Exportar (0) Imprimir
Expandir Todos

Planear e implementar o AD FS 2.0 para utilizar com o single sign-on

Publicada: Junho de 2012

Atualizada: Junho de 2012

Aplica-se a: Office 365, Windows Intune

noteNota
Este tópico fornece conteúdo de ajuda online que é aplicável a vários serviços baseados na nuvem Microsoft, incluindo o Windows Intune e o Office 365.

Este artigo fornece instruções de planeamento e implementação simplificadas aos administradores de um serviço em nuvem Microsoft que tenham decidido utilizar o acesso single sign-on e que não disponham atualmente de uma infraestrutura de Serviços de Federação do Active Directory (AD FS) 2.0 implementada na sua organização.

Caso disponha atualmente de um ambiente de produção de AD FS 2.0 e pretenda disponibilizar aos seus utilizadores o acesso single sign-on a um ou mais serviços em nuvem Microsoft, pode avançar diretamente para o passo seguinte: Instalar o Windows PowerShell para o serviço single sign-on com o AD FS 2.0.

Para obter informações adicionais de configuração e uma descrição geral dos AD FS 2.0, consulte a secção 7. Passo seguinte e fontes de referência adicionais neste artigo.

Descrição geral da solução de single sign-on de AD FS 2.0 para serviços em nuvem Microsoft

Pode implementar uma nova infraestrutura de AD FS 2.0 para disponibilizar aos utilizadores do Active Directory, quer iniciem sessão nos computadores localizados fisicamente na rede empresarial quer estabeleçam ligação à rede empresarial remotamente, acesso single sign-on a um ou mais serviços em nuvem Microsoft utilizando as suas credenciais de domínio empresariais.

Após a implementação do ambiente de produção dos AD FS 2.0 no local, será necessário estabelecer uma relação de fidedignidade de entidade confiadora entre o farm de servidores de federação dos AD FS 2.0 e o sistema de autenticação do Windows Azure Active Directory. Esta fidedignidade de entidade confiadora funciona como um canal seguro através do qual os tokens de autenticação podem passar com segurança entre a sua organização e o Windows Azure AD de modo a facilitar o acesso single sign-on aos serviços em nuvem Microsoft que subscreveu.

A imagem seguinte ilustra a forma como os utilizadores do Active Directory local podem obter os tokens de autenticação necessários dos servidores de federação dos AD FS 2.0 no local, os quais podem redirecionar os pedidos dos utilizadores através da fidedignidade de entidade confiadora para lhes permitir o acesso single sign-on a um ou mais serviços em nuvem Microsoft.

Fidedignidade de entidade confiadora com o Windows Azure AD

Execute os passos seguintes

1. Rever a lista de verificação para implementação do AD FS 2.0

Este artigo inclui uma série de listas de verificação que ajudam a orientá-lo através das várias tarefas que deve efetuar, por ordem cronológica, para implementar um ambiente de produção de AD FS 2.0 que proporcione o acesso single sign-on ao serviço baseado na nuvem. A lista de verificação de primeiro nível que se segue indica as tarefas de implementação de alto nível que são necessárias para implementar, da forma mais eficiente, a nova infraestrutura de AD FS 2.0 no local.

Lista de verificação Passo 1 – Lista de verificação 1: implementar a infraestrutura dos AD FS 2.0 no local

 

Tarefa de implementação Hiperligações para secções neste artigo Concluída

1. Consultar a tabela de terminologia sobre AD FS 2.0, para se familiarizar com os termos que serão utilizados ao longo deste artigo.

2. Rever a terminologia sobre AD FS 2.0

Caixa de verificação

2. Analisar as várias opções de implementação do AD FS 2.0 que estão disponíveis para a sua nova implementação. Terá de ter em conta o número de servidores a implementar e o local onde será necessário colocar os servidores de federação e os respetivos proxies na intranet ou extranet, ou em ambas.

3. Planear a implementação do AD FS 2.0

Caixa de verificação

3. Consultar os requisitos de implementação do AD FS 2.0 para utilização com o serviço baseado na nuvem. Estas informações irão ajudá-lo a compreender o modo como a sua infraestrutura de rede empresarial terá de ser configurada para suportar o AD FS 2.0 para contas, resolução de nomes, certificados, etc.

4. Seguir os requisitos de implementação do AD FS 2.0

Caixa de verificação

4. Implementar o farm de servidores de federação do AD FS 2.0. Os procedimentos descritos nesta secção irão orientá-lo ao longo dos passos necessários para preparar e configurar pelo menos dois computadores para a função de servidor de federação. Recomenda-se um farm de servidores de federação com, pelo menos, com dois servidores para fins de tolerância a falhas e alta disponibilidade.

5. Implementar o farm de servidores de federação

Caixa de verificação

5. Implementar os proxies de servidor de federação que permitem aos clientes estabelecer ligação de fora da rede empresarial. Os procedimentos descritos nesta secção irão orientá-lo ao longo dos passos necessários para configurar cada computador para a função de proxy de servidor de federação.

6. Implementar os proxies de servidor de federação

Caixa de verificação

Após a implementação

Após ter implementado com êxito a infraestrutura dos AD FS 2.0, avance para Instalar o Windows PowerShell para o serviço single sign-on com o AD FS 2.0. Neste artigo encontrará os passos necessários para configurar a relação de fidedignidade de entidade confiadora entre os novos servidores de AD FS 2.0 no local e o sistema de autenticação do Windows Azure AD.

Para obter informações acerca da gestão contínua de um servidor de AD FS 2.0 — por exemplo, a gestão de rollover de certificados — consulte Verificar e gerir o single sign-on com o AD FS 2.0.

Para obter informações adicionais sobre como, por exemplo, personalizar a página de início de sessão dosAD FS 2.0, utilizar uma autenticação forte (também denominada autenticação de dois fatores) AD FS 2.0, consulte Configurar Opções Avançadas para o AD FS 2.0.

Execute os passos seguintes

2. Rever a terminologia sobre AD FS 2.0

Antes de começar a utilizar este conteúdo para implementar o AD FS 2.0 para single sign-on no serviço baseado na nuvem, recomendamos que leia primeiro os termos relacionados com o AD FS 2.0 que são referidos neste artigo.

 

Termo do AD FS 2.0 Definição

Base de dados de configuração do AD FS 2.0

Uma base de dados utilizada para armazenar todos os dados de configuração que representam uma única instância do AD FS 2.0 ou Serviço de Federação. Estes dados de configuração podem ser armazenados utilizando a funcionalidade Base de Dados Interna do Windows (WID), incluída no Windows Server 2008 e no Windows Server 2008 R2, ou através de uma base de dados Microsoft SQL Server.

Afirmação

Uma declaração feita por um indivíduo sobre si próprio ou acerca de outro indivíduo. Por exemplo, a declaração pode ser sobre um nome, correio eletrónico, grupo, privilégio ou capacidade. As afirmações pertencem a um fornecedor que as emite (neste caso um cliente do serviço baseado na nuvem Microsoft) e são-lhe atribuídos um ou mais valores. São também definidas por um tipo de valor de afirmação e, possivelmente, por metadados associados.

Serviço de Federação

Uma instância lógica do AD FS 2.0. Um Serviço de Federação pode ser implementado como servidor de federação autónomo ou como um farm de servidores de federação com balanceamento de carga. O nome do Serviço de Federação é o nome predefinido do requerente do Certificado SSL. O nome DNS do Serviço de Federação tem de ser utilizado no nome do Requerente do certificado SSL (Secure Sockets Layer).

Servidor de federação

Um computador a executar o Windows Server 2008 ou Windows Server 2008 R2, que foi configurado para desempenhar a função de servidor de federação do AD FS 2.0. Um servidor de federação funciona como parte de um Serviço de Federação que pode emitir, gerir e validar pedidos de tokens de segurança e gestão de identidades. Os tokens de segurança consistem numa coleção de afirmações, como o nome ou a função de um utilizador.

Farm de servidores de federação

Dois ou mais servidores de federação na mesma rede que são configurados para funcionar como uma instância do Serviço de Federação.

Proxy de servidor de federação

Um computador a executar o Windows Server 2008 ou o Windows Server 2008 R2 que foi configurado para funcionar como serviço proxy intermediário entre um cliente na Internet e um Serviço de Federação localizado por trás de uma firewall numa rede empresarial. Para poder permitir o acesso remoto ao serviço baseado na nuvem a partir de, por exemplo, um smartphone, um computador doméstico ou um quiosque de Internet, terá de implementar um proxy de servidor de federação.

Entidade confiadora

Um Serviço de Federação ou uma aplicação que consome afirmações numa determinada transação.

Fidedignidade de entidade confiadora

No snap-in de Gestão de AD FS 2.0, a fidedignidade de entidade confiadora é um objeto de fidedignidade que é criado para manter a relação com outro Serviço de Federação, aplicação ou serviço (neste caso, o serviço do Windows Azure Active Directory) que consome afirmações do Serviço de Federação da sua organização.

