Esame dei requisiti per la distribuzione di ADFS

Articolo
11/09/2015

Si applica a: Azure, Office 365, Power BI, Windows Intune

Per una nuova distribuzione di AD FS per creare correttamente un trust della relying party con Azure AD, è prima necessario assicurarsi che l'infrastruttura di rete aziendale sia configurata per supportare i requisiti di AD FS per account, risoluzione dei nomi e certificati. Per ADFS sono previsti i seguenti tipi di requisiti:

Requisiti software
Requisiti per i certificati
Requisiti di rete

Requisiti software

Il software ADFS deve essere installato in tutti i computer che devono essere preparati per il ruolo server federativo o proxy server federativo. È possibile installare questo software tramite l'Installazione guidata di AD FS o eseguendo un'installazione non interattiva usando il parametroadfssetup.exe /quiet in una riga di comando.

Per una piattaforma di installazione di base, AD FS richiede il sistema operativo Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. AD FS dispone di un pacchetto di installazione separato per le piattaforme del sistema operativo Windows Server 2008, Windows Server 2008 R2 (e viene comunemente definito AD FS 2.0) oppure può essere installato aggiungendo il ruolo del server del servizio federativo come parte del sistema operativo Windows Server 2012 o Windows Server 2012 R2.

Se si utilizza ADFS 2.0 o ADFS in Windows Server 2012, sarà necessario distribuire e configurare proxy server federativo come parte dell'implementazione della soluzione SSO.

Se si utilizza ADFS in Windows Server 2012 R2, sarà necessario distribuire proxy applicazione Web per configurare la distribuzione di ADFS per l'accesso Extranet. In Windows Server 2012 R2 viene utilizzato un proxy applicazione Web, un nuovo servizio ruolo del ruolo del server Accesso remoto, per abilitare ADFS per l'accessibilità dall'esterno della rete aziendale. Per ulteriori informazioni, vedere la panoramica del proxy dell'applicazione Web.

Prerequisiti

Durante la procedura di installazione di ADFS, l'installazione guidata tenterà automaticamente di verificare ed eventualmente installare le applicazioni prerequisite e gli hotfix dipendenti. Nella maggioranza dei casi, l'installazione guidata installerà tutte le applicazioni prerequisite necessarie al funzionamento e all'installazione di ADFS.

Tuttavia, esiste un'eccezione: quando si installa AD FS nella piattaforma Windows Server 2008 (come pacchetto di installazione separato noto come AD FS 2.0). In questo caso, nella situazione di distribuzione, è prima necessario assicurarsi che .NET 3.5 SP1 sia installato nei server che eseguono Windows Server 2008 prima di installare il software AD FS 2.0, perché è un prerequisito di AD FS 2.0 e non verrà installato automaticamente dall'Installazione guidata di AD FS 2.0 su questa piattaforma. Se .NET 3.5 SP1 non è installato, l'installazione guidata di AD FS 2.0 impedirà l'installazione del software AD FS 2.0.

Hotfix

È necessario installare gli hotfix di AD FS 2.0 dopo aver installato AD FS 2.0. Per ulteriori informazioni, consultare l'argomento Description of Update Rollup 2 for Active Directory Federation Services (AD FS) 2.0 (Descrizione dell'aggiornamento cumulativo 2 per Active Directory Federation Services (AD FS) 2.0).

Virtualizzazione

ADFS supporta la virtualizzazione software sia del ruolo server federativo che del ruolo proxy server federativo. Per rappresentare la ridondanza, si consiglia di archiviare ogni macchina virtuale di ADFS in server virtuali fisici separati.

Per ulteriori informazioni su come configurare un ambiente server virtuale con la tecnologia di virtualizzazione Microsoft, consultare l'argomento Hyper-V Getting Started Guide (Guida introduttiva a Hyper-V).

Requisiti per i certificati

I certificati svolgono il ruolo più critico nella protezione delle comunicazioni tra server federativi, proxy applicazione Web, proxy server federativi, servizio cloud e client Web. I requisiti per i certificati variano a seconda che si configuri un server federativo, un proxy applicazione Web o un computer proxy server federativo, come descritto nelle tabelle seguenti.

Certificati dei server federativi

Per i server federativi sono richiesti i certificati indicati nella tabella seguente.

