Обзор требований для развертывания служб федерации Active Directory

Статья
11/09/2015

Область применения: Azure, Office 365, Power BI, Windows Intune

Чтобы новое развертывание AD FS успешно создавало доверие проверяющей стороны с Azure AD, необходимо сначала убедиться, что инфраструктура корпоративной сети настроена для поддержки требований AD FS для учетных записей, разрешения имен и сертификатов. AD FS предусматривает следующие типы требований.

Требования к программному обеспечению
Требования к сертификатам
Требования к сети

Требования к программному обеспечению

Программное обеспечение AD FS должно быть установлено на всех компьютерах, на которых будет реализована роль сервера федерации или прокси-сервера федерации. Это программное обеспечение можно установить с помощью мастера установки AD FS или спокойной установки с помощью параметраadfssetup.exe /quiet в командной строке.

Для базовой платформы установки AD FS требуется операционная система Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2. AD FS имеет отдельный пакет установки для платформ Windows Server 2008, Windows Server 2008 R2 (и обычно называется AD FS 2.0) или может быть установлен путем добавления роли сервера службы федерации в составе операционной системы Windows Server 2012 или Windows Server 2012 R2.

Если вы используете AD FS 2.0 или AD FS в Windows Server 2012, развертывание и настройка прокси-серверов федерации осуществляется в рамках применения решения SSO.

При использовании AD FS в Windows Server 2012 R2 выполняется развертывание прокси-серверов веб-приложений с целью настройки внешнего доступа к развертыванию AD FS. В Windows Server 2012 R2 для обеспечения доступности AD FS извне сети организации используется новая служба роли удаленного доступа. Дополнительную информацию см. в статье Обзор прокси-сервера веб-приложения.

Предварительные требования

В процессе установки AD FS мастер установки пытается автоматически проверить и при необходимости установить необходимые приложения и соответствующие исправления. В большинстве случаев, мастер установки устанавливает все компоненты, необходимые для выполнения и установки AD FS.

Однако существует одно исключение: при установке AD FS на платформе Windows Server 2008 (как отдельный пакет установки, известный как AD FS 2.0). Если это происходит в ситуации развертывания, сначала необходимо убедиться, что .NET 3.5 с пакетом обновления 1 (SP1) установлен на серверах под управлением Windows Server 2008 перед установкой программного обеспечения AD FS 2.0, так как это необходимо для AD FS 2.0, и он не будет автоматически установлен мастером установки AD FS 2.0 на этой платформе. Если .NET 3.5 с пакетом обновления 1 (SP1) не установлено, мастер установки AD FS 2.0 предотвратит установку программного обеспечения AD FS 2.0.

Исправления

После установки AD FS 2.0 необходимо установить исправления AD FS 2.0. Дополнительные сведения см. в описании накопительного пакета обновления 2 для службы федерации Active Directory (AD FS) (AD FS) 2.0.

Виртуализация

AD FS поддерживает виртуализацию программного обеспечения для роли сервера федерации и роли прокси-сервера федерации. В целях обеспечения избыточности, рекомендуем хранить каждую виртуальную машину AD FS на отдельных физических виртуальных серверах.

Дополнительные сведения о настройке среды виртуального сервера с помощью технологии виртуализации Майкрософт см. в руководстве по начало работы Hyper-V.

Требования к сертификатам

Сертификаты играют наиболее важную роль в защите обмена данными между серверами федерации, прокси-серверами веб-приложений, прокси-серверами федерации, облачной службой и веб-клиентами. Требования для сертификатов могут быть различными, в зависимости от того, настраиваете ли вы сервер федерации, прокси-сервер веб-приложения или компьютер прокси-сервера федерации, в соответствии с описанием в следующих таблицах.

Сертификаты сервера федерации

В следующей таблице перечислены сертификаты, необходимые серверам федерации.

