Pasul 1: Configurați controlerul de domeniu (DC1)
Pentru scopurile acestui mediu de testare, puteți numi contoso.com domenii rădăcină Active Directory și specificați ** pass @ word1 ** ca parolă de administrator.
Crearea de conturi de testare pentru Active Directory
După ce controlerul de domeniu devine funcțional, puteți să creați un grup de testare și să testați utilizatorii de conturi din acest domeniu și să adăugați contul de utilizator în contul de grup. Aceste conturi sunt utilizate pentru a efectua instrucțiuni pas cu pas în manualele relevante enumerate anterior în această secțiune.
Creați următoarele conturi:
Utilizator: Robert Hatley cu următoarele acreditări: username: RobertH și parola: P @ ssword
Creați un cont gestionat
Pentru a crea un cont gestionat de grup
Deschideți fereastra de comandă Windows PowerShell și tastați:
Pasul 2: Configurați serverul de federalizare (ADFS1) utilizând serviciul Logging Device
Instalarea certificatului SSL Server
Trebuie să instalați certificatul de server Secure Socket Layer (SSL) pe serverul ADFS1 din magazinul local de calculatoare. Certificatul trebuie să aibă următoarele atribute:
Nume subiect (CN): adfs1.contoso.com
Nume de subiect alternativ (DNS): adfs1.contoso.com
Nume de subiect alternativ (DNS): enterpriseregistration.contoso.com
Instalarea rolului serverului AD FS
Pentru a instala serviciul Rol Personaj Service
Conectați-vă la server folosind contul de administrator al domeniului [email protected].
Porniți managerul de server. Pentru a porni Managerul de Server, faceți clic pe butonul Server Manager din ecranul de pornire Windows sau faceți clic pe Manager de Server de pe bara de activități Windows de pe desktopul Windows. Pentru a lansa rapid fila Bine ați venit la placa de monitorizare, faceți clic pe Adăugare roluri și caracteristici. În plus, puteți face clic pe butonul Adăugați roluri și componente pentru a gestiona meniul.
În Selectați tipul de instalare, faceți clic pe Instalare sau componente pe bază de roluri. apoi faceți clic pe Următorul.
În Selectați serverul țintă, faceți clic pentru a selecta serverul din grupul de servere. asigurați-vă că este selectat computerul țintă, apoi faceți clic pe Următorul.
În pagina Selectați rolurile serverului, faceți clic pe Serviciile de servicii federale ale serviciului. apoi faceți clic pe Următorul.
Pe componentele selectate, faceți clic pe Următorul.
În Active Directory Federation Services (AD FS), faceți clic pe Următorul.
După verificarea informațiilor de confirmare pentru elementele selectate pentru instalare, selectați repornirea automată a serverului de destinație, dacă este necesară caseta de selectare, apoi faceți clic pe Instalați.
Despre progresul instalării. asigurați-vă că totul este instalat corect și faceți clic pe închideți.
Configurați serverul de federație
Următorul pas este să configurați serverul de federalizare.
Configurați serverul de federație
În Managerul de monitorizare a serverului, faceți clic pe Notificări. apoi faceți clic pe Configurați serviciul de federalizare pe server.
Se deschide Expertul de configurare a serviciilor certificatului Active Directory.
În ecranul de întâmpinare, selectați pentru a crea primul server de federație în ferma server de federație. apoi faceți clic pe Următorul.
Pentru a vă conecta la AD DS, specificați un cont cu drepturi de administrator de domeniu pentru contoso.com că computerul este conectat la domeniul Active Directory, apoi faceți clic pe Următorul.
Pe proprietățile serviciului de pagină, urmați acești pași, apoi faceți clic pe Următorul:
Importați certificatul SSL pe care l-ați primit mai devreme. Acest certificat este un certificat necesar de autentificare a serviciului. Navigați la locația certificatului SSL.
Pentru a furniza un nume pentru serviciul de federație, introduceți adresa adfs1.contoso.com. Această valoare are același înțeles ca și certificatul furnizat când înregistrați un certificat SSL în Serviciile de certificare Active Directory (AD CS).
Pentru a specifica un nume afișat pentru serviciul de federație, tastați Contoso Corporation.