Tipo di certificato	Descrizione	Informazioni che occorre conoscere prima della distribuzione
Certificato SSL (denominato anche certificato di autenticazione server) per ADFS in Windows Server 2012 R2	Questo è un certificato SSL (Secure Sockets Layer) standard che viene utilizzato per proteggere le comunicazioni tra server federativi, client, proxy applicazione Web e computer proxy server federativo.	ADFS necessita di un certificato per l'autenticazione server SSL in ogni server federativo della server farm federativa. Lo stesso certificato deve essere utilizzato in ogni server federativo di una farm. È necessario che siano disponibili sia il certificato che la relativa chiave privata. Se ad esempio si dispone del certificato e della chiave privata corrispondente in un file con estensione pfx, sarà possibile importare il file direttamente nella configurazione guidata di Active Directory Federation Services. Questo certificato SSL deve contenere quanto segue: Il nome del soggetto e il nome alternativo del soggetto devono contenere il nome del servizio federativo, ad esempio fs.contoso.com Il nome alternativo del soggetto deve contenere il valore registrazioneaziendale seguito dal suffisso UPN dell'organizzazione, ad esempio registrazioneaziendale.corp.contoso.com
Certificato SSL (denominato anche certificato di autenticazione server) per le versioni legacy di ADFS	Questo è un certificato SSL (Secure Sockets Layer) standard che viene utilizzato per proteggere le comunicazioni tra server federativi, client, proxy applicazione Web e computer proxy server federativo.	ADFS necessita di un certificato SSL per la configurazione delle impostazioni del server federativo. Per impostazione predefinita, ADFS utilizza il certificato SSL configurato per il sito Web predefinito di Internet Information Services (IIS). Il nome soggetto del certificato SSL viene utilizzato per determinare il nome del servizio federativo di ciascuna istanza di ADFS che viene distribuita. Per questo motivo, è consigliabile scegliere un nome soggetto per qualsiasi nuovo certificato rilasciato dall'autorità di certificazione (CA) che rappresenta meglio il nome della società o dell'organizzazione al servizio cloud e questo nome deve essere instradabile tramite Internet. Ad esempio, nel diagramma fornito nella parte precedente dell'articolo (vedere “Fase 2”), il nome soggetto del certificato sarebbe fs.fabrikam.com. Importante ADFS richiede che questo certificato SSL sia privo di un nome soggetto senza punto (abbreviato). Obbligatorio: Poiché questo certificato deve essere considerato attendibile dai client di AD FS e dei servizi cloud Microsoft, usare un certificato SSL emesso da una CA pubblica (di terze parti) o da una CA subordinata a una radice attendibile pubblicamente; Ad esempio, VeriSign o Thawte.
Certificato per la firma di token	Si tratta di un certificato X.509 standard usato per firmare in modo sicuro tutti i token che il server federativo rilascia e che il servizio cloud accetterà e convaliderà.	Il certificato per la firma di token deve contenere una chiave privata ed essere concatenato a una radice attendibile nel Servizio federativo. Per impostazione predefinita, ADFS crea un certificato autofirmato. Tuttavia, a seconda delle esigenze della propria organizzazione, è possibile convertirlo in seguito in un certificato rilasciato da un'autorità di certificazione utilizzando lo snap-in di gestione di ADFS. Raccomandazione: Usare il certificato di firma del token autofirmato generato da AD FS. In tal modo, ADFS gestirà automaticamente il certificato per impostazione predefinita. Ad esempio, nel caso il certificato stia per scadere, ADFS genererà un nuovo certificato autofirmato da utilizzare in anticipo

Certificato SSL (denominato anche certificato di autenticazione server) per ADFS in Windows Server 2012 R2

Questo è un certificato SSL (Secure Sockets Layer) standard che viene utilizzato per proteggere le comunicazioni tra server federativi, client, proxy applicazione Web e computer proxy server federativo.

ADFS necessita di un certificato per l'autenticazione server SSL in ogni server federativo della server farm federativa. Lo stesso certificato deve essere utilizzato in ogni server federativo di una farm. È necessario che siano disponibili sia il certificato che la relativa chiave privata. Se ad esempio si dispone del certificato e della chiave privata corrispondente in un file con estensione pfx, sarà possibile importare il file direttamente nella configurazione guidata di Active Directory Federation Services. Questo certificato SSL deve contenere quanto segue:

Il nome del soggetto e il nome alternativo del soggetto devono contenere il nome del servizio federativo, ad esempio fs.contoso.com
Il nome alternativo del soggetto deve contenere il valore registrazioneaziendale seguito dal suffisso UPN dell'organizzazione, ad esempio registrazioneaziendale.corp.contoso.com

Certificato SSL (denominato anche certificato di autenticazione server) per le versioni legacy di ADFS

ADFS necessita di un certificato SSL per la configurazione delle impostazioni del server federativo. Per impostazione predefinita, ADFS utilizza il certificato SSL configurato per il sito Web predefinito di Internet Information Services (IIS).