Balanceador de carga da rede

Uma aplicação (como o Balanceamento de Carga na Rede (NLB)) ou um dispositivo de hardware (como um comutador multicamada) dedicados, que se utiliza para proporcionar tolerância a falhas, alta disponibilidade e balanceamento de carga em vários nós. Para o AD FS 2.0, o nome DNS de cluster que criar utilizando este NLB tem de corresponder ao nome do Serviço de Federação especificado aquando da implementação do primeiro servidor de federação no farm.

Execute os passos seguintes

3. Planear a implementação do AD FS 2.0

O primeiro passo do planeamento de uma implementação do AD FS 2.0 para o serviço baseado na nuvem Microsoft é selecionar a topologia de implementação certa para satisfazer as necessidades de single sign-on da sua organização. O AD FS 2.0 requer a utilização de uma Base de Dados Interna do Windows (WID) ou de uma base de dados SQL para armazenar os dados de configuração do AD FS 2.0 utilizados pelo Serviço de Federação.

A topologia dos AD FS 2.0 recomendada para a maioria dos clientes dos serviços em nuvem Microsoft é a topologia de farm de servidores de federação com WID e proxies, que é descrita a seguir. Existe também uma opção avançada de criação de um farm de servidor de federação com proxies do SQL Server, mencionada mais adiante nesta secção.

Além disso esta secção também fornece uma tabela para determinar o número de servidores do AD FS 2.0 a implementar na organização, bem como informações sobre como adicionar servidores de federação para aumentar o desempenho.

Topologia recomendada: farm de servidores de federação com WID e proxies

A topologia predefinida para o serviço baseado na nuvem Microsoft é um farm de servidores de federação do AD FS 2.0 consistindo em vários servidores que alojam o Serviço de Federação da organização. Nesta topologia, o AD FS 2.0 utiliza a WID como a base de dados de configuração do AD FS 2.0 para todos os servidores de federação associados a esse farm. O farm replica e mantém os dados do Serviço de Federação na base de dados de configuração em todos os servidores que inclui.

A ação de criar o primeiro servidor de federação num farm cria também um novo Serviço de Federação. Quando a WID é utilizada como a base de dados de configuração do AD FS 2.0, o primeiro servidor de federação criado no farm é denominado servidor de federação principal. Tal significa que este computador será configurado com uma cópia de leitura/escrita da base de dados de configuração do AD FS 2.0.

Todos os outros servidores de federação configurados para este farm são denominados servidores de federação secundários, uma vez que devem replicar quaisquer alterações efetuadas ao servidor de federação principal nas respetivas cópias só de leitura da base de dados de configuração do AD FS 2.0 que armazenam localmente.

noteNota
Recomendamos a utilização de, pelo menos, dois servidores de federação numa configuração com balanceamento de carga.

A configuração desta topologia base de farm de servidores de federação é a primeira fase da implementação do AD FS 2.0. A segunda fase consiste em determinar a forma de disponibilizar a funcionalidade de controlo de acesso a utilizadores externos através da implementação de proxies de servidor de federação.

Fase 1: Implementar o farm de servidores de federação

Quando estiver pronto para começar a implementar o farm, deve planear colocar todos os servidores de federação da rede empresarial por trás de um anfitrião de Balanceamento de Carga na Rede (NLB) que possa ser configurado para um cluster de NLB com um nome DNS de cluster e um endereço IP de cluster dedicados.

ImportantImportante
Este nome DNS de cluster tem de corresponder ao nome do Serviço de Federação (por exemplo, fs.fabrikam.com) e ser encaminhável por Internet para a instância do AD FS 2.0 implementada. Se o nome não corresponder, o pedido de autenticação não será encaminhado para o servidor DNS correto nem para o servidor de federação correto.

O anfitrião de NLB pode utilizar as definições configuradas neste cluster de NLB para distribuir os pedidos de clientes aos serviços de federação individuais. O diagrama seguinte mostra como a Fabrikam, Inc. poderá configurar a primeira fase da sua implementação utilizando um farm de servidores de federação constituído por dois computadores (fs1 e fs2) com WID, bem como o posicionamento de um servidor DNS e um único anfitrião de NLB ligado com fios à rede empresarial.

Farm de Servidores de Federação com WID
noteNota
Se ocorrer uma falha neste único anfitrião de NLB, os utilizadores não conseguirão aceder a serviço baseado na nuvem. Adicione outros anfitriões de NLB caso os seus requisitos comerciais não permitirem a possibilidade de qualquer falha.

Fase 2: Implementar os proxies de servidor de federação

De forma geral, os proxies de servidor de federação são utilizados para redirecionar os pedidos de autenticação de clientes de fora da rede empresarial para o farm de servidores de federação. No caso de clientes do serviço baseado na nuvem Microsoft, a implementação de proxies de servidor de federação na infraestrutura dos AD FS 2.0 existente é necessária para ativar os seguintes cenários de utilização:

  • Computador de trabalho, em roaming: os utilizadores com sessão iniciada em computadores associados a um domínio através das respetivas credenciais empresariais, mas que não estão ligados à rede empresarial (por exemplo, um computador de trabalho utilizado em casa ou num hotel), podem aceder ao serviço baseado na nuvem.

  • Computador doméstico ou público: quando utiliza um computador não associado ao domínio empresarial, o utilizador deve iniciar sessão com as credenciais empresariais para aceder ao serviço baseado na nuvem.

  • Smartphone: num smartphone, para aceder ao serviço baseado na nuvem como, por exemplo, o Microsoft Exchange Online através do Microsoft Exchange ActiveSync, o utilizador tem de iniciar sessão com as suas credencias empresariais.

  • Microsoft Outlook ou outros clientes de correio eletrónico: o utilizador deve iniciar sessão com as respetivas credenciais corporativas para aceder ao correio eletrónico do Office 365, caso esteja a utilizar o Outlook ou um cliente de correio eletrónico que não faça parte do Office, por exemplo, um cliente IMAP ou POP.

Para suportar estes cenários de utilização, a segunda fase assenta na Fase 1 da implementação, como referido acima, acrescentando dois proxies de servidor de federação, para proporcionar acesso a um servidor DNS na rede de perímetro e acesso a um segundo anfitrião de NLB na rede de perímetro.

O segundo anfitrião de NLB tem de ser configurado com um cluster de NLB que utilize um endereço IP de cluster acessível pela Internet, e tem de utilizar a mesma definição de nome DNS de cluster que o cluster de NLB anterior que configurou na rede empresarial para a Fase 1 (fs.fabrikam.com). Os proxies de servidor de federação também serão configurados com endereços IP acessíveis pela Internet.

O diagrama seguinte mostra a implementação de Fase 1 existente e o modo como a Fabrikam, Inc. poderá fornecer acesso a um servidor DNS de perímetro, adicionar um segundo anfitrião de NLB com o mesmo nome DNS de cluster (fs.fabrikam.com) e adicionar dois proxies de servidor de federação (fsp1 e fsp2) à rede de perímetro.

Farm de Servidores de Federação
noteNota
  • É possível utilizar soluções de proxy inverso HTTP de terceiros para publicar os AD FS 2.0 na extranet. Para obter mais informações sobre como efetuar estas ações, consulte Configurar Opções Avançadas para o AD FS 2.0.

  • Todas as comunicações de AD FS 2.0 que passam pela firewall baseiam-se em HTTPS.

  • Pode criar regras de afirmação personalizadas nos AD FS 2.0 que irão limitar o acesso dos utilizadores ao serviço baseado na nuvem com base na localização física do computador cliente ou dispositivo cliente através do qual o utilizador está a solicitar acesso. Para obter mais informações sobre como criar estas regras, consulte Limitar o Acesso aos Serviços do Office 365 Baseados na Localização do Cliente.

Opção avançada: farm de servidores de federação com SQL Server e proxies

Esta é uma opção de topologia avançada de implementação do AD FS 2.0 que utiliza proxies de servidor de federação e uma configuração de SQL Server para permitir que todos os servidores de federação no farm leiam e escrevam numa base de dados SQL Server comum. A utilização de uma base de dados SQL Server como base de dados de configuração do AD FS 2.0 apresenta as seguintes vantagens relativamente à WID:

  • Funcionalidade de elevada disponibilidade do SQL Server que os administradores podem utilizar.

  • Melhoramentos de desempenho adicionais, incluindo a capacidade de expansão utilizando mais de cinco servidores de federação (a WID está limitada a cinco servidores de federação por farm).

  • Balanceamento de carga geográfico para ajudar a proporcionar incrementos para tráfego elevado com base na localização.

noteNota
Uma vez que esta topologia é uma opção avançada de implementação do AD FS 2.0, os detalhes sobre o seu funcionamento e implementação não são abordados neste artigo.