Тип сертификата	Описание	Что требуется знать до начала развертывания
Сертификат SSL (также называется сертификатом проверки подлинности сервера) для AD FS в Windows Server 2012 R2	Это сертификат SSL, используемый для обеспечения безопасности соединений между серверами федерации, клиентами, прокси-серверами веб-приложений и компьютерами прокси-серверов федерации.	AD FS требует сертификат проверки подлинности SSL на каждом сервере федерации в ферме серверов федерации. Такой же сертификат должен использоваться на всех серверах федерации в ферме. Сертификат и его закрытый ключ должны быть доступны. Например, если у вас есть сертификат и соответствующий закрытый ключ в файле PFX, вы сможете импортировать файл напрямую в Мастер конфигурации служб федерации Active Directory. Этот SSL-сертификат должен содержать указанные ниже данные. Имя субъекта и альтернативное имя субъекта должны содержать имя службы федерации, например fs.contoso.com. Альтернативное имя субъекта должно содержать значение enterpriseregistration , за которым следует суффикс имени участника-пользователя вашей организации, например, enterpriseregistration.corp.contoso.com
Сертификат SSL (также называется сертификатом проверки подлинности сервера) для старых версий AD FS	Это сертификат SSL, используемый для обеспечения безопасности соединений между серверами федерации, клиентами, прокси-серверами веб-приложений и компьютерами прокси-серверов федерации.	Для AD FS при настройке параметров сервера федерации необходим сертификат SSL. Для AD FS по умолчанию используется сертификат SSL, созданный для веб-сайта по умолчанию в службах IIS. Имя субъекта в данном сертификате SSL используется для определения имени службы федерации для каждого экземпляра AD FS, который вы развертываете. По этой причине может потребоваться выбрать имя субъекта для любых сертификатов, выданных центром сертификации (ЦС), которые лучше всего представляют имя вашей компании или организации облачной службе, и это имя должно быть маршрутизируемым через Интернет. Например, в схеме, представленной выше в этой статье (см. этап 2), будет использоваться имя субъекта сертификата fs.fabrikam.com. Важно! Для AD FS необходимо, чтобы в этом сертификате SSL не указывалось имя субъекта, не содержащее точек (короткое имя). Обязательно: Так как этот сертификат должен быть доверенным клиентами AD FS и облачными службами Майкрософт, используйте SSL-сертификат, выданный общедоступным (сторонним) ЦС или центром сертификации, подчиненным общедоступному корневому каталогу; Например, VeriSign или Thawte.
Сертификат подписи токена	Это стандартный сертификат X.509, который используется для безопасной подписи всех маркеров, которые выдает сервер федерации, и что облачная служба будет принимать и проверять.	Сертификат подписи токена должен содержать закрытый ключ и быть связанным по цепочке с доверенной корневой папкой службы федерации. По умолчанию AD FS создает самозаверяющий сертификат. Однако, в зависимости от требований вашей организации, его в дальнейшем можно заменить на сертификат, выпускаемый ЦС, используя оснастку управления AD FS. Рекомендации: Используйте самозаверяющий сертификат подписи маркера, созданный AD FS. Посредством этого AD FS по умолчанию самостоятельно управляет данным сертификатом. Например, в случае окончания срока действия этого сертификата AD FS заблаговременно создает новый самозаверяющий сертификат.

Сертификат SSL (также называется сертификатом проверки подлинности сервера) для AD FS в Windows Server 2012 R2

Это сертификат SSL, используемый для обеспечения безопасности соединений между серверами федерации, клиентами, прокси-серверами веб-приложений и компьютерами прокси-серверов федерации.

AD FS требует сертификат проверки подлинности SSL на каждом сервере федерации в ферме серверов федерации. Такой же сертификат должен использоваться на всех серверах федерации в ферме. Сертификат и его закрытый ключ должны быть доступны. Например, если у вас есть сертификат и соответствующий закрытый ключ в файле PFX, вы сможете импортировать файл напрямую в Мастер конфигурации служб федерации Active Directory. Этот SSL-сертификат должен содержать указанные ниже данные.

Имя субъекта и альтернативное имя субъекта должны содержать имя службы федерации, например fs.contoso.com.
Альтернативное имя субъекта должно содержать значение enterpriseregistration , за которым следует суффикс имени участника-пользователя вашей организации, например, enterpriseregistration.corp.contoso.com

Сертификат SSL (также называется сертификатом проверки подлинности сервера) для старых версий AD FS

Для AD FS при настройке параметров сервера федерации необходим сертификат SSL. Для AD FS по умолчанию используется сертификат SSL, созданный для веб-сайта по умолчанию в службах IIS.

