选择“下一步:前端 IP 配置”
选择“添加前端 IP 配置”,然后在“添加前端 IP 配置”页中输入或选择此信息。
设置 值 名称 输入前端 IP 配置名称。 虚拟网络 选择要在其中部署 AD FS 的虚拟网络。 子网 选择内部子网 INT。 转让 选择“静态”。 IP 地址 输入 IP 地址。 将“可用性区域”保留为默认值,然后选择“添加”。
选择“下一步:后端池”,然后选择“+ 添加后端池”。
在“添加后端池”页上,输入名称,然后在“IP 配置”区域中,选择“+ 添加”。
在“添加后端池”页上,选择要与后端池保持一致的 VM,选择“添加”,然后选择“保存”。
选择“下一步:入站规则”。
在“入站规则”选项卡上,选择“添加负载均衡规则”,然后在“添加负载均衡规则”页中输入或选择此信息。
设置 值 名称 输入规则的名称。 前端 IP 地址 选择在前面的步骤中创建的前端 IP 地址。 后端池 选择在前面的步骤中创建的后端池。 协议 选择“TCP”。 端口 输入 443。 后端端口 输入 443。 运行状况探测 选择“新建”,然后输入以下值来创建运行状况探测:
名称:运行状况探测的名称
协议:HTTP
端口:80 (HTTP)
路径:/adfs/probe
间隔:5(默认值) – ILB 探测后端池中的计算机的间隔
选择“保存”。选择“保存”以保存入站规则。
选择“审阅 + 创建”,如果一切正常,请选择“创建”。
选择“创建”和 ILB 部署后,可以在负载均衡器列表中看到它。
使用 ILB 更新 DNS 服务器
使用内部 DNS 服务器为 ILB 创建 A 记录。 A 记录应用于联合身份验证服务,其 IP 地址指向 ILB 的 IP 地址。 例如,如果 ILB IP 地址为 10.3.0.8,安装的联合身份验证服务为 fs.contoso.com,则为 fs.contoso.com 创建一个指向 10.3.0.8 的 A 记录。
此设置可确保传输到 fs.contoso.com 的所有数据最终在 ILB 处得到适当的路由。
警告
如果对 AD FS 数据库使用 Windows 内部数据库 (WID),应临时将此值设置为指向主 AD FS 服务器,否则 Web 应用程序代理将无法注册。 成功注册所有 Web 应用程序代理服务器后,更改此 DNS 条目以指向负载均衡器。
注意
如果部署也使用 IPv6,请创建相应的 AAAA 记录。
配置 Web 应用程序代理服务器以访问 AD FS 服务器
若要确保 Web 应用程序代理服务器能够访问 ILB 后面的 AD FS 服务器,请在 ILB 的 %systemroot%\system32\drivers\etc\hosts 文件中创建记录。 可分辨名称 (DN) 应为联合身份验证服务名称,例如 fs.contoso.com。 IP 条目应是 ILB 的 IP 地址条目(如示例中的 10.3.0.8)。
警告
如果对 AD FS 数据库使用 Windows 内部数据库 (WID),应临时将此值设置为指向主 AD FS 服务器,否则 Web 应用程序代理将无法注册。 成功注册所有 Web 应用程序代理服务器后,更改此 DNS 条目以指向负载均衡器。
安装 Web 应用程序代理角色
确保 Web 应用程序代理服务器能够访问 ILB 后面的 AD FS 服务器后,接下来可以安装 Web 应用程序代理服务器。 Web 应用程序代理服务器不需要加入域。 通过选择远程访问角色,在两个 Web 应用程序代理服务器上安装 Web 应用程序代理角色。 服务器管理器指导你完成 WAP 安装。
有关如何部署 WAP 的详细信息,请参阅安装和配置 Web 应用程序代理服务器。
创建和部署面向 Internet 的(公共)负载均衡器
在 Azure 门户中,选择“负载均衡器”,然后单击“创建”。
在“负载平衡器”中,在“基本信息”选项卡中输入或选择此信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择你的资源组。 或选择“新建”以创建一个。 实例详细信息 名称 输入负载均衡器的名称。 区域 选择你的区域。 类型 由于此负载均衡器需要公共 IP 地址,因此请选择“公共”。 将 SKU 和层保留为默认值,然后选择“下一步:前端 IP 配置”
选择“添加前端 IP 配置”,然后在“添加前端 IP 配置”页中输入或选择此信息。
设置 值 名称 输入前端 IP 配置名称。 IP 类型 选择“IP 地址”。 公共 IP 地址 从下拉列表中选择“公共 IP 地址”,或根据需要创建新地址,然后选择“添加”。 
选择“下一步:后端池”,然后选择“+ 添加后端池”。
在“添加后端池”页上,输入名称,然后在“IP 配置”区域中,选择“+ 添加”。
在“添加后端池”页上,选择要与后端池保持一致的 VM,选择“添加”,然后选择“保存”。
选择“下一步:入站规则”,选择“添加负载均衡规则”,然后在“添加负载均衡规则”页中输入或选择此信息。
设置 值 名称 输入规则的名称。 前端 IP 地址 选择在前面的步骤中创建的前端 IP 地址。 后端池 选择在前面的步骤中创建的后端池。 协议 选择“TCP”。 端口 输入 443。 后端端口 输入 443。 运行状况探测 选择“新建”,然后输入以下值来创建运行状况探测:
名称:运行状况探测的名称
协议:HTTP
端口:80 (HTTP)
路径:/adfs/probe
间隔:5(默认值) – ILB 探测后端池中的计算机的间隔
选择“保存”。选择“保存”以保存入站规则。
选择“审阅 + 创建”,如果一切正常,请选择“创建”。
