Table of contents
TOC
Sbalit obsah
Rozbalit obsah

Požadavky na AD FS

Bill Mathers|Poslední aktualizace: 14.04.2017
|
1 Přispěvatel

Platí pro: Windows Server 2016

Požadavky pro nasazení služby AD FS jsou následující:

Požadavky na certifikát

Certifikáty protokolu SSL

Každý server služby AD FS a proxy serveru webové aplikace má certifikát SSL pro požadavky HTTPS služby pro službu federation service. Webový proxy server aplikace může mít další certifikáty SSL na žádosti o služby publikovaných aplikací.

Doporučení: použít stejný certifikát SSL pro všechny federační servery služby AD FS a proxy webových aplikací.

Požadavky:

Certifikáty protokolu SSL na serverech federace musí splňovat následující požadavky

  • Certifikát je veřejně důvěryhodný (pro produkční nasazení)
  • Certifikát obsahuje hodnotu serveru ověřování rozšířeného použití klíče (EKU)
  • Certifikát obsahuje název federační služby, například "fs.contoso.com" v předmětu nebo předmět alternativní název (SAN)
  • K ověření uživatele certifikát na portu 443 certifikát obsahuje "certauth. <název federační služby>", například"certauth.fs.contoso.com"v síti SAN
  • Pro registraci zařízení nebo pro moderní ověřování v prostorách zdrojů pomocí systémů starších než Windows 10 klientů sítě SAN, musí obsahovat "enterpriseregistration. <příponu upn>"pro každou příponu UPN používané ve vaší organizaci.

Certifikáty protokolu SSL na serveru Proxy webových aplikací musí splňovat následující požadavky

  • Pokud proxy server proxy služby AD FS požadavky, které používají integrované ověřování systému Windows, certifikát SSL serveru proxy musí být stejné (použijte stejný klíč) jako certifikát SSL serveru federace
  • Pokud služba AD FS vlastnost, kterou je "ExtendedProtectionTokenCheck" povoleno (výchozí nastavení ve službě AD FS), certifikát SSL serveru proxy musí být stejné (použijte stejný klíč) jako certifikát SSL serveru federace
  • Jinak požadavky na certifikát SSL serveru proxy jsou stejné jako u certifikátu SSL serveru federace

Certifikát komunikace služby

Tento certifikát není nutné pro většinu scénářů služby AD FS, včetně Azure AD a služeb Office 365. Ve výchozím nastavení konfiguruje certifikát SSL při počáteční konfiguraci jako certifikát komunikace služby AD FS.

Doporučení:

  • Použijte stejný certifikát můžete použít pro protokol SSL.

Token podpisového certifikátu

Tento certifikát je použitý znak vydané tokeny předávající strany, takže aplikace předávající strana uzná certifikát a s ním spojený klíč jako známý a důvěryhodný. Pokud token podpisový certifikát změny, například při vypršení platnosti a konfigurovat nový certifikát, je nutné aktualizovat všechny předávající strany.

Doporučení: použít výchozí nastavení služby AD FS, generované interně, podepsaný token podpisové certifikáty.

Požadavky:

  • Pokud vaše organizace vyžaduje, aby certifikáty infrastruktury veřejných KLÍČŮ rozlehlé sítě použít pro podepisování tokenů, to lze provést pomocí rutiny Install-AdfsFarm parametr SigningCertificateThumbprint.
  • Zda použít výchozí interně generované certifikáty nebo při token podpisového certifikátu je externě zapsaných certifikátů, musí zajistit že všechny předávající strany jsou aktualizovány s nové informace o certifikátu. Jinak se nezdaří přihlášení k jakékoli předávající strany není aktualizován.

Certifikát tokenu šifrování/dešifrování

Tento certifikát je používán pohledávky poskytovatele, kteří šifrovat tokeny vydané službou AD FS.

Doporučení: použít výchozí nastavení služby AD FS, generované interně, podepsaný token dešifrování certifikáty.

Požadavky:

  • Pokud vaše organizace vyžaduje, aby certifikáty infrastruktury veřejných KLÍČŮ rozlehlé sítě použít pro podepisování tokenů, to lze provést pomocí rutiny Install-AdfsFarm parametr DecryptingCertificateThumbprint.
  • Zda použít výchozí interně generované certifikáty nebo externě zapsaných certifikátů, když se změní token dešifrování certifikát, můžete musí zajistit, že všichni zprostředkovatelé deklarací jsou aktualizovány s nové informace o certifikátu. Jinak se nezdaří přihlášení pomocí jakékoli nároky poskytovatelů není aktualizován.
Upozornění

Certifikáty používané pro token-podpisu a token-dešifrování\/šifrování jsou důležité pro stabilitu služby Federation Service. Zákazníci Správa vlastní token-podepisování & token-dešifrování\/šifrování certifikátů by měly zajistit, že tyto certifikáty jsou zálohovány a jsou k dispozici nezávisle během obnovení události.