Para obter mais informações sobre esta opção de topologia, consulte Configurar Opções Avançadas para o AD FS 2.0.

Tabela de estimativas: determinar o número de servidores de AD FS 2.0 a implementar na organização

Pode utilizar a tabela abaixo para o ajudar a estimar o número mínimo de servidores de federação e proxies de servidor de federação do AD FS 2.0 que será necessário instalar num farm de servidores de federação configurado com WID na infraestrutura da sua rede empresarial, com base no número de utilizadores que irão precisar de acesso single sign-on, incluindo acesso remoto, ao serviço baseado na nuvem.

noteNota
Todos os computadores a serem configurados para a função de servidor de federação ou proxy de servidor de federação têm de ter instalado o sistema operativo Windows Server 2008 ou Windows Server 2008 R2.

Recomendamos que utilize um servidor de federação tendo em conta a redundância. A tabela seguinte segue esta recomendação.

 

Número de utilizadores com acesso ao serviço baseado na nuvem Número mínimo de servidores a implementar Recomendação e passos

Menos de 1.000 utilizadores

0 servidores de federação dedicados

0 proxies de servidor de federação dedicados

1 servidor de NLB dedicado

Para os servidores de federação, utilize dois controladores de domínio (DC) do Active Directory existentes e configure-os para a função de servidor de federação. Para tal, selecione dois DC existentes e, em seguida:

  1. Instale o AD FS 2.0 em ambos os controladores de domínio.

  2. Configure um deles como o primeiro servidor de federação num novo farm.

  3. Associe o segundo ao farm de servidores de federação.

Para o NLB, configure um anfitrião de NLB existente ou obtenha um servidor dedicado, em seguida, instale nele a função de servidor de NLB e configure o servidor de NLB.

Para os proxies de servidor de federação, utilize dois servidores Web ou proxy e configure-os para a função de proxy de servidor de federação. Para tal, selecione dois servidores Web ou proxy existentes que residam na extranet e, em seguida:

  1. Instale o AD FS 2.0 em ambos os servidores.

  2. Configure-os para a função de proxy de servidor de federação.

  3. Instale a função de servidor de NLB num dos proxies de servidor de federação ou configure um anfitrião de NLB existente.

noteNota
Se não tiver dois DC existentes e dois servidores Web ou proxy, ou se estes não estiverem a executar o Windows Server 2008 ou o Windows Server 2008 R2, deverá implementar servidores dedicados, como referido na linha seguinte desta tabela.

1.000 a 15.000 utilizadores

2 servidores de federação dedicados

2 proxies de servidor de federação dedicados

Para os servidores de federação, obtenha dois servidores dedicados e, em seguida:

  1. Instale o AD FS 2.0 em ambos os servidores.

  2. Configure um deles como o primeiro servidor de federação num novo farm.

  3. Associe o segundo ao farm.

  4. Instale a função de servidor de NLB num dos servidores de federação ou configure um anfitrião de NLB existente.

Para os servidores de federação, obtenha dois servidores dedicados que possa colocar na extranet e, em seguida:

  1. Instale o AD FS 2.0 em ambos os servidores.

  2. Configure-os para a função de proxy de servidor de federação.

  3. Instale a função de servidor de NLB num dos proxies de servidor de federação ou configure um anfitrião de NLB existente.

15.000 a 60.000 utilizadores

Entre 3 e 5 servidores de federação dedicados

Pelo menos 2 proxies de servidor de federação dedicados

Cada servidor de federação dedicado pode suportar, aproximadamente, 15.000 utilizadores. Deverá, portanto, adicionar um servidor de federação dedicado suplementar à implementação de base de dois servidores de federação, como descrito acima, por cada 15.000 utilizadores que irão precisar de acesso ao serviço baseado na nuvem, até um número máximo de cinco servidores de federação no farm ou 60.000 utilizadores.

noteNota
Um farm de servidores de federação do AD FS 2.0 configurado para utilizar WID suporta, no máximo, cinco servidores de federação. Se necessitar de mais do que cinco servidores de federação, terá de configurar uma base de dados SQL Server para armazenar a base de dados de configuração do AD FS 2.0. Para obter mais informações sobre esta opção, consulte Configurar Opções Avançadas para o AD FS 2.0.

As recomendações sobre o número mínimo de utilizadores/servidores indicadas na tabela acima foram determinadas com base no seguinte hardware:

 

Hardware Especificações

Velocidade da CPU

CPU Dual Quad Core 2,27 GHz (8 núcleos)

RAM

4 gigabytes (GB)

Rede

Gigabit

Adicionar servidores de federação para melhorar o desempenho

Quando dois ou mais servidores de federação são configurados num farm através da tecnologia NLB, eles podem funcionar de modo independente para ajudar a processar a carga de pedidos de utilizador feitos ao Serviço de Federação do AD FS 2.0 sem prejudicar o desempenho geral do serviço na sua totalidade. A adição de servidores de federação a um ambiente de produção existente implica, portanto, um overhead pouco significativo, após uma implementação estratégica na rede dos servidores de federação iniciais.

Execute os passos seguintes

4. Seguir os requisitos de implementação do AD FS 2.0

Para que uma nova implementação do AD FS 2.0 crie com êxito uma relação de fidedignidade de entidade confiadora com o Windows Azure AD, tem de se certificar primeiro que a infraestrutura da sua rede empresarial está configurada para suportar os requisitos do AD FS 2.0 relativamente a contas, resolução de nomes e certificados. Estes são os tipos de requisitos do AD FS 2.0:

  • Requisitos de software

  • Requisitos de certificados

  • Requisitos de rede

Requisitos de software

O software AD FS 2.0 tem de ser instalado em qualquer computador a ser preparado para a função de servidor de federação ou proxy de servidor de federação. Pode instalar este software através do Assistente de Configuração do AD FS 2.0 ou efetuando uma instalação silenciosa numa linha de comandos utilizando o parâmetro adfssetup.exe /quiet.

Como plataforma de instalação de base, o AD FS 2.0 requer o sistema operativo Windows Server 2008 ou Windows Server 2008 R2. O AD FS 2.0 tem um pacote de instalação distinto para cada plataforma de sistema operativo.

Pré-requisitos

Durante o processo de instalação do AD FS 2.0, o assistente de configuração tenta automaticamente procurar e, se necessário, instalar as aplicações pré-requisitadas e as correções dependentes. Na maioria dos casos, o assistente de configuração instalará todas as aplicações de pré-requisito que forem necessárias para a instalação e funcionamento do AD FS 2.0.

Há, no entanto, uma exceção: a instalação dos AD FS 2.0 na plataforma do Windows Server 2008. Se este for o caso do seu cenário de implementação, terá de se certificar que o .NET 3.5 SP1 está instalado nos servidores que executam o Windows Server 2008 antes de instalar o software AD FS 2.0, já que o mesmo é um pré-requisito do AD FS 2.0 e não será instalado automaticamente pelo Assistente de Configuração do AD FS 2.0 nesta plataforma. Sem o .NET 3.5 SP1 instalado, o Assistente de Configuração do AD FS 2.0 impedirá a instalação do software do AD FS 2.0.

Correções

É necessário instalar as correções do AD FS 2.0 após a instalação do AD FS 2.0. Para obter mais informações, consulte Descrição do Update Rollup 2 para os Serviços de Federação do Active Directory (AD FS) 2.0.

Virtualização

O AD FS 2.0 suporta a virtualização de software das funções de servidor de federação e de proxy de servidor de federação. Tendo em conta a redundância, recomendamos que armazene cada máquina virtual do AD FS 2.0 em diferentes servidores virtuais físicos.

Para obter mais informações sobre como configurar um ambiente de servidor virtual utilizando a tecnologia de virtualização da Microsoft, consulte o Guia de Introdução do Hyper-V.

Requisitos de certificados

Os certificados desempenham o papel mais crítico na proteção das comunicações entre os servidores de federação, os proxies de servidor de federação, o serviço baseado na nuvem e os clientes Web. Os requisitos de certificados variam consoante esteja a configurar um computador para servidor de federação ou para proxy de servidor de federação, como é descrito nas tabelas seguintes.

Certificados de servidor de federação

Os servidores de federação requerem os certificados listados na tabela seguinte.

 

Tipo de certificado Descrição O que precisa de saber antes de proceder à implementação

Certificado SSL (também denominado Certificado de Autenticação de Servidor)

Trata-se de um certificado SSL (Secure Sockets Layer) padrão que é utilizado para proteger as comunicações entre servidores de federação, clientes e computadores de proxy de servidor de federação.

O AD FS 2.0 requer um certificado SSL para a configuração das definições de servidores de federação. Por predefinição, o AD FS 2.0 utiliza o certificado SSL configurado para o Web Site Predefinido nos Serviços de Informação Internet (IIS).