Имя субъекта в данном сертификате SSL используется для определения имени службы федерации для каждого экземпляра AD FS, который вы развертываете. По этой причине может потребоваться выбрать имя субъекта для любых сертификатов, выданных центром сертификации (ЦС), которые лучше всего представляют имя вашей компании или организации облачной службе, и это имя должно быть маршрутизируемым через Интернет. Например, в схеме, представленной выше в этой статье (см. этап 2), будет использоваться имя субъекта сертификата fs.fabrikam.com.

Важно!

Для AD FS необходимо, чтобы в этом сертификате SSL не указывалось имя субъекта, не содержащее точек (короткое имя).

Обязательно: Так как этот сертификат должен быть доверенным клиентами AD FS и облачными службами Майкрософт, используйте SSL-сертификат, выданный общедоступным (сторонним) ЦС или центром сертификации, подчиненным общедоступному корневому каталогу; Например, VeriSign или Thawte.

Сертификат подписи токена

Это стандартный сертификат X.509, который используется для безопасной подписи всех маркеров, которые выдает сервер федерации, и что облачная служба будет принимать и проверять.

Сертификат подписи токена должен содержать закрытый ключ и быть связанным по цепочке с доверенной корневой папкой службы федерации. По умолчанию AD FS создает самозаверяющий сертификат. Однако, в зависимости от требований вашей организации, его в дальнейшем можно заменить на сертификат, выпускаемый ЦС, используя оснастку управления AD FS.

Рекомендации: Используйте самозаверяющий сертификат подписи маркера, созданный AD FS. Посредством этого AD FS по умолчанию самостоятельно управляет данным сертификатом. Например, в случае окончания срока действия этого сертификата AD FS заблаговременно создает новый самозаверяющий сертификат.

Предупреждение

Сертификат для подписи маркера играет важную роль в обеспечении стабильной работы службы федерации. В случае изменения облачная служба должна быть уведомлена об этом изменении. В противном случае запросы к облачной службе завершаются ошибкой. Дополнительные сведения об управлении сертификатами в ферме серверов федерации AD FS и облачной службе см. в разделе "Обновление свойств доверия".

Сертификаты прокси-компьютера

Прокси-серверы федерации используют сертификаты, указанные в таблице ниже.

Тип сертификата	Описание	Что требуется знать до начала развертывания
SSL-сертификат	Это стандартный SSL-сертификат, используемый для обеспечения безопасности соединений между сервером федерации, прокси-сервером федерации или прокси-сервером приложений и компьютерами-клиентами в Интернете.	Это тот же сертификат проверки подлинности сервера, который используется серверами федерации в корпоративной сети. Имя субъекта этого сертификата должно совпадать с именем субъекта SSL-сертификата, который был настроен на сервере федерации в корпоративной сети. При использовании служб федерации Active Directory в Windows Server 2008 или Windows Server 2012 этот сертификат необходимо установить на веб-сайте по умолчанию на компьютере прокси-сервера федерации. При использовании служб федерации Active Directory в Windows Server 2012 R2 этот сертификат необходимо импортировать в хранилище личных сертификатов на компьютере, на котором будет работать прокси-служба веб-приложения. Рекомендации: Используйте тот же сертификат проверки подлинности сервера, что и на сервере федерации, к которому будет подключаться этот прокси-сервер федерации или веб-Application Proxy.

SSL-сертификат

Это стандартный SSL-сертификат, используемый для обеспечения безопасности соединений между сервером федерации, прокси-сервером федерации или прокси-сервером приложений и компьютерами-клиентами в Интернете.

Это тот же сертификат проверки подлинности сервера, который используется серверами федерации в корпоративной сети. Имя субъекта этого сертификата должно совпадать с именем субъекта SSL-сертификата, который был настроен на сервере федерации в корпоративной сети.

При использовании служб федерации Active Directory в Windows Server 2008 или Windows Server 2012 этот сертификат необходимо установить на веб-сайте по умолчанию на компьютере прокси-сервера федерации.

При использовании служб федерации Active Directory в Windows Server 2012 R2 этот сертификат необходимо импортировать в хранилище личных сертификатов на компьютере, на котором будет работать прокси-служба веб-приложения.

