În acest articol, vă vom arăta procesul de instalare și configurare a serviciilor Active Directory Federation Services (AD FS), care devin din ce în ce mai solicitate într-o gamă largă de scenarii.
Ceea ce este important să spunem despre AD FS este că, dacă acest serviciu oferă autentificare prin intermediul rețelelor "publice" (care pot fi utilizate pentru organizația Single Sign-on), atunci sunt utilizate Kerberos obișnuit și revendicările noi (CBA). Desigur, datele transmise sunt criptate (folosind SSL 3.0).
În ceea ce privește cerințele de sistem, acestea sunt extrem de modeste: 1GHz vCPU, 1Gb vRAM, 20Gb vHDD (stocare lentă SATA) este suficient. Nu sunt necesare licențe suplimentare pentru acces clienți, iar dacă gazda rulează Windows Server, licențierea poate costa 0 $.
Puteți instala teoretic AD FS pe un server cu roluri diferite, dar este mai bine să alocați un server separat, ținând seama că resursele și licențele sunt minime.
Un exemplu de motiv pentru care este greu de combinat: există un server, IIS este instalat pe acesta, site-urile IIS sunt semnate cu certificatul server.local.domain. setați AD FS, semnat de certificatul adfs.internet.domain. După aceasta, când încercați să accesați AD FS, va fi prevăzută să fie semnat de certificatul server.local.domain. este greșit. De asemenea, compatibilitatea cu rolurile de acces la distanță nu este acceptată.
Deci, să începem prin stabilirea rolului:
Înainte de a continua configurarea, trebuie să obțineți un certificat care va fi abonat atât la serviciile AD FS, cât și la serviciile publicate utilizând Proxy Application Application Web. Prin urmare, este evident că certificatul ar trebui să conțină o listă completă a serviciilor publicate (care este mai corectă) sau să fie un tip "wildcard" (care este mai simplu).
Desigur, este mai bine să folosiți un certificat comercial, dar certificatul emis de către CA va funcționa. În ceea ce privește certificatele cu auto-semnare, îl puteți crea ca de obicei - utilizând IIS, lucrul cu servicii externe (de exemplu, Office 365) va fi verificat.
Iată un exemplu al unei solicitări pe care am trimis-o la CA-ul companiei, notează-mă că am folosit "zbura" în nume numai pentru scopul demo-ului, într-un mediu productiv, acest lucru nu este întotdeauna posibil:
Luați certificatul în serios - lucrul cu mine înlocuirea este complicată, până la reinstalarea rolurilor AD FS și WAP, ceea ce implică re-publicarea serviciilor.
Acum putem rula expertul de configurare, care este extrem de simplu, vom indica certificatul obținut mai devreme:
Specificați parametrii bazei de date externe (suficienți Database Engine):
După finalizarea configurației, trebuie avut grijă ca clienții din rețea să poată detecta numele "extern" al serviciului:
Pentru utilizatorii externi, fereastra de conectare va fi afișată:
În acest sens, instalarea și configurarea de bază a AD FS poate fi considerată finalizată.
Sper că informațiile sonore vor fi utile și dacă aveți nevoie de ajutor - utilizați formularul de pe pagina principală a site-ului meu.