O nome do Requerente deste certificado SSL é utilizado para determinar o nome do Serviço de Federação de cada instância do AD FS 2.0 que implementar. Por este motivo, poderá ser útil escolher, para quaisquer novos certificados emitidos por uma Autoridade de certificação (AC), um nome de Requerente que represente o melhor possível o nome da sua empresa ou organização para o serviço baseado na nuvem, devendo este nome ser encaminhável para a Internet. Por exemplo, no diagrama apresentado anteriormente neste artigo (ver “Fase 2”), o nome do requerente do certificado seria fs.fabrikam.com.

ImportantImportante
O AD FS 2.0 requer que o certificado SSL não contenha um nome de Requerente sem ponto (nome abreviado).

Obrigatório: uma vez que este certificado tem de ser confiado pelos clientes dos AD FS 2.0 e dos serviços em nuvem Microsoft, utilize um certificado SSL emitido por uma AC pública (de terceiros) ou uma AC subordinada a uma raiz reconhecidamente fidedigna como, por exemplo, a VeriSign ou a Thawte.

Certificado de assinatura de tokens

Trata-se de um certificado X.509 padrão que é utilizado para assinar com segurança todos os tokens emitidos pelo servidor de federação e que serão aceites e validados pelo serviço baseado na nuvem.

O certificado de assinatura de tokens tem de conter uma chave privada e estar associada a uma raiz fidedigna no Serviço de Federação. Por predefinição, o AD FS 2.0 cria um certificado autoassinado. No entanto, conforme as necessidades da sua organização, posteriormente poderá alterá-lo para um certificado assinado por uma AC através do snap-in Gestão de AD FS 2.0.

Recomendação: utilize o certificado de assinatura de tokens autoassinados que é gerado pelos AD FS 2.0. Desse modo, por predefinição, o AD FS 2.0 fará a gestão do certificado por si. Por exemplo, caso o certificado esteja prestes a expirar, o AD FS 2.0 gera um novo certificado autoassinado com antecedência.

CautionAtenção
O certificado de assinatura de tokens é fundamental para a estabilidade do Serviço de Federação. Se for alterado, a alteração deve ser comunicada ao serviço baseado na nuvem. Caso contrário, os pedidos ao serviço baseado na nuvem irão falhar. Para obter mais informações sobre a gestão de certificados no farm de servidores de federação dos AD FS 2.0 e no serviço baseado na nuvem, consulte Atualizar as propriedades de fidedignidade.

Certificados de proxy de servidor de federação

Os proxies de servidor de federação requerem os certificados listados na tabela seguinte.

 

Tipo de certificado Descrição O que precisa de saber antes de proceder à implementação

Certificado SSL

Trata-se de um certificado SSL padrão que é utilizado para proteger as comunicações entre um servidor de federação, um proxy de servidor de federação e computadores cliente da Internet.

Este certificado tem de estar vinculado ao Web Site Predefinido nos IIS para poder executar com êxito o Assistente de Configuração do Proxy de Servidor de Federação do AD FS 2.0.

Este certificado tem de incluir o mesmo nome de requerente que o certificado SSL configurado no servidor de federação na rede empresarial.

Recomendação: utilize o mesmo certificado de autenticação de servidor que está configurado no servidor de federação ao qual este proxy de servidor de federação irá estabelecer ligação.

Para obter mais informações sobre os certificados utilizados pelos servidores de federação e os proxies de servidores de federação, consulte o Guia de Conceção do AD FS 2.0.

Requisitos de rede

Configurar corretamente os serviços de rede indicados a seguir é fundamental para uma implementação bem sucedida do AD FS 2.0 na sua organização.

Conetividade de rede TCP/IP

Para que o AD FS 2.0 funcione, tem de existir uma conetividade de rede TCP/IP entre o cliente, os controladores de domínio, os servidores de federação e os proxies de servidor de federação.

DNS

O serviço de rede principal que é fundamental para o funcionamento do AD FS 2.0, além do Active Directory, é o Sistema de Nomes de Domínio (DNS). Quando o DNS está implementado, os utilizadores podem utilizar nomes de computador fáceis de memorizar para ligar a computadores e a outros recursos em redes IP.

O processo de atualização de DNS para suportar o AD FS 2.0 consiste na configuração de:

  • Servidores DNS internos na rede empresarial, para resolver o nome DNS de cluster no endereço IP de cluster do cluster de NLB configurado no anfitrião de NLB da rede empresarial. Por exemplo, a resolução de fs.fabrikam.com em 172.16.1.3.

  • Servidores DNS da rede de perímetro para resolver o nome DNS de cluster no endereço IP de cluster do cluster de NLB configurado no anfitrião de NLB de perímetro. Por exemplo, a resolução de fs.fabrikam.com em 192.0.2.3.

Requisitos de NLB

O NLB é necessário para proporcionar a tolerância a falhas, alta disponibilidade e balanceamento de carga em vários nós. Pode ser implementado com hardware, software ou uma combinação de ambos. Terá de configurar os registos de recursos DNS com base no nome do Serviço de Federação para o cluster com balanceamento de carga na rede, de modo que o nome de domínio completamente qualificado (FQDN) do cluster (também denominado nome de DNS do cluster neste artigo) seja resolvido no respetivo endereço IP do cluster.

Para obter informações gerais sobre o endereço IP do cluster com balanceamento de carga na rede ou o nome de domínio completamente qualificado do cluster, consulte Especificar os Parâmetros dos Clusters.

Utilizar a Proteção Expandida para Autenticação

Se os seus computadores tiverem Proteção Expandida para Autenticação e utilizar o Firefox, Chrome ou Safari, poderá não conseguir iniciar sessão no serviço baseado na nuvem através da autenticação integrada do Windows a partir da rede empresarial. Se tal for o caso, os utilizadores poderão receber pedidos de início de sessão regularmente. Isto deve-se à configuração predefinida (no Windows 7 e em sistemas operativos de cliente corrigidos) para o AD FS 2.0 e para a Proteção Expandida para Autenticação.

Até que o Firefox, o Chrome e o Safari suportem a Proteção Expandida para Autenticação, a opção recomendada é que todos os clientes que acedem ao serviço baseado na nuvem instalem e utilizem o Windows Internet Explorer 8. Se pretender utilizar o single sign-on para o serviço baseado na nuvem com o Firefox, Chrome ou Safari, há duas outras soluções possíveis. Contudo, qualquer uma destas abordagens poderá acarretar problemas de segurança. Para obter mais informações, consulte Microsoft Security Advisory: proteção expandida para autenticação. As soluções incluem:

  • Desinstalação dos patches de Proteção Expandida para Autenticação do computador.

  • Alteração da definição de Proteção Expandida para Autenticação no servidor do AD FS 2.0. Para obter mais informações, consulte Configurar Opções Avançadas para o AD FS 2.0.

  • Reconfiguração das definições de autenticação da página Web do AD FS 2.0 em cada servidor de federação da autenticação integrada do Windows para utilizar a Autenticação Baseada em Formulários.

Execute os passos seguintes

5. Implementar o farm de servidores de federação

A ação mais importante que tem de efetuar para disponibilizar aos utilizadores o acesso single sign-on ao serviço baseado na nuvem é implementar um novo farm de servidores de federação do AD FS 2.0. Recomendamos a implementação de, pelo menos, dois servidores de federação para proporcionar tolerância a falhas, balanceamento de carga e escalabilidade ao ambiente de produção de AD FS 2.0 da sua organização.

As listas de verificação que se seguem incluem as tarefas de preparação e implementação que são necessárias para criar o primeiro servidor de federação do AD FS 2.0 num novo farm, criar o segundo servidor de federação e, em seguida, associar o segundo servidor de federação ao farm.

noteNota
  • Efetue as tarefas pela ordem indicada nas listas de verificação. Se uma hiperligação de referência o direcionar para um procedimento, regresse a este tópico depois de executar os passos desse procedimento, para poder continuar as outras tarefas da lista de verificação.

  • Salvo indicação em contrário, para concluir todas as tarefas seguindo os procedimentos descritos nesta secção, primeiro terá de iniciar sessão nos computadores como membro do grupo de Administradores ou dispor de permissões delegadas equivalentes.

Lista de verificação Passo 5 – Lista de verificação 1: preparar a infraestrutura de rede para os servidores de federação

 

Tarefa de implementação Hiperligações para tópicos nesta secção Concluída

1. Associe os computadores que irão funcionar como servidores de federação a um domínio onde os utilizadores do Active Directory serão autenticados.

noteNota
Pode ignorar este passo se for utilizar controladores de domínio existentes como servidores de federação.

Associar o computador a um domínio

Caixa de verificação

2. Crie e configure um novo nome DNS de cluster de NLB ou utilize um cluster de NLB existente na rede empresarial para ser utilizado pelo novo farm de servidores de federação. Em seguida, adicione os computadores de servidor de federação ao cluster de NLB. Se estiver a utilizar a tecnologia Windows Server para os anfitriões de NLB atuais, escolha a hiperligação apropriada à direita, com base na versão do seu sistema operativo.