Il nome soggetto del certificato SSL viene utilizzato per determinare il nome del servizio federativo di ciascuna istanza di ADFS che viene distribuita. Per questo motivo, è consigliabile scegliere un nome soggetto per qualsiasi nuovo certificato rilasciato dall'autorità di certificazione (CA) che rappresenta meglio il nome della società o dell'organizzazione al servizio cloud e questo nome deve essere instradabile tramite Internet. Ad esempio, nel diagramma fornito nella parte precedente dell'articolo (vedere “Fase 2”), il nome soggetto del certificato sarebbe fs.fabrikam.com.

Importante

ADFS richiede che questo certificato SSL sia privo di un nome soggetto senza punto (abbreviato).

Obbligatorio: Poiché questo certificato deve essere considerato attendibile dai client di AD FS e dei servizi cloud Microsoft, usare un certificato SSL emesso da una CA pubblica (di terze parti) o da una CA subordinata a una radice attendibile pubblicamente; Ad esempio, VeriSign o Thawte.

Certificato per la firma di token

Si tratta di un certificato X.509 standard usato per firmare in modo sicuro tutti i token che il server federativo rilascia e che il servizio cloud accetterà e convaliderà.

Il certificato per la firma di token deve contenere una chiave privata ed essere concatenato a una radice attendibile nel Servizio federativo. Per impostazione predefinita, ADFS crea un certificato autofirmato. Tuttavia, a seconda delle esigenze della propria organizzazione, è possibile convertirlo in seguito in un certificato rilasciato da un'autorità di certificazione utilizzando lo snap-in di gestione di ADFS.

Raccomandazione: Usare il certificato di firma del token autofirmato generato da AD FS. In tal modo, ADFS gestirà automaticamente il certificato per impostazione predefinita. Ad esempio, nel caso il certificato stia per scadere, ADFS genererà un nuovo certificato autofirmato da utilizzare in anticipo

Avviso

Il certificato per la firma di token è essenziale per la stabilità del servizio federativo. In caso di modifica, il servizio cloud deve ricevere una notifica su questa modifica. In caso contrario, le richieste al servizio cloud avranno esito negativo. Per altre informazioni sulla gestione dei certificati nella server farm federativa ad AD FS e nel servizio cloud, vedere Aggiornare le proprietà di attendibilità.

Certificati dei computer proxy

I proxy server federativi necessitano del certificato come da tabella seguente.

Tipo di certificato	Descrizione	Informazioni che occorre conoscere prima della distribuzione
Certificato SSL	È un certificato SSL standard che viene utilizzato per la protezione delle comunicazioni tra un server federativo, un proxy server federativo o un proxy applicazione Web e i computer client Internet.	Si tratta dello stesso certificato di autenticazione server utilizzato dai server federativi nella rete aziendale. Il certificato deve avere il medesimo nome soggetto del certificato SSL configurato nel server federativo della rete aziendale. Se si usa ADFS in Windows Server 2008 o Windows Server 2012, è necessario installare questo certificato nel sito Web predefinito del computer proxy server federativo. Se si usa ADFS in Windows Server 2012 R2, è necessario importare questo certificato nell'archivio certificati personali nel computer che fungerà da proxy applicazione Web. Raccomandazione: Usare lo stesso certificato di autenticazione server configurato nel server federativo a cui si connetterà il proxy server federativo o il Application Proxy Web.

Certificato SSL

È un certificato SSL standard che viene utilizzato per la protezione delle comunicazioni tra un server federativo, un proxy server federativo o un proxy applicazione Web e i computer client Internet.

Si tratta dello stesso certificato di autenticazione server utilizzato dai server federativi nella rete aziendale. Il certificato deve avere il medesimo nome soggetto del certificato SSL configurato nel server federativo della rete aziendale.

Se si usa ADFS in Windows Server 2008 o Windows Server 2012, è necessario installare questo certificato nel sito Web predefinito del computer proxy server federativo.