Рекомендации: Используйте тот же сертификат проверки подлинности сервера, что и на сервере федерации, к которому будет подключаться этот прокси-сервер федерации или веб-Application Proxy.

Дополнительные сведения о сертификатах, используемых серверами федерации и прокси-серверами федерации, см. в руководстве по проектированию AD FS 2.0 или Windows Server 2012 руководстве по проектированию AD FS.

Требования к сети

Надлежащая настройка следующих сетевых служб является необходимым условием для успешного развертывания AD FS в организации.

Сетевое подключение TCP/IP

Для работы AD FS между клиентом, контроллерами домена, серверами федерации и прокси-серверами федерации должны быть настроены сетевые подключения TCP/IP.

DNS

Основная сетевая служба, которая критически важна для работы AD FS, кроме Active Directory, — это служба доменных имен (DNS). Если развернута служба DNS, пользователи могут использовать удобные имена компьютеров, которые легко запомнить, для подключения к компьютерам и другим ресурсам в IP-сетях.

Процесс обновления DNS для поддержки AD FS заключается в настройке следующих элементов.

Внутренние DNS-серверы в корпоративной сети для разрешения в IP-адрес DNS-имени кластера балансировки сетевой нагрузки, который настроен на узле балансировки в корпоративной сети. Например, имя fs.fabrikam.com должно разрешаться в IP-адрес 172.16.1.3.
DNS-серверы сети периметра для разрешения в IP-адрес DNS-имени кластера балансировки сетевой нагрузки, который настроен на узле балансировки в корпоративной сети. Например, имя fs.fabrikam.com должно разрешаться в IP-адрес 192.0.2.3.

Требования к балансировке сетевой нагрузки

Балансировка сетевой нагрузки позволяет обеспечить высокий уровень надежности, доступности и эффективное распределение нагрузки между несколькими узлами. Подсистема балансировки может быть реализована аппаратными или программными средствами, либо с применением средств обоих типов. Необходимо настроить записи ресурсов DNS для кластера NLB в соответствии с именем службы федерации так, чтобы полное доменное имя (FQDN) кластера (в этой статье также называется DNS-именем кластера) разрешалось в соответствующий IP-адрес кластера.

Общие сведения об IP-адресе кластера балансировки нагрузки или полном доменном имени кластера см. в разделе "Указание параметров кластера".

Использование расширенной защиты для проверки подлинности

Если компьютеры имеют расширенную защиту для проверки подлинности и используют Firefox, Chrome или Safari, вы не сможете войти в облачную службу с помощью встроенной проверка подлинности Windows из корпоративной сети. В таких ситуациях пользователи могут получать запросы на ввод учетных данных для входа. Это связано с конфигурацией по умолчанию (на Windows 7 и исправленных клиентских операционных системах) для AD FS и расширенной защиты для проверки подлинности.

Пока Firefox, Chrome и Safari не поддерживают расширенную защиту для проверки подлинности, рекомендуется для всех клиентов, обращаюющихся к облачной службе, устанавливать и использовать Windows Internet Explorer 8. Если вы хотите использовать единый вход для облачной службы в Firefox, Chrome или Safari, рассмотрите два других решения. Однако при использовании этих подходов могут возникнуть некоторые проблемы с безопасностью. Дополнительные сведения см. в рекомендациях по безопасности Майкрософт: расширенная защита для проверки подлинности. К этим решениям относятся указанные ниже способы.

Удаление пакетов исправления расширенной защиты для проверки подлинности с компьютера.
Изменение параметра "Расширенная защита для проверки подлинности" на сервере AD FS. Дополнительные сведения см. в статье Настройка расширенных параметров AD FS 2.0.
Изменение параметров проверки подлинности для веб-страницы AD FS на каждом сервере федерации для перехода со встроенной проверки подлинности Windows на проверку подлинности с использованием форм.

Следующий шаг

Теперь, когда вы ознакомились с требованиями к развертыванию AD FS, следующим шагом является подготовка сетевой инфраструктуры для серверов федерации.

См. также:

Основные понятия

Контрольный список: использование AD FS для внедрения и управления единым входом