Para criar e configurar os clusters com balanceamento de carga na rede no Windows Server 2003 e no Windows Server 2003 R2, consulte Lista de verificação: ativar e configurar o balanceamento de carga na rede. Para criar e configurar clusters com balanceamento de carga na rede no Windows Server 2008, consulte Criar Clusters com Balanceamento de Carga na Rede.

Para criar e configurar clusters com balanceamento de carga na rede no Windows Server 2008 R2, consulte Criar Clusters com Balanceamento de Carga na Rede.

Caixa de verificação

3. Crie um novo registo de recurso para o nome DNS de cluster no DNS da rede empresarial que aponte o nome do FQDN do cluster de NLB para o respetivo endereço IP do cluster.

Adicionar um registo de recurso ao DNS empresarial para o nome DNS de cluster configurado no anfitrião de NLB da empresa

Caixa de verificação

4. Importe o certificado de autenticação de servidor para o Web Site Predefinido de cada servidor de federação no farm.

noteNota
A instalação deste certificado no Web Site Predefinido é um requisito para poder utilizar o Assistente de Configuração de Servidores de Federação do AD FS 2.0.

Importar um certificado de autenticação de servidor para o Web Site Predefinido

Caixa de verificação

5. Crie e configure uma conta de serviço dedicada no Active Directory onde residirá o farm de servidores de federação e configure cada servidor de federação no farm para utilizar esta conta.

Criar uma conta de serviço dedicada para o farm de servidores de federação

Caixa de verificação

Lista de verificação Passo 5 – Lista de verificação 2: implementar o farm de servidores de federação

 

Tarefa de implementação Hiperligações para tópicos nesta secção Concluída

1. Instale o software AD FS 2.0 e as correções do AD FS 2.0 nos computadores que irão funcionar como servidores de federação.

Instalar o software AD FS 2.0

Caixa de verificação

2. Configure o software AD FS 2.0 num dos computadores que desempenhará a função de servidor de federação. Efetue este procedimento para criar o primeiro servidor de federação num novo farm.

Configurar o primeiro servidor de federação no farm de servidores de federação

Caixa de verificação

3. Configure o segundo servidor de federação seguindo os passos acima e, em seguida, avance para esta tarefa e utilize o procedimento indicado à direita para associar este novo servidor de federação ao novo farm.

Adicionar um servidor de federação ao farm de servidores de federação

Caixa de verificação

4. A partir de um computador cliente, verifique se os servidores de federação estão a funcionar.

Verificar se o servidor de federação está a funcionar

Caixa de verificação

Associar o computador a um domínio

Para que o AD FS 2.0 funcione, todos os computadores com a função de servidor de federação têm de ser associados a um domínio. Os proxies de servidor de federação também podem ser associados a um domínio, mas tal não é um requisito.

Para associar o computador a um domínio

  1. No computador que pretende associar a um domínio, clique em Iniciar, clique em Painel de Controlo e, em seguida, faça duplo clique em Sistema.

  2. Em Definições de Nome do Computador, Domínio e Grupo de Trabalho, clique em Alterar definições.

  3. No separador Nome do computador, clique em Alterar.

  4. Em Membro de, clique em Domínio, escreva o nome do domínio a que este computador será associado e, em seguida, clique em OK.

  5. Clique em OK e, em seguida, reinicie o computador.

Adicionar um registo de recurso ao DNS empresarial para o nome DNS de cluster configurado no anfitrião de NLB da empresa

Para os clientes na rede empresarial poderem aceder com êxito ao Serviço de Federação, primeiro tem de ser criado um registo de recurso (A) de anfitrião no Sistema de Nomes de Domínio (DNS) que resolve o nome DNS de cluster do Serviço de Federação (por exemplo, fs.fabrikam.com) no endereço IP de cluster na rede empresarial (por exemplo, 172.16.1.3). Pode utilizar o procedimento seguinte para adicionar um registo de recurso (A) de anfitrião ao DNS empresarial do cluster de NLB.

Para adicionar um registo de recurso ao DNS empresarial do nome DNS de cluster configurado no anfitrião de NLB da empresa

  1. Num servidor DNS da rede empresarial, abra o snap-in de DNS.

  2. Na árvore da consola, clique com o botão direito do rato na zona de pesquisa direta aplicável (por exemplo, fabrikam.com) e, em seguida, clique em Novo Anfitrião (A ou AAAA).

  3. Em Nome, digite apenas o nome do computador do servidor de federação ou do cluster de servidor de federação; por exemplo, para o nome de domínio completamente qualificado (FQDN) fs.frabrikam.com, digite fs.

  4. Em Endereço IP, escreva o endereço IP do servidor de federação ou do cluster de servidor de federação (por exemplo, 172.16.1.3).

  5. Clique em Adicionar Anfitrião.

    ImportantImportante
    Pressupõe-se que está a utilizar um servidor DNS, a executar o Windows 2000 Server, o Windows Server 2003 ou o Windows Server 2008 com o serviço Servidor DNS, para controlar a zona DNS.

Importar um certificado de autenticação de servidor para o Web Site Predefinido

Depois de obter um certificado de autenticação de servidor junto de uma autoridade de certificação (AC), tem de instalar esse certificado manualmente no Web Site Predefinido de cada servidor de federação no farm.

Uma vez que este certificado tem de ser confiado pelos clientes dos AD FS 2.0 e dos serviços em nuvem Microsoft, utilize um certificado SSL emitido por uma AC pública (de terceiros) ou uma AC subordinada a uma raiz reconhecidamente fidedigna como, por exemplo, a VeriSign ou a Thawte. Para obter informações sobre como instalar um certificado de uma AC pública, consulte IIS 7.0: Solicitar um Certificado de Servidor da Internet.

noteNota
O nome de requerente deste certificado de autenticação de servidor tem de corresponder ao FQDN do nome DNS de cluster (por exemplo, fs.fabrikam.com) que foi criado anteriormente no anfitrião de NLB. Se os Serviços de Informação Internet (IIS) não tiverem sido instalados, terá de os instalar para poder efetuar esta tarefa. Depois de instalar os IIS pela primeira vez, recomendamos que utilize as opções de apresentação predefinidas quando lhe for solicitado durante a instalação da função de servidor.

Para importar um certificado de autenticação de servidor para o Web Site Predefinido

  1. Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e, em seguida, clique em Gestor de Serviços de Informação Internet (IIS).

  2. Na árvore da consola, clique em Nome do Computador.

  3. No painel central, faça duplo clique em Certificados de Servidor.

  4. No painel Ações, clique em Importar.

  5. Na caixa de diálogo Importar Certificado, clique no botão .

  6. Navegue até à localização do ficheiro de certificado pfx, realce-o e clique em Abrir.

  7. Escreva uma palavra-passe para o certificado e, em seguida, clique em OK.

Criar uma conta de serviço dedicada para o farm de servidores de federação

Para configurar um ambiente de farm de servidores de federação no AD FS 2.0, tem de criar e configurar uma conta de serviço dedicada no Active Directory onde irá residir o farm. Esta conta de serviço dedicada é necessária para garantir que todos os recursos exigidos pelo farm do AD FS 2.0 têm acesso a cada um dos servidores de federação no farm.

Em seguida, pode configurar cada servidor de federação no farm para utilizar esta mesma conta de serviço. Por exemplo, se a conta de serviço criada fosse fabrikam\ADFS2SVC, em cada computador configurado para a função de servidor de federação e incluído no mesmo farm teria de especificar fabrikam\ADFS2SVC, neste passo do Assistente de Configuração de Servidores de Federação, para que o farm funcione.

noteNota
As tarefas deste procedimento só têm de ser efetuadas uma vez para o farm de servidores de federação completo. Posteriormente, ao criar um servidor de federação utilizando o Assistente de Configuração de Servidores de Federação do AD FS 2.0, terá de especificar esta mesma conta na página do assistente Conta de serviço para cada servidor de federação no farm.

Para criar uma conta de serviço dedicada para o farm de servidores de federação

  1. Crie uma conta de serviço/utilizador dedicada na floresta do Active Directory que utilizará na organização.

  2. Edite as propriedades da conta de utilizador e, em seguida, selecione a caixa de verificação A palavra-passe nunca expira. Esta ação garante que a função da conta de serviço não será interrompida devido à necessidade de alteração da palavra-passe do domínio.

    noteNota
    • Se necessitar de alterar regularmente a palavra-passe da conta do serviço, consulte Configurar Opções Avançadas para o AD FS 2.0.

    • A utilização da conta de Serviço de Rede como conta dedicada causará falhas aleatórias no caso de ser tentado o acesso através da autenticação integrada do Windows, uma vez que as permissões Kerberos não são validadas de um servidor para outro.