Uživatelské certifikáty

  • Při použití x509, musí certifikát ověřování uživatelů pomocí služby AD FS, všech uživatelských certifikátů zřetězen k kořenový certifikační úřad je důvěryhodné servery služby AD FS a proxy serveru webové aplikace.

Požadavky na hardware

Služba AD FS a proxy serveru webové aplikace požadavky na hardware (fyzické nebo virtuální) jsou gated CPU, tak by měla velikost farmy pro zpracovatelské kapacity.

Jsou poměrně statické paměti a na disku požadavky služby AD FS, naleznete v tabulce níže:

Hardwarové požadavkyMinimální požadavekDoporučené požadavky
PAMĚŤ RAM2 GB4 GB
Místo na disku32 GB100 GB

Požadavky na Hardware serveru SQL

Pokud používáte SQL Server pro konfigurační databázi služby AD FS, velikost podle základní doporučení pro SQL Server SQL Server. Je velmi malá velikost databáze služby AD FS a AD FS nevystavuje významné zatížení zpracování na instance databáze. Služba AD FS, však připojení k databázi vícekrát během ověřování, takže připojení k síti by měl být robustní. Bohužel SQL Azure není podporováno pro konfigurační databázi služby AD FS.

Požadavky na server proxy

  • Pro přístup k síti extranet je nutné nasadit službu role Proxy webových aplikací -součást role serveru vzdáleného přístupu.

  • Musí podporovat servery proxy třetích stran protokol MS-ADFSPIP mají být podporovány jako server proxy služby AD FS.

  • AD FS 2016 vyžaduje servery Proxy webové aplikace v systému Windows Server 2016. Pro farmu AD FS 2016 systémem na úrovni farmy 2016 chování nelze konfigurovat proxy server nižší úrovně.

  • Federační server a Proxy aplikace webové služby rolí nelze nainstalovat do stejného počítače.

Požadavky na služba AD DS

Požadavky na řadič domény

  • Služba AD FS vyžaduje řadiče domény se systémem Windows Server 2008 nebo novější.

  • Alespoň jeden řadič domény systému Windows Server 2016 je vyžadován pro Microsoft Passport pro práci.

Poznámka

Veškerou podporu pro prostředí s řadiči domény systému Windows Server 2003 byla ukončena. Navštivte tuto stránku pro další informace týkající se životního cyklu podpory společnosti Microsoft.

Funkčnosti domény-požadavky na úrovni

  • Všechny domény účtu uživatele a domény, ke kterému jsou připojeny servery služby AD FS musí pracovat na úrovni funkčnosti domény Windows Server 2003 nebo vyšší.

  • Funkčnosti domény Windows Server 2008 úroveň nebo vyšší je vyžadován pro ověřování klientských certifikátů Pokud je certifikát explicitně namapován na účet uživatele v služba AD DS.

Požadavky na schématu

  • Nové instalace AD FS 2016 vyžaduje schéma Active Directory 2016 (minimální verze 85).

  • Zvýšení úrovně chování farmy služby AD FS (FBL) na úroveň 2016 vyžaduje schéma Active Directory 2016 (minimální verze 85).

Požadavky na účet služby

  • Všechny standardní doménový účet slouží jako účet služby pro službu AD FS. Skupinové účty spravované služby jsou také podporovány. Oprávnění vyžadovaná v době běhu bude přidána automaticky při konfiguraci služby AD FS.

  • Účty služby spravované skupiny vyžadují alespoň jeden řadič domény se systémem Windows Server 2012 nebo vyšší.

  • Pro ověřování pomocí protokolu Kerberos, hlavní název služby "HOST\/< službou AD FS_služby_jméno >" musí být registrována v účtu služby AD FS. Standardně služba AD FS bude nakonfigurovat při vytváření nové farmy služby AD FS. Pokud to nepomůže, jako v případě srážky nebo nedostatečných oprávnění, zobrazí se upozornění a měli byste jej přidat ručně.

Požadavky na domény

  • Všechny servery služby AD FS musí být připojené k doméně služba AD DS.

  • Všechny servery služby AD FS ve farmě musí být nasazeny ve stejné doméně.

Doménová struktura více požadavků

  • Domény, ke kterému jsou připojeny servery služby AD FS musí důvěřovat v každé doméně nebo doménové struktuře, která obsahuje uživatele používající ověřování pro službu AD FS.

  • Účet služby AD FS musí mít oprávnění Číst atributy uživatele v každé doméně, která obsahuje ověřování uživatelů služby AD FS.

Požadavky na konfiguraci databáze

Tato část popisuje požadavky a omezení pro farmy služby AD FS, používající respektive interní databáze systému Windows (WID) nebo serveru SQL Server jako databáze:

WID

  • Farmu WID nepodporuje profil rozlišení artefaktu SAML 2.0.