În contul de serviciu, selectați să utilizați un cont de utilizator de domeniu existent sau un cont de serviciu gestionat de grup. și apoi specificați contul GMSA fsgmsa. create atunci când creați un controler de domeniu.
În baza de date Configurare specificată, selectați crearea unei baze de date pe acest server folosind baza de date internă Windows. apoi faceți clic pe Următorul.
La verificările preliminare, asigurați-vă că toate verificările preliminare au fost finalizate cu succes și faceți clic pe butonul Setări.
Configurarea serviciului de înregistrare a dispozitivelor
Deschideți fereastra de comandă Windows PowerShell și tastați:
Când vi se solicită contul de service, tastați contoso \ fsgmsa $.
Acum, executați cmdletul Windows PowerShell.
Pe serverul ADFS1, în gestionarea consolei AD FS, mergeți la directorul de politici de autentificare. Selectați autentificarea globală primară globală. Bifați caseta de validare de lângă activarea autentificării dispozitivelor. apoi faceți clic pe OK.
Adăugarea la DNS a unui nod (A) și a unei înregistrări a resurselor alias (CNAME)
În DC1, trebuie să vă asigurați că următoarele intrări de nume de domeniu (DNS) sunt create pentru serviciul de înregistrare a dispozitivelor.
Puteți utiliza următoarea procedură pentru a adăuga o înregistrare a resurselor gazdă (A) la serverele de nume DNS ale companiei pentru serverul de federație și pentru serviciul de înregistrare a dispozitivelor.
Adăugarea unui nod (A) și a unei înregistrări de resurse alias (CNAME) la DNS pentru serverul de federație
Pe computerul DC1 din Managerul de Server din meniul Instrumente, faceți clic pe butonul DNS pentru a deschide modulul snap-in DNS.
În nume, introduceți numele fermei AD FS. Pentru acest ghid pas cu pas, introduceți adfs1.
Faceți clic dreapta pe contoso.com. apoi faceți clic pe butonul nou alias (CNAME).
În noua casetă de dialog despre înregistrarea resurselor, introduceți enterprisregistration în câmpul de alias.
Introduceți nodul câmpului țintă, adfs1.contoso.com, în numele de domeniu complet calificat (FQDN). apoi faceți clic pe OK.
Într-o implementare reală cazul în care compania de mai multe sufixe UPN (UPN) de utilizator, trebuie să vă creați mai multe înregistrări CNAME, câte unul pentru fiecare dintre aceste sufixe în DNS.
Pasul 3: Configurați serverul Web (WebServ1) și aplicația de probă pe baza revendicărilor
Pentru a finaliza tutorialele pas cu pas enumerate mai devreme în această secțiune, trebuie să aveți o cerere de probă furnizată de serverul de federație (ADFS1).
Trebuie să efectuați următorii pași pentru a instala serverul Web din aplicația probă pe baza revendicărilor.
remarcă
Instalarea rolului serverului Web și a Fundației pentru identitatea Windows
remarcă
În managerul de server din fila Lansare rapidă, faceți clic pe tabloul de bord Bine ați venit la dale, faceți clic pe Adăugați roluri și componente. În plus, puteți face clic pe butonul Adăugați roluri și componente pentru a gestiona meniul.
În Selectați tipul de instalare, faceți clic pe Instalare sau componente pe bază de roluri. apoi faceți clic pe Următorul.
În Selectați serverul de destinație, faceți clic pentru a selecta serverul din grupul de servere. asigurați-vă că este selectat computerul țintă, apoi faceți clic pe Următorul.
În pagina Selectați rolurile serverului, bifați caseta de lângă elementul Server Web (IIS). faceți clic pe butonul Adăugați componente. apoi faceți clic pe Următorul.
Pe componentele selectate, selectați Windows Identity Foundation 3.5. apoi faceți clic pe Următorul.
În pagina Servicii Selectare Role, selectați și extindeți dezvoltarea aplicației. Selectați ASP.NET 3.5. faceți clic pe butonul Adăugați componente. apoi faceți clic pe Următorul.
Instalați fișierul SDK pentru Windows Identity Foundation
Configurați aplicația de cerere de probă în IIS
Instalați un certificat SSL valid în magazinul de certificate de pe computer. Certificatul trebuie să conțină numele serverului web, webserv1.contoso.com.