Instalar o software AD FS 2.0

O software AD FS 2.0 tem de ser instalado em qualquer computador a ser preparado para a função de servidor de federação. Pode instalar este software através do Assistente de Configuração do AD FS 2.0 ou utilizando um parâmetro de linha de comandos. Para obter mais informações sobre este parâmetro, consulte o Guia de Implementação do AD FS 2.0.

Certifique-se de que conclui o processo de instalação, instalando todas as correções necessárias em cada computador de servidor de federação, conforme indicado no último passo deste procedimento.

Para instalar o software AD FS 2.0

  1. Transfira o pacote do software AD FS 2.0 que corresponde à sua versão específica do sistema operativo (Windows Server 2008 ou Windows Server 2008 R2) guardando o ficheiro de configuração AdfsSetup.exe no computador. Para transferir este ficheiro, aceda a Serviços de Federação do Active Directory 2.0 RTW.

  2. Localize o ficheiro de configuração AdfsSetup.exe que transferiu para o computador e faça duplo clique no mesmo.

  3. Na página Bem-vindo ao Assistente de Configuração do AD FS 2.0, clique em Seguinte.

  4. Na página Contrato de Licença do Utilizador Final, leia os termos de licenciamento.

  5. Se concordar com os termos, selecione a caixa de verificação Aceito os termos no contrato de licença e clique em Seguinte.

  6. Na página Papel do servidor, selecione Servidor de federação e clique em Seguinte.

  7. Na página Assistente de Configuração do AD FS 2.0 concluído, clique em Concluir.

    ImportantImportante
    Em alguns casos, a instalação do AD FS 2.0 pode exigir que o computador seja reiniciado (por exemplo, se forem instaladas correções dependentes).

  8. Instale todas as correções, conforme indicado em Descrição do Update Rollup 2 para os Serviços de Federação do Active Directory (AD FS) 2.0.

Configurar o primeiro servidor de federação no farm de servidores de federação

Pode utilizar o procedimento seguinte para configurar o computador para ser o primeiro servidor de federação num novo farm de servidores de federação através do Assistente de Configuração de Servidores de Federação do AD FS 2.0.

O acesso mínimo necessário para efetuar este procedimento é a associação a Admins do Domínio ou uma conta de domínio delegada com acesso de escrita ao contentor de Dados do Programa no Active Directory.

Para criar o primeiro servidor de federação no farm de servidores de federação

  1. Depois de concluída a instalação de software do AD FS 2.0, clique em Iniciar, clique em Ferramentas Administrativas e, em seguida, em Gestão AD FS 2.0 para abrir o snap-in de Gestão do AD FS 2.0.

  2. Na página Descrição Geral, clique em Assistente de Configuração de Servidores de Federação do AD FS 2.0.

  3. Na página Bem-vindo, verifique se a opção Criar um novo Serviço de Federação está selecionada e, em seguida, clique em Seguinte.

  4. Na página Selecionar Implementação Autónoma ou de Farm, clique em Novo farm de servidor de federação e, em seguida, clique em Seguinte.

  5. Na página Especificar o Nome do Serviço de Federação, verifique se o Certificado SSL apresentado corresponde ao nome do certificado que foi importado para o Web Site Predefinido nos IIS. Se não corresponder, selecione o certificado correto na lista Certificado SSL.

    noteNota
    O assistente não permite substituir o certificado se houver um certificado SSL configurado para os IIS. Isto garante a preservação de qualquer configuração anterior dos IIS visando especificamente os certificados SSL. Para contornar este problema, pode voltar atrás e importar novamente o certificado para o Web Site Predefinido dos IIS.

  6. Caso tenha reinstalado o AD FS neste computador anteriormente, é apresentada a página Base de Dados de Configuração do AD FS Detetada. Se essa página aparecer, clique em Eliminar base de dados e, em seguida, clique em Seguinte.

  7. Na página Especificar uma Conta de Serviço, clique em Procurar. Na caixa de diálogo Procurar, localize a conta de domínio que será utilizada como conta de serviço neste novo farm de servidores de federação e, em seguida, clique em OK. Escreva a palavra-passe desta conta, confirme-a e clique em Seguinte.

    noteNota
    Para obter mais informações acerca da conta de serviço criada anteriormente neste artigo, consulte Criar uma conta de serviço dedicada para o farm de servidores de federação.

  8. Na página Pronto para Aplicar Definições, reveja os detalhes. Se lhe parecer que as definições estão corretas, clique em Seguinte para iniciar a configuração do AD FS 2.0 com estas definições.

  9. Reveja os resultados na página Resultados da Configuração. Quando todos os passos de configuração estiverem concluídos, clique em Fechar para sair do assistente.

noteNota
Quando concluir os passos deste procedimento, o snap-in Gestão do AD FS 2.0 abrir-se-á automaticamente e aparecerá uma mensagem a indicar que A Configuração Necessária está Incompleta e que deverá Adicionar uma Entidade Confiadora Fidedigna. Esta mensagem pode ser ignorada.

A relação de fidedignidade de entidade confiadora do Windows Azure Active Directory será adicionada noutro passo mais adiante. Para obter mais informações, consulte Instalar o Windows PowerShell para o serviço single sign-on com o AD FS 2.0. Quando este passo for concluído, a mensagem desaparecerá do snap-in Gestão de AD FS 2.0.

Adicionar um servidor de federação ao farm de servidores de federação

Depois de instalar o software AD FS 2.0 e de configurar os certificados necessários num computador, estará pronto para configurar o computador para ser um servidor de federação. Pode utilizar o procedimento seguinte para associar um computador a um novo farm de servidores de federação.

O computador é associado a um farm através do Assistente de Configuração de Servidores de Federação do AD FS 2.0. Quando se utiliza este assistente para associar um computador a um farm existente, o computador é configurado com uma cópia só de leitura da base de dados de configuração do AD FS 2.0 e tem de receber atualizações de um servidor de federação principal.

Para adicionar um servidor de federação ao farm de servidores de federação

  1. Depois de concluída a instalação de software do AD FS 2.0, clique em Iniciar, clique em Ferramentas Administrativas e, em seguida, em Gestão AD FS 2.0 para abrir o snap-in de Gestão do AD FS 2.0.

  2. Na página Descrição Geral ou no painel Ações, clique em Assistente de Configuração de Servidores de Federação do AD FS 2.0.

  3. Na página Bem-vindo, verifique se a opção Adicionar um servidor de federação a um Serviço de Federação existente está selecionada e, em seguida, clique em Seguinte.

  4. Se base de dados do AD FS 2.0 que selecionou já existir, é apresentada a página Base de Dados de Configuração do AD FS Detetada. Nesse caso, clique em Eliminar base de dados e, em seguida, clique em Seguinte.

    CautionAtenção
    Só deverá selecionar esta opção se tiver a certeza de que os dados nesta base de dados do AD FS 2.0 não são importantes ou que não é utilizada num farm de servidores de federação de produção.

  5. Na página Especificar o Servidor de Federação Principal e a Conta de Serviço, em Nome do servidor de federação principal, escreva o nome do computador do servidor de federação principal no farm e, em seguida, clique em Procurar. Na caixa de diálogo Procurar, localize a conta de domínio que é utilizada como conta de serviço por todos os servidores de federação no farm de servidores de federação existente e, em seguida, clique em OK. Escreva a palavra-passe, confirme-a e clique em Seguinte.

    noteNota
    Para obter mais informações acerca da conta de serviço criada anteriormente neste artigo, consulte Criar uma conta de serviço dedicada para o farm de servidores de federação.

  6. Na página Pronto para Aplicar Definições, reveja os detalhes. Se lhe parecer que as definições estão corretas, clique em Seguinte para iniciar a configuração do AD FS 2.0 com estas definições.

  7. Reveja os resultados na página Resultados da Configuração. Quando todos os passos de configuração estiverem concluídos, clique em Fechar para sair do assistente.

Verificar se o servidor de federação está a funcionar

Pode utilizar os seguintes procedimentos para verificar se um servidor de federação está a funcionar; isto é, se qualquer cliente na mesma rede consegue aceder a um novo servidor de federação.

Procedimento 1: para verificar se o servidor de federação está a funcionar

  1. Inicie sessão num computador cliente localizado na mesma floresta do servidor de federação.

  2. Abra uma janela de browser. Na barra de endereço, digite o nome de anfitrião de DNS e, em seguida, acrescente /FederationMetadata/2007-06/FederationMetadata.xml ao novo servidor de federação; por exemplo:

    https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

  3. Prima ENTER e efetue o procedimento seguinte no computador de servidor de federação. Se vir a mensagem Existe um problema com o certificado de segurança deste Web site, clique em Continue neste Web site.

    O resultado esperado é uma apresentação de XML com o documento de descrição do serviço. Se aparecer esta página, os IIS no servidor de federação estão a funcionar e a servir páginas com êxito.

