Table of contents
TOC
Minimera innehållsförteckningen
Maximera innehållsförteckningen

Vanliga och frågor svar om AD FS

Jen Field|Senast uppdaterad: 2017-04-14
|
1 Medverkande

Gäller för: Windows Server 2016

Hur kan jag uppgradera/migrera från tidigare versioner av AD FS?

Du kan uppgradera en AD FS 2012 R2 servergruppen med "blandat servergruppen" processen som beskrivs här. Passa WID eller SQL gårdar, även om dokumentet visas endast WID-scenario.

Om du behöver uppgradera från AD FS 2.0 eller 2.1 (Windows Server 2008 R2 eller Windows Server 2012) måste du använda medföljande skripten (som finns i C:\Windows\ADFS).

Vilka leverantörer av tredje part flerfaktorautentisering är tillgängliga för AD FS?

Nedan visas en lista med utomstående leverantörer vi är medvetna om. Alltid kanske leverantörer som är tillgängliga att vi vet inte om och vi uppdaterar listan som du lär dig om dem.

Gemalto identitet och säkerhetstjänster

inWebo Enterprise Authentication service

Inloggning kontakter MFA API connector

RSA SecurID autentiseringsagent för Microsoft Active Directory Federation Services

SafeNets Authentication Service (SAS) Agent för AD FS

Swisscom autentiseringstjänsten för mobil-ID

Symantec verifiering och ID Protection Service (VIP)

Stöds från tredje part proxyservrar med AD FS?

Proxyservrar från tredje part kan placeras framför webbproxy för programmet, men måste ha stöd för en proxy från tredje part i MS-ADFSPIP protokoll som ska användas i stället för webbproxy för programmet.

Var är den kapacitetsplanering storleksändringen kalkylblad för AD FS 2016?

AD FS 2016 version av kalkylbladet kan hämtas här. Detta kan även användas för AD FS i Windows Server 2012 R2.

Hur ersätter SSL-certifikatet för AD FS?

AD FS SSL-certifikatet är inte samma som AD FS Service kommunikation certifikatet finns i snapin-modulen AD FS-hantering. Om du vill ändra AD FS SSL-certifikatet måste du använda PowerShell. Följ riktlinjerna i avsnittet nedan:

Hantera SSL-certifikat i AD FS och WAP 2016

Har proxy SSL-certifikatet att vara samma som AD FS SSL-certifikatet?

  • Om proxyservern används för att måste dirigera AD FS-förfrågningar som använder Windows-integrerad autentisering, proxy SSL-certifikatet vara samma (använder samma nyckel) som certifikatet för federationsserverproxyn SSL
  • Om den AD FS-egenskapen "ExtendedProtectionTokenCheck" är aktiverad (standardinställningen i AD FS) måste proxy SSL-certifikatet vara samma (använder samma nyckel) som federation server SSL-certifikat
  • I annat fall proxy SSL-certifikatet kan en annan nyckel från AD FS SSL-certifikat, men måste uppfylla samma krav

Hur konfigurerar jag fråga = inloggning beteendet för AD FS?

Varför skulle jag behöva bekymra dig om att fråga = logga in?

Vissa Office 365-program (med moderna autentisering aktiverad) skickar parametern fråga = inloggning till Azure AD som en del av varje autentiseringsbegäran. Som standard omvandlas Azure AD till två parametrar:

wauth= urn: oasis: namn: tc: SAML:1.0:am:password, och wfresh= 0

Detta kan orsaka problem med företagets intranät och multi faktor autentiseringsscenarier där en autentiseringstyp än användarnamn och lösenord som önskas.

Nu när AD FS har inbyggt stöd för parametern fråga = inloggning, har möjlighet att konfigurera Azure AD att skicka den här parametern som-är att din AD FS-tjänst som en del av Azure AD och Office 365 autentiseringsbegäranden.

Vilka versioner av AD FS stöder fråga = logga in?

  • Samlad uppdatering för AD FS i Windows Server 2012 R2 med juli 2016

  • AD FS i Windows Server 2016

Hur konfigurerar jag min Azure AD-innehavare att skicka fråga = logga in på AD FS?

Använd Azure AD PowerShell-modulen om du vill konfigurera inställningen.

Obs! = Fråga inloggning funktionen (aktiveras med parametern PromptLoginBehavior) är för närvarande endast tillgängliga i den ' version 1.0' Azure AD Powershell-modulen, där cmdletarna som har namn som innehåller "Msol", till exempel Set-MsolDomainFederationSettings. Den är inte tillgänglig via "version 2.0' Azure AD PowerShell-modulen vars cmdlets har namn som" Set AzureAD*".

