Konfigurieren von Active Directory-Verbunddienste (AD FS) (AD FS 2.0) für Lync Server 2013

  • Artikel

 

Letzte Änderung: 03.07.2013

Im folgenden Abschnitt wird beschrieben, wie Active Directory-Partnerverbunddienste (AD FS 2.0) konfiguriert werden muss, damit die mehrstufige Authentifizierung unterstützt wird. Informationen zum Installieren von AD FS 2.0 finden Sie unter AD FS 2.0 Step-by-Step and How To Guides unter https://go.microsoft.com/fwlink/p/?LinkId=313374.

Hinweis

Wenn Sie AD FS 2.0 installieren, dürfen Sie nicht den Windows Server Manager verwenden, um die Active Directory-Partnerverbunddienste-Rolle hinzuzufügen. Laden Sie stattdessen das Active Directory-Verbunddienste (AD FS) 2.0 RTW-Paket herunter, und installieren Sie es unter https://go.microsoft.com/fwlink/p/?LinkId=313375.

So konfigurieren Sie AD FS für die zweistufige Authentifizierung

  1. Melden Sie sich beim AD FS 2.0-Computer über ein Domänenadministratorkonto an.

  2. Starten Sie Windows PowerShell.

  3. Führen Sie aus der Windows PowerShell-Befehlszeile den folgenden Befehl aus:

    add-pssnapin Microsoft.Adfs.PowerShell

  4. Richten Sie eine Partnerschaft mit jedem Lync Server 2013 mit kumulativem Aktualisierungen für Lync Server 2013: Juli 2013 Director, Enterprise Pool und Standard Edition-Server ein, der für die passive Authentifizierung aktiviert wird, indem Sie den folgenden Befehl ausführen und den für Ihre Bereitstellung spezifischen Servernamen ersetzen:

    Add-ADFSRelyingPartyTrust -Name LyncPool01-PassiveAuth -MetadataURL https://lyncpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml

  5. Starten Sie aus dem Menü „Verwaltung“ die AD FS 2.0-Verwaltungskonsole.

  6. Erweitern Sie vertrauensbasierte Beziehungen>vertrauende Parteienvertrauensstellungen.

  7. Stellen Sie sicher, dass eine neue Vertrauensstellung für Ihren Lync Server 2013 mit kumulativem Aktualisierungen für Lync Server 2013: Juli 2013 Enterprise Pool oder Standard Edition-Server erstellt wurde.

  8. Erstellen Sie eine Ausstellungsautorisierungsregel für Ihre Vertrauensstellung der vertrauenden Seite und weisen Sie diese Regel zu. Führen Sie dazu über Windows PowerShell die folgenden Befehle aus:

     $IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");'

     Set-ADFSRelyingPartyTrust -TargetName LyncPool01-PassiveAuth 
 -IssuanceAuthorizationRules $IssuanceAuthorizationRules

  9. Erstellen Sie eine Ausstellungstransformationsregel für Ihre Vertrauensstellung der vertrauenden Seite und weisen Sie diese Regel zu. Führen Sie dazu über Windows PowerShell die folgenden Befehle aus:

     $IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'

     Set-ADFSRelyingPartyTrust -TargetName LyncPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules

  10. Klicken Sie in der AD FS 2.0-Verwaltungskonsole mit der rechten Maustaste auf Ihre Vertrauensstellung der vertrauenden Seite und wählen Sie Anspruchsregeln bearbeiten aus.

  11. Wählen Sie die Registerkarte Ausstellungsautorisierungsregeln aus und vergewissern Sie sich, dass die neue Autorisierungsregel erfolgreich erstellt wurde.

  12. Wählen Sie die Registerkarte Ausstellungstransformationsregeln aus und vergewissern Sie sich, dass die neue Transformationsregel erfolgreich erstellt wurde.