Copiați conținutul C: \ Program Files (x86) \ Windows Identity Foundation SDK \ v3.5 \ Samples \ Start rapid \ Web Application \ PassiveRedirectBasedClaimsAwareWebApp C: \ Inetpub \ Claimapp.
Schimbați fișierul Default.aspx.cs pentru a filtra revendicările. Acest pas este efectuat pentru a se asigura că eșantionul aplicației afișează toate reclamațiile emise de serverul de federație. Faceți următoarele:
Găsiți fișierul pentru cea de-a doua instanță a ExpectedClaims.
Formatul dvs. FOREACH ar trebui să arate acum ca exemplul de cod următor.
Salvați și închideți Default.aspx.cs.
Înlăturați complet
Salvați și închideți web.config.
Configurarea Managerului IIS
Deschideți Internet Information Services (IIS) a dispeceratului.
Navigați la secțiunea Piscine aplicații. Faceți clic dreapta pe DefaultAppPool pentru a selecta Setări avansate. Solicitați să încărcați un profil de utilizator pentru True. apoi faceți clic pe OK.
Faceți clic dreapta pe DefaultAppPool pentru a selecta opțiunile de bază. Modificați versiunea .NET CLR pentru versiunea .NET CLR v2.0.50727.
Faceți clic dreapta pe site-ul Web implicit pentru a selecta schimbarea legăturilor.
Adăugați legarea HTTPS la portul 443 cu certificatul SSL pe care a fost instalat.
Faceți clic dreapta pe site-ul Web implicit pentru a selecta adăugarea aplicației.
Specificați un alias pentru claimapp și calea fizică la c: \ inetpub \ claimapp.
Pentru a configura claimapp pentru a lucra cu serverul de federație, urmați acești pași:
Rulați FedUtil.exe localizat în C: \ Program Files (x86) \ Windows Identity Foundation SDK \ v3.5.
Selectați pentru a dezactiva verificarea lanțului de certificate. apoi faceți clic pe Următorul.
Alegeți fără criptare. apoi faceți clic pe Următorul. În declarațiile propuse, faceți clic pe Următorul.
Bifați caseta de validare din dreptul sarcinii de programare pentru a efectua actualizări zilnice WS-Federation metadate. Faceți clic pe butonul ** Efectuat **.
Creați o relație de încredere cu partenerul de pe serverul de federalizare
Pe serverul de federalizare (ADFS1), în consola de administrare AD FS. mergeți la secțiunea de încredere cu partea care se bazează. apoi faceți clic pe Adăugați încredere împreună cu partenerul.
Pentru a specifica numele afișat, specificați numele afișat al relației de încredere cu partea de bază, claimapp. apoi faceți clic pe Următorul.
Pe Configurați autentificarea multifactorică acum? ** selectați ** trebuie să specificați opțiunea de autentificare multifactorială pentru această relație de încredere cu partea care se bazează în acest moment nu. apoi faceți clic pe Următorul.
În relația Ready to add trust, faceți clic pe Următorul.
În caseta de dialog Editare reguli pentru revendicări, faceți clic pe Adăugare regulă.
În cazul tipului Selectare regulă, selectați Trimitere revendicări utilizând regula personalizată. apoi faceți clic pe Următorul.
În pagina Configurați regulile revendicărilor din numele regulii de revendicări, introduceți toate declarațiile. În regula obișnuită, introduceți următoarea regulă de afirmație.
Faceți clic pe Finalizare. apoi faceți clic pe OK.
Pasul 4: Configurați computerul client (CLIENT1)
Configurați o altă mașină virtuală și instalați Windows 8.1. Această mașină virtuală trebuie să se afle pe aceeași rețea virtuală ca și alte mașini. Această mașină nu ar trebui integrată în domeniul Contoso.
Clientul trebuie să aibă încredere în certificatul SSL utilizat pentru serverul de federalizare (ADFS1) care este configurat în etapa 2: Configurarea serverului de federalizare (ADFS1) cu serviciul de înregistrare a dispozitivelor. Ar trebui să fie posibilă verificarea informațiilor de revocare a certificatului pentru certificat.