Viktigt: varje gång du anger inställningarna för PreferredAuthenticationProtocol, SupportsMfa eller PromptLoginBehavior för din Azure AD-innehavare, du måste vara noga med att konfigurera alla tre till den önskade inställningen även om du inte ändrar värden för alla tre inställningar. Om du inte anger alla tre finns risken att en eller flera inställningar som du inte ange ett värde för återställs till standardinställningarna, vilket kan medföra att driftstopp.

Så här konfigurerar du fråga = inloggning beteende på syntaxen cmdlet nedan:

PS C:\>Set-MsolDomainFederationSettings –DomainName <your domain name> -PreferredAuthenticationProtocol <your current protocol setting> -SupportsMfa <$True|$False> -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>

där:

  • Den obligatoriska PreferredAuthenticationProtocol och SupportsMfa parametervärden hittar du genom att visa inställningarna för PreferredAuthenticationProtocol och SupportsMfa respektive i utdata från cmdleten:

      PS:\>Get-MsolDomainFederationSettings -DomainName <your_domain_name> | fl *
    
  • TranslateToFreshPasswordAuth innebär Azure AD standardbeteendet för att skicka wauth och wfresh = inloggning till AD FS i stället för att fråga

  • NativeSupport innebär att fråga = inloggning parametern skickas som för AD FS

  • Inaktiverade innebär att ingenting ska skickas till AD FS

Hur kan jag konfigurera webbläsare du använder Windows integrerad autentisering (WIA) med AD FS?

AD FS 2016 nu har en förbättrad standardinställning som kan göra WIA medan inte även (felaktigt) fästande Windows Phone samt webbläsaren kant:

“=~Windows\s*NT.*Edge”

I ovanstående innebär att du inte längre vill konfigurera enskilda användare agent strängar för att stödja vanliga scenarier för kanten, trots att de uppdateras ofta.

Konfigurera den AD FS-egenskapen WiaSupportedUserAgents för att lägga till nödvändiga värden beroende på vilken webbläsare du använder för andra webbläsare.

Visa den aktuella inställningen

PS C:\>$strings = Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents

Lägga till ytterligare strängar eller regex matcha expresssions

PS C:\>$strings = $strings+”newstring”
PS C:\>Set-AdfsProperties -WiaSupportedUserAgents $strings

Hur lång tid är AD FS-token som är giltig?

Den här frågan innebär ofta "hur länge användarna får enkel inloggning (SSO) utan att behöva ange nya autentiseringsuppgifter och hur styr jag som en administratör som?" Detta beteende och konfigurationsinställningarna som styr den beskrivs i artikel här.

Standard-livstid i olika cookies och token nedan (samt de parametrar som styr livstider):

Registrerade enheter

  • PRT och SSO cookies: 90 dagar maximalt omfattas av PSSOLifeTimeMins. (Angivna enheten används minst var 14 dagar som kontrolleras av DeviceUsageWindow)

  • Uppdatera token: beräknas baserat på ovan för att ge konsekvent beteende

  • access_token: 1 timme som standard utifrån beroende part

  • id_token: samma som åtkomsttoken

Ej registrerade enheter

  • SSO cookies: 8 timmar som standard regleras av SSOLifetimeMins. När tänka mig inloggad (KMSI) är aktiverad är standardvärdet 24 timmar och kan konfigureras via KMSILifetimeMins.

  • Uppdatera token: 8 timmar som standard. 24 timmar med KMSI aktiverad

  • access_token: 1 timme som standard utifrån beroende part

  • id_token: samma som åtkomsttoken

Varför kräver en omstart för servern i AD FS-installation?

HTTP/2-support har lagts till i Windows Server 2016, men HTTP/2 kan inte användas för autentisering av klientcertifikat. Eftersom många scenarier för AD FS gör användningen av certifikatet för klientautentisering och ett stort antal klienter gör inte har stöd för nya försök görs begär med HTTP/1.1 AD FS servergruppen konfiguration igen konfigurerar inställningar för den lokala servern HTTP med HTTP/1.1. Detta kräver en omstart av servern.

Hur kan jag se till att min stöd för AD FS och WAP servrar Apples ATP krav?

Apple har publicerat en uppsättning krav kallas App Transport säkerhet (ATS) som kan påverka anrop från iOS-appar som AD FS autentiserar. Se till att din AD FS samt WAP servrar svarar genom att kontrollera att de stöder den krav för att ansluta med ATS.
I synnerhet bör du kontrollera att din AD FS och WAP servrar stöder TLS 1.2 och som stöder TLS-anslutning förhandlade cipher suite PFS.

Du kan aktivera eller inaktivera SSL 2.0 och 3.0 och TLS version 1.0, 1.1 och 1.2 med hjälp av riktlinjerna här.

Att garantera att din AD FS och WAP servrar förhandlar endast TLS krypteringssviter som stöder ATP kan du inaktivera alla krypteringssviter som inte ingår i den listan över kompatibla krypteringssviter som ATP. Du kan använda den Windows TLS PowerShell-cmdlets.

© 2017 Microsoft