[玩转系统] 逐步实施 Active Directory 联合身份验证服务
作者:精品下载站 日期:2024-12-14 07:05:24 浏览:15 分类:玩电脑
逐步实施 Active Directory 联合身份验证服务
2013 年,我安装了第一个 ADFS 环境,给我留下了深刻的印象。随后进行了其他几次部署,我一直想在博客中介绍它,但它从未发生过。大约是开始新的一年的好方法。在我部署第一个 ADFS 环境 7 年后,这是我关于实现 ADFS 的博客?。
而且……2022 年初,我必须安装另一个 ADFS 环境,这次在 Windows 2022 上运行。它与 Windows 2019 或 Windows 2016 没有太大不同,但我稍微更改了这篇博文以反映 Windows 2022 ADFS。
我不会讨论密码哈希同步、直通身份验证 (PTA) 或 Octa 等第三方解决方案的优缺点。我也不会讨论您是否应该实施 ADFS 还是其他解决方案。我只是看到很多客户使用密码哈希同步并研究在内部进行身份验证的其他场景(出于各种原因)。在这篇博文中,我将逐步向您展示如何部署基于 ADFS 的联合基础设施。
在 Office 365 中,用户可以通过多种方式进行身份验证,这与所使用的身份类型有关:
- 云身份——在云中创建,密码在云中,用户在云中进行身份验证。
- 同步身份 - 在本地 Active Directory 中创建并同步到云,包括其密码(大多数情况下)。用户使用本地密码在云中进行身份验证。
- 联合身份 - 在本地 Active Directory 中创建并同步到云,有时包括其密码(建议用于灾难恢复)。用户使用联合基础设施 (ADFS) 对本地域控制器进行身份验证。
Active Directory 联合服务
在联合环境中,当您尝试登录云服务(在 Office 365 中,这可以是 SharePoint、Teams、Exchange、OneDrive、Microsoft Portal)时,会出现身份验证请求。请求将被重定向到本地联合服务器,而不是输入可由 Azure AD 域控制器进行身份验证的密码。该服务称为安全令牌服务或STS。 Active Directory 环境中的 STS 是通过在 DMZ 中的 Windows 2022 服务器上运行的 ADFS 实例来实现的。这是Web 应用程序代理或WAP 服务器。此服务器的常用名称为 sts.contoso.com、adfs.contoso.com 或 federation.contoso.com。
身份验证请求被代理到内部 ADFS 服务器,该服务器将请求移交给 Active Directory 域控制器。经过身份验证后,ADFS 服务器使用 STS 返回 SAML 令牌,用于对 Office 365 服务中的用户进行身份验证。
为此,您需要一个 Azure AD Connect 服务器,用于将 Active Directory 中的帐户同步到 Azure Active Directory。这与密码哈希同步解决方案没有什么不同。然后,您需要一个本地 ADFS 解决方案来处理来自 Office 365 的请求。您最不需要的就是 Azure AD 中配置为联合域的域,其中常规域配置为托管域。
如下图所示:
我假设你已经配置了 Office 365 租户,并且 Azure AD 已经启动并运行,并且你已经在 Office 365 环境中同步了身份。此时,它们可以配置邮箱,这对于本博文的其余部分并不重要。
我的 WAP 服务器是一个独立的 Windows 2022 服务器(位于 DMZ 中),名为 ams-sts01.exchangelabs.nl。它有一个 Digicert 证书,通用名称为 federation.exchangelabs.nl。它有一个内部IP地址和一个外部IP地址。它可以解析内部服务器的 IP 地址(请注意,federation.exchangelabs.nl 应解析为内部 ADFS 服务器),并且只能通过端口 443 进行外部访问。
内部 ADFS 服务器是加入域的 Windows 2022 服务器,只有一个名为 AMS-ADFS01.labs.local 的内部 IP 地址(当然)。它具有与 WAP 服务器 (federation.exchangelabs.nl) 相同的 SSL 证书。 WAP 服务器应该能够通过端口 443 访问该服务器。
建设基础设施
构建 ADFS 基础设施包含以下几个步骤:
- 部署 ADFS 场的第一台 ADFS 服务器(第一