Se si usa ADFS in Windows Server 2012 R2, è necessario importare questo certificato nell'archivio certificati personali nel computer che fungerà da proxy applicazione Web.

Raccomandazione: Usare lo stesso certificato di autenticazione server configurato nel server federativo a cui si connetterà il proxy server federativo o il Application Proxy Web.

Per altre informazioni sui certificati usati dai server federativi e dai proxy server federativi, vedere Guida alla progettazione di AD FS 2.0 o Windows Server 2012 Guida alla progettazione di AD FS.

Requisiti di rete

Una configurazione appropriata dei seguenti servizi di rete è essenziale per la distribuzione corretta di ADFS all'interno dell'organizzazione.

Connettività di rete TCP/IP

Affinché ADFS funzioni correttamente, deve esistere una connettività di rete TCP/IP tra client, controller di dominio, server federativi e proxy server federativo.

DNS

Il servizio di rete primario critico per il funzionamento di AD FS, diverso da Active Directory, è Domain Name System (DNS). La distribuzione del DNS consente agli utenti di usare nomi di computer descrittivi e facili da ricordare per connettersi a computer e altre risorse sulle reti IP.

Il processo di aggiornamento di DNS per il supporto di ADFS prevede la configurazione dei seguenti elementi:

Server DNS interni nella rete aziendale per risolvere il nome DNS del cluster nell'indirizzo IP del cluster per il cluster NLB che viene configurato nell'host NLB della rete aziendale. Ad esempio, risolvere fs.fabrikam.com in 172.16.1.3.
Server DNS della rete perimetrale per risolvere il nome DNS del cluster nell'indirizzo IP del cluster per il cluster NLB che viene configurato nell'host NLB perimetrale. Ad esempio, risolvere fs.fabrikam.com in 192.0.2.3.

Requisiti NLB

NLB è necessario per fornire tolleranza ai guasti, disponibilità elevata e bilanciamento del carico tra nodi multipli. Può essere implementato con hardware, software o una combinazione dei due. È necessario configurare i record delle risorse DNS in base al nome del servizio federativo per il cluster Bilanciamento carico di rete in modo che il nome di dominio completo (FQDN) del cluster (indicato anche come nome DNS del cluster in questo articolo) venga risolto nel relativo indirizzo IP del cluster.

Per informazioni generali sull'indirizzo IP del cluster NLB o del cluster FQDN, consultare l'argomento Specifying the Cluster Parameters (Specifica dei parametri del cluster).

Utilizzo della protezione estesa per l'autenticazione

Se nei computer è disponibile la protezione estesa per l'autenticazione e si usa Firefox, Chrome o Safari, potrebbe non essere possibile accedere al servizio cloud usando integrated autenticazione di Windows dall'interno della rete aziendale. In questo caso, gli utenti potrebbero ricevere richieste di accesso regolari. Ciò è dovuto alla configurazione predefinita (in Windows 7 e ai sistemi operativi client con patch) per AD FS e protezione estesa per l'autenticazione.

Finché Firefox, Chrome e Safari supportano la protezione estesa per l'autenticazione, l'opzione consigliata è per tutti i client che accedono al servizio cloud per installare e usare Windows Internet Explorer 8. Se si vuole usare l'accesso Single Sign-On per il servizio cloud con Firefox, Chrome o Safari, esistono due altre soluzioni da considerare. Tuttavia, potrebbero esserci problemi di sicurezza per entrambe le scelte. Per altre informazioni, vedere Avviso di sicurezza Microsoft: Protezione estesa per l'autenticazione. Le soluzioni includono:

Disinstallazione delle patch di protezione estesa per l'autenticazione dal computer.
Modifica dell'impostazione di protezione estesa per l'autenticazione nel server ADFS. Per altre informazioni, vedere Configurazione delle opzioni avanzate per AD FS 2.0.
Riconfigurazione delle impostazioni di autenticazione per la pagina Web di ADFS in ciascun server federativo da autenticazione integrata di Windows ad autenticazione basata su moduli.

Passaggio successivo

Dopo aver esaminato i requisiti per la distribuzione di AD FS, il passaggio successivo consiste nel preparare l'infrastruttura di rete per i server federativi.

Vedere anche

Concetti

Elenco di controllo: Uso di ADFS per implementare e gestire Single Sign-On