Procedimento 2: para verificar se o servidor de federação está a funcionar

  1. Inicie sessão no novo servidor de federação como Administrador.

  2. Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Visualizador de Eventos.

  3. No painel de detalhes, faça duplo clique em Registos de Serviços e Aplicações, faça duplo clique em AD FS 2.0 Eventing e, em seguida, clique em Admin.

  4. Na coluna ID do Evento, procure o evento ID 100. Se o servidor de federação estiver configurado corretamente, verá um novo evento — no registo Aplicação do Visualizador de Eventos — identificado como event ID 100. Este evento confirma que o servidor de federação conseguiu comunicar com êxito com o Serviço de Federação.

Execute os passos seguintes

6. Implementar os proxies de servidor de federação

Os proxies de servidor de federação do AD FS 2.0 residem na extranet para funcionar como proxy para os inícios de sessão dos clientes num servidor de federação localizado na rede empresarial. O proxy de servidor de federação também facilita a distribuição de tokens de segurança aos clientes remotos que tentam aceder ao serviço baseado na nuvem.

A lista de verificação seguinte inclui as tarefas de implementação necessárias para implementar dois proxies de servidor de federação, que irão redirecionar pedidos de autenticação para um servidor de federação no novo farm de servidores de federação.

noteNota
  • Recomenda-se a implementação de, pelo menos, dois proxies de servidor de federação para proporcionar a tolerância a falhas e a utilização de um anfitrião de NLB para tolerância de falhas e balanceamento de carga.

  • É possível utilizar soluções de proxy inverso HTTP de terceiros para publicar os AD FS 2.0 na extranet. Para obter mais informações sobre como efetuar estas ações, consulte Configurar Opções Avançadas para o AD FS 2.0.

  • Para concluir todas as tarefas seguindo os procedimentos descritos nesta secção, primeiro terá de iniciar sessão nos computadores como membro do grupo de Administradores ou dispor de permissões delegadas equivalentes.

Lista de verificação Passo 6 – Lista de verificação 1: preparar a infraestrutura de rede para os proxies de servidor de federação

 

Tarefa de implementação Hiperligações para tópicos nesta secção Concluída

1. Prepare dois computadores a executar o sistema operativo Windows Server 2008 ou Windows Server 2008 R2 para serem configurados como proxy de servidor de federação. Em função do número de utilizadores que tiver, pode utilizar os servidores Web ou proxy existentes ou então um computador dedicado.

N/D

Caixa de verificação

2. Adicione o nome do Serviço de Federação da rede empresarial (o nome DNS de cluster que criou anteriormente no anfitrião de NLB na rede empresarial) e o endereço IP de cluster associado aos ficheiros de anfitriões em cada computador de proxy de servidor de federação na rede de perímetro.

Adicionar o nome DNS de cluster e endereço IP ao ficheiro de anfitriões ao computador de proxy

Caixa de verificação

3. Crie um novo nome DNS de cluster e endereço IP de cluster no anfitrião de NLB na rede de perímetro e, em seguida, adicione os computadores de servidor de federação ao cluster de NLB. Se estiver a utilizar a tecnologia Windows Server para os anfitriões de NLB atuais, escolha a hiperligação apropriada à direita, com base na versão do seu sistema operativo.

ImportantImportante
O nome de DNS cluster utilizado para este novo cluster de NLB tem de corresponder ao nome do Serviço de Federação na rede empresarial.

Para criar e configurar os clusters com balanceamento de carga na rede no Windows Server 2003 e no Windows Server 2003 R2, consulte Lista de verificação: ativar e configurar o balanceamento de carga na rede.

Para criar e configurar clusters com balanceamento de carga na rede no Windows Server 2008, consulte Criar Clusters com Balanceamento de Carga na Rede.

Para criar e configurar clusters com balanceamento de carga na rede no Windows Server 2008 R2, consulte Criar Clusters com Balanceamento de Carga na Rede.

Caixa de verificação

4. Crie um novo registo de recurso para o cluster de NLB no DNS da rede de perímetro que aponte o nome DNS de cluster do cluster de NLB para o respetivo endereço IP do cluster.

Adicionar um registo de recurso ao DNS de perímetro para o nome DNS de cluster configurado no anfitrião de NLB de perímetro

Caixa de verificação

5. Utilize o mesmo certificado de autenticação de servidor que o utilizado pelos servidores de federação na rede empresarial e instale-o nos IIS no Web Site Predefinido do proxy de servidor de federação.

Importar um certificado de autenticação de servidor para o Web Site Predefinido no computador de proxy

Caixa de verificação

Lista de verificação Passo 6 – Lista de verificação 2: implementar os proxies de servidor de federação

 

Tarefa de implementação Hiperligações para tópicos nesta secção Concluída

1. Instale o software AD FS 2.0 nos computadores que irão funcionar como proxies de servidor de federação.

Instalar o software AD FS 2.0 no computador de proxy

Caixa de verificação

2. Configure o software AD FS 2.0 no computador, para desempenhar a função de proxy de servidor de federação, utilizando o Assistente de Configuração do Proxy de Servidor de Federação do AD FS 2.0.

Configurar um computador para a função de proxy de servidor de federação

Caixa de verificação

3. Utilizando o Visualizador de Eventos, verifique se o serviço de proxy de servidor de federação foi iniciado.

Verificar se o proxy de servidor de federação está a funcionar

Caixa de verificação

Adicionar o nome DNS de cluster e endereço IP ao ficheiro de anfitriões ao computador de proxy

Para que o proxy de servidor de federação funcione como previsto na rede de perímetro, tem de adicionar uma entrada ao ficheiro de anfitriões em cada computador de proxy de servidor de federação que aponte para o nome DNS de cluster alojado pelo NLB na rede empresarial (por exemplo, fs.fabrikam.com) e o respetivo endereço IP (por exemplo, 172.16.1.3). A adição desta entrada ao ficheiro de anfitriões permite ao proxy de servidor de federação encaminhar corretamente uma chamada iniciada por um cliente para um servidor de federação, dentro ou fora da rede de perímetro.

Para adicionar o nome DNS de cluster e endereço IP ao ficheiro de anfitriões ao proxy

  1. Navegue para a pasta do diretório %systemroot%\Winnt\System32\Drivers e localize o ficheiro de anfitriões.

  2. Inicie o Bloco de Notas e, em seguida, abra o ficheiro de anfitriões.

  3. Adicione o endereço IP e o nome de anfitrião de um servidor de federação no ficheiro de anfitriões, como indicado no seguinte exemplo:

    172.16.1.3             fs.fabrikam.com

  4. Guarde e feche o ficheiro.

ImportantImportante
Se o endereço IP de cluster no anfitrião de NLB da rede empresarial for alterado, tem de atualizar o ficheiro de anfitriões local em cada proxy de servidor de federação.

Adicionar um registo de recurso ao DNS de perímetro para o nome DNS de cluster configurado no anfitrião de NLB de perímetro

Para responder aos pedidos de autenticação de clientes localizados dentro ou fora da rede empresarial, o AD FS 2.0 requer que a resolução de nomes seja configurada em servidores DNS externos que alojam a zona da organização (por exemplo, fabrikam.com).

Para tal, adicione um Registo de Recurso (A) de Anfitrião ao servidor DNS externo que serve apenas a rede de perímetro para que o nome DNS de cluster (por exemplo, “fs.fabrikam.com”) aponte para o endereço IP de cluster externo que acabou de ser configurado.

Para adicionar um registo de recurso ao DNS de perímetro para o nome DNS de cluster configurado no anfitrião de NLB de perímetro

  1. Num servidor DNS da rede de perímetro, abra o snap-in de DNS. Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em DNS.

  2. Na árvore da consola, clique com o botão direito do rato na zona de pesquisa direta aplicável (por exemplo, fabrikam.com) e, em seguida, clique em Novo Anfitrião (A ou AAAA).

  3. Em Nome, escreva apenas o nome DNS de cluster especificado no anfitrião de NLB na rede de perímetro (deve ser o mesmo nome DNS que o nome do Serviço de Federação). Por exemplo, para o FQDN fs.fabrikam.com, escreva fs.

  4. Em Endereço IP, digite o endereço IP do novo endereço IP do cluster especificado no anfitrião de NLB na rede de perímetro. Por exemplo, 192.0.2.3.

  5. Clique em Adicionar Anfitrião.

Importar um certificado de autenticação de servidor para o Web Site Predefinido no computador de proxy

Depois de obter um certificado de autenticação de servidor utilizado por um dos servidores de federação na rede empresarial, tem de instalar esse certificado manualmente no Web Site Predefinido de cada proxy de servidor de federação da organização.