选择“创建”和公共 ILB 部署后,可以在负载均衡器列表中看到它。
将 DNS 标签分配给公共 IP
使用搜索资源”功能并搜索“公共 IP 地址”。 使用以下步骤为公共 IP 配置 DNS 标签。
- 选择资源,在“设置”下,选择“配置”。
- 在“提供 DNS 标签(可选)”下,在解析为外部负载均衡器的 DNS 标签(如 contosofs.westus.cloudapp.azure.com)的文本字段中添加一个条目(如 fs.contoso.com)。
- 选择“保存”以完成 DNS 标签分配。
测试 AD FS 登录
测试 AD FS 的最简单方法是使用 IdpInitiatedSignon.aspx 页。 为此,必须在 AD FS 属性上启用 IdpInitiatedSignOn。 使用以下步骤验证 AD FS 设置。
- 在 PowerShell 中,在 AD FS 服务器上运行以下 cmdlet 以将其设置为已启用。
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true - 从任何外部计算机访问
https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx。 - 你应该看到以下 AD FS 页面:
成功登录后,它会提供一条成功消息,如下所示:
用于在 Azure 中部署 AD FS 的模板
该模板为域控制器、AD FS 和 WAP 部署一个六台计算机设置,每个设置两台计算机。
部署此模板时,可以使用现有虚拟网络或创建新的虚拟网络。 下表列出了可用于自定义部署的各种参数,包括有关如何在部署过程中使用参数的说明。
| 参数 | 说明 |
|---|---|
| 位置 | 要将资源部署到的区域,例如美国东部 |
| StorageAccountType | 创建的存储帐户的类型 |
| VirtualNetworkUsage | 指示是否已创建新虚拟网络或使用现有虚拟网络 |
| VirtualNetworkName | 要创建的虚拟网络的名称,必须在现有或新的虚拟网络使用上使用 |
| VirtualNetworkResourceGroupName | 指定现有虚拟网络所在的资源组的名称。 使用现有虚拟网络时,此选项是必需参数,因此部署可以找到现有虚拟网络的 ID。 |
| VirtualNetworkAddressRange | 新虚拟网络的地址范围,创建新的虚拟网络时是必需的 |
| InternalSubnetName | 内部子网的名称,在虚拟网络使用选项、新的或现有的两个虚拟网络使用选项上都是必需的 |
| InternalSubnetAddressRange | 包含域控制器和 AD FS 服务器的内部子网的地址范围,新建虚拟网络时必须指定此参数 |
| DMZSubnetAddressRange | 包含Windows 应用程序代理服务器的 DMZ 子网的地址范围,新建虚拟网络时必须指定此参数 |
| DMZSubnetName | 内部子网的名称,在虚拟网络使用选项、(新的或现有的)两个虚拟网络使用选项上都是必需的 |
| ADDC01NICIPAddress | 第一个域控制器的内部 IP 地址,此 IP 地址将静态分配给 DC 服务器,并且必须是内部子网内的有效 IP 地址 |
| ADDC02NICIPAddress | 第二个域控制器的内部 IP 地址,此 IP 地址将静态分配给 DC 服务器,并且必须是内部子网内的有效 IP 地址 |
| ADFS01NICIPAddress | 第一个 AD FS 服务器的内部 IP 地址,此 IP 地址将静态分配给 AD FS 服务器,并且必须是内部子网内的有效 IP 地址 |
| ADFS02NICIPAddress | 第二个 AD FS 服务器的内部 IP 地址,此 IP 地址将静态分配给 AD FS 服务器,并且必须是内部子网内的有效 IP 地址 |
| WAP01NICIPAddress | 第一个 WAP 服务器的内部 IP 地址,此 IP 地址将静态分配给 WAP 服务器,并且必须是 DMZ 子网内的有效 IP 地址 |
| WAP02NICIPAddress | 第一个 WAP 服务器的内部 IP 地址,此 IP 地址将静态分配给 WAP 服务器,并且必须是 DMZ 子网内的有效 IP 地址 |
| ADFSLoadBalancerPrivateIPAddress | AD FS 负载均衡器的内部 IP 地址,此 IP 地址将静态分配给负载均衡器,并且必须是内部子网内的有效 IP 地址 |
| ADDCVMNamePrefix | 域控制器的 VM 名称前缀 |
| ADFSVMNamePrefix | AD FS 服务器的 VM 名称前缀 |
| WAPVMNamePrefix | WAP 服务器的 VM 名称前缀 |
| ADDCVMSize | 域控制器的 VM 大小 |
| ADFSVMSize | AD FS 服务器的 VM 大小 |
| WAPVMSize | WAP 服务器的 VM 大小 |
| AdminUserName | VM 的本地管理员的名称 |
| AdminPassword | VM 的本地管理员帐户的密码 |
相关链接
后续步骤
- 将本地标识与 Microsoft Entra ID 集成
- 使用 Microsoft Entra Connect 配置和管理 AD FS
- 使用 Azure 流量管理器在 Azure 中进行跨区域 AD FS 部署以实现高可用性