  • Rozpoznání opětovného přehrání tokenu není podporována WID farmy. (Tato funkce se používá pouze pouze ve scénářích, kde je služba AD FS jako zprostředkovatel federace a spotřeby tokenů zabezpečení z externí deklarace zprostředkovatele.)

Následující tabulka obsahuje souhrn počtu serverů služby AD FS jsou podporovány v WID vs farmy serveru SQL Server.

1 – 100 (RP) vztahy důvěryhodnosti předávající strany nakonfigurovaná ve službě AD FSVíce než 100 vztahy důvěryhodnosti RP nakonfigurovaný
Servery 1-30 AD FSWID podporovánaNepodporuje se pomocí interní databáze Windows – vyžaduje SQL Server
Servery více než 30 AD FSNepodporuje se pomocí interní databáze Windows – vyžaduje SQL ServerNepodporuje se pomocí interní databáze Windows – vyžaduje SQL Server

SQL Server

  • Služba AD FS v systému Windows Server 2016 jsou podporovány SQL Server 2008 a novější verze.

  • Rozlišení artefaktu SAML a rozpoznání opětovného přehrání tokenu jsou podporovány v SQL serverové farmy.

Požadavky na prohlížeč

Při ověřování služby AD FS je prováděno prostřednictvím prohlížeče nebo ovládací prvek prohlížeče, prohlížeče musí splňovat následující požadavky:

  • JavaScript musí být povolen.

  • Pro jednotné přihlašování prohlížeč klienta musí být nakonfigurován povolit soubory cookie

  • Server název označení (SNI) musí být podporována.

  • Osvědčení & zařízení certifikát ověření uživatele prohlížeč musí podporovat ověřování klientských certifikátů SSL

  • Pro bezproblémové přihlášení pomocí integrovaného ověřování systému Windows, název služby federation (například https:\/\/fs.contoso.com) musí být nakonfigurován v zóně Místní intranet nebo Důvěryhodné servery.

    Požadavky na síť

Požadavky na bránu firewall

Brány firewall umístěné mezi proxy serveru webové aplikace a farma federačních serverů a brány firewall mezi klienty a proxy serveru webové aplikace musí mít port TCP 443 povolena příchozí.

Kromě toho, pokud uživatel klienta certifikát ověřování (clientTLS ověřování pomocí X509 uživatelských certifikátů) je vyžadována a není povoleno koncový bod certauth na portu 443, AD FS 2016 vyžaduje, aby TCP port 49443 povoleno vstupní bránu firewall mezi klienty a proxy serveru webové aplikace. To není nutné v bráně firewall mezi federační servery a proxy serveru webové aplikace).

Další informace o hybridní port požadavky najdete v tématu hybridní Identity porty a protokoly.

Další informace najdete v tématu doporučené postupy pro zabezpečení Active Directory Federation Services

Požadavky služby DNS

  • Pro přístup na intranet služby všem klientům přístup ke službě AD FS v interní podnikové síti (intranet) musí být schopen vyřešit název služby AD FS k řešení pro vyrovnávání zatížení pro servery služby AD FS nebo serveru služby AD FS.

  • Přístup k síti extranet, všem klientům přístup ke službě AD FS služby z mimo podnikovou síť (extranet\/internet) musí být schopen vyřešit název služby AD FS k řešení pro vyrovnávání zatížení pro servery Proxy webové aplikace nebo webové aplikace Proxy server.

  • Každý server Proxy webové aplikace v DMZ musí být schopni vyřešit název služby AD FS k řešení pro vyrovnávání zatížení pro servery služby AD FS nebo serveru služby AD FS. Toho lze dosáhnout pomocí alternativní server DNS v síti DMZ nebo změnou rozlišení místní server pomocí souboru HOSTS.

  • Integrované ověřování systému Windows, musíte použít záznam DNS A (ne CNAME) pro název federační služby.

  • K ověření uživatele certifikát na portu 443, "certauth. <název federační služby>"musí být nakonfigurován pomocí služby DNS přeložit na proxy federačního serveru nebo webové aplikace.

  • Pro registraci zařízení nebo pro moderní ověřování v prostorách zdrojů pomocí klienty systémů starších než Windows 10, "enterpriseregistration. <příponu upn>", pro každou příponu UPN používané ve vaší organizaci musí být nakonfigurován přeložit na proxy federačního serveru nebo webové aplikace.

Požadavky na oprávnění

Správce, který provádí instalaci a počáteční konfiguraci služby AD FS musí mít oprávnění místního správce na serveru služby AD FS. Pokud místní správce nemá oprávnění k vytvoření objektů služby Active Directory, musí mít nejprve správce domény vytvořit požadované objekty AD a pak konfiguraci farmy služby AD FS pomocí parametru AdminConfiguration.

© 2017 Microsoft