Uma vez que este certificado tem de ser confiado pelos clientes dos AD FS 2.0 e dos serviços em nuvem Microsoft, utilize um certificado SSL emitido por uma AC pública (de terceiros) ou uma AC subordinada a uma raiz reconhecidamente fidedigna como, por exemplo, a VeriSign ou a Thawte. Para obter informações sobre como instalar um certificado de uma AC pública, consulte IIS 7.0: Solicitar um Certificado de Servidor da Internet.

noteNota
O nome de requerente deste certificado de autenticação de servidor tem de corresponder ao FQDN do nome DNS de cluster (por exemplo, fs.fabrikam.com) que foi criado anteriormente no anfitrião de NLB. Se os Serviços de Informação Internet (IIS) não tiverem sido instalados, terá de os instalar para poder efetuar esta tarefa. Depois de instalar os IIS pela primeira vez, recomendamos que utilize as opções de apresentação predefinidas quando lhe for solicitado durante a instalação da função de servidor.

Para importar um certificado de autenticação de servidor para o Web Site Predefinido no computador de proxy

  1. Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e, em seguida, clique em Gestor de Serviços de Informação Internet (IIS).

  2. Na árvore da consola, clique em Nome do Computador.

  3. No painel central, faça duplo clique em Certificados de Servidor.

  4. No painel Ações, clique em Importar.

  5. Na caixa de diálogo Importar Certificado, clique no botão .

  6. Navegue até à localização do ficheiro de certificado pfx, realce-o e clique em Abrir.

  7. Escreva uma palavra-passe para o certificado e, em seguida, clique em OK.

Instalar o software AD FS 2.0 no computador de proxy

O software AD FS 2.0 tem de ser instalado em qualquer computador a ser preparado para a função de proxy de servidor de federação. Pode instalar este software através do Assistente de Configuração do AD FS 2.0 ou utilizando um parâmetro de linha de comandos. Para obter mais informações sobre este parâmetro, consulte o Guia de Implementação do AD FS 2.0.

Certifique-se de que conclui o processo de instalação, instalando todas as correções necessárias em cada computador de proxy de servidor de federação, conforme indicado no último passo deste procedimento.

Para instalar o software AD FS 2.0 no computador de proxy

  1. Transfira o pacote do software AD FS 2.0 que corresponde à sua versão específica do sistema operativo (Windows Server 2008 ou Windows Server 2008 R2) guardando o ficheiro de configuração AdfsSetup.exe no computador. Para transferir este ficheiro, aceda a Serviços de Federação do Active Directory 2.0 RTW.

  2. Localize o ficheiro de configuração AdfsSetup.exe que transferiu para o computador e faça duplo clique no mesmo.

  3. Na página Bem-vindo ao Assistente de Configuração do AD FS 2.0, clique em Seguinte.

  4. Na página Contrato de Licença do Utilizador Final, leia os termos de licenciamento.

  5. Se concordar com os termos, selecione a caixa de verificação Aceito os termos no contrato de licença e clique em Seguinte.

  6. Na página Papel do servidor, selecione Proxy de servidor de federação e clique em Seguinte.

  7. Na página Assistente de Configuração do AD FS 2.0 Concluído, verifique se a caixa de verificação Iniciar o Assistente de Configuração do Proxy de Servidor de Federação do AD FS 2.0 quando este assistente fechar está selecionada e, em seguida, clique em Concluir para reiniciar o computador.

    ImportantImportante
    Em alguns casos, a instalação do AD FS 2.0 pode exigir que o computador seja reiniciado (por exemplo, se forem instaladas correções dependentes). Nesta situação, certifique-se de que seleciona a caixa de verificação Reiniciar agora na página Assistente de Configuração do AD FS 2.0 Concluído e, em seguida, clique em Concluir para reiniciar o computador.

  8. Instale todas as correções, conforme indicado em Descrição do Update Rollup 2 para os Serviços de Federação do Active Directory (AD FS) 2.0.

Configurar um computador para a função de proxy de servidor de federação

Depois de configurar um computador com os certificados necessários e de instalar o software AD FS 2.0, estará pronto para configurar o computador para ser um proxy de servidor de federação. Pode utilizar o procedimento seguinte para que o computador desempenhe a função de proxy de servidor de federação.

ImportantImportante
Antes de utilizar este procedimento para configurar o computador de proxy de servidor de federação, certifique-se de que seguiu todos os passos das listas de verificação em 5. Implementar o farm de servidores de federação pela ordem indicada. Certifique-se de que implementa pelo menos um servidor de federação, bem como todas as credenciais necessárias para autorizar uma configuração de proxy de servidor de federação. Deverá também configurar os enlaces SSL (Secure Sockets Layer) no Web Site Predefinido ou o assistente não será iniciado. Todas estas tarefas têm de ser concluídas para que o proxy de servidor de federação funcione.

Para configurar um computador para a função de proxy de servidor de federação

  1. Na página Assistente de Configuração do AD FS 2.0 Concluído do Assistente de Configuração do AD FS 2.0, a caixa de verificação designada Iniciar o Assistente de Configuração do Proxy de Servidor de Federação do AD FS 2.0 quando este assistente fechar aparece selecionada por predefinição. Inicie o assistente e, em seguida, na página Bem-vindo, clique em Seguinte.

  2. Na página Especificar o Nome do Serviço de Federação, em Nome do Serviço de Federação, escreva o nome que representa o Serviço de Federação para o qual este computador funcionará como proxy (por exemplo, fs.fabrikam.com).

  3. Com base nos seus requisitos de rede específicos, determine se precisará de utilizar um servidor proxy HTTP para encaminhar pedidos para o Serviço de Federação. Caso precise, selecione a caixa de verificação Utilizar um servidor proxy HTTP ao enviar pedidos para este Serviço de Federação, em Endereço de servidor proxy HTTP escreva o endereço do servidor proxy, clique em Testar Ligação para verificar a conetividade e, em seguida, clique em Seguinte.

  4. Quando lhe for solicitado, especifique as credenciais necessárias para estabelecer uma relação de fidedignidade entre este proxy de servidor de federação e o Serviço de Federação.

    Por predefinição, só a conta de serviço utilizada pelo Serviço de Federação ou por um membro do grupo BUILTIN\Administrators local pode autorizar um proxy de servidor de federação.

  5. Na página Pronto para Aplicar Definições, reveja os detalhes. Se lhe parecer que as definições estão corretas, clique em Seguinte para iniciar a configuração do computador com estas definições de proxy.

  6. Reveja os resultados na página Resultados da Configuração. Quando todos os passos de configuração estiverem concluídos, clique em Fechar para sair do assistente.

Quando terminar de configurar o computador, verifique se o proxy de servidor de federação está a funcionar como previsto.

Verificar se o proxy de servidor de federação está a funcionar

Pode utilizar o procedimento seguinte para verificar se o proxy de servidor de federação consegue comunicar com o Serviço de Federação no AD FS 2.0. Este procedimento deve ser efetuado depois de executar o Assistente de Configuração do Proxy de Servidor de Federação do AD FS 2.0 para configurar o computador para a função de proxy de servidor de federação. Para obter mais informações sobre como executar este assistente, consulte Configurar um computador para a função de proxy de servidor de federação.

noteNota
O resultado deste teste é a criação bem sucedida de um evento específico no Visualizador de Eventos no computador de proxy de servidor de federação.

Para verificar se o proxy de servidor de federação está a funcionar

  1. Inicie sessão no proxy de servidor de federação como Administrador.

  2. Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Visualizador de Eventos.

  3. No painel de detalhes, faça duplo clique em Registos de Serviços e Aplicações, faça duplo clique em AD FS 2.0 Eventing e, em seguida, clique em Admin.

  4. Na coluna ID do Evento, procure o evento ID 198.

    Se o proxy de servidor de federação estiver configurado corretamente, verá um novo evento no registo Aplicação do Visualizador de Eventos, com o evento ID 198. Este evento verifica se o serviço de proxy de servidor de federação foi iniciado com êxito e se está online.

Execute os passos seguintes

7. Passo seguinte e fontes de referência adicionais

Depois de implementar com êxito a infraestrutura de AD FS 2.0, terá de configurar a relação de fidedignidade de entidade confiadora entre os novos servidores do AD FS 2.0 no local e o Windows Azure AD. Para obter mais informações, consulte Instalar o Windows PowerShell para o serviço single sign-on com o AD FS 2.0.

Se desejar ler informações adicionais sobre o AD FS 2.0, pode utilizar as seguintes hiperligações de referência para localizar a documentação técnica fidedigna que foi revista pela equipa do produto AD FS 2.0.

Informação geral sobre o AD FS 2.0

Para obter informações de descrição geral, avaliação ou resolução de problemas avançada sobre o AD FS 2.0, utilize as seguintes hiperligações de referência relevantes:

Informações de implementação adicionais para o AD FS 2.0

Se estiver a considerar implementar uma infraestrutura de AD FS 2.0 mais complexa do que a indicada neste artigo, pondere a consulta de informações mais avançadas sobre planeamento e implementação utilizando as seguintes hiperligações de referência.

Execute os passos seguintes

Ver Também

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários
Mostrar:
© 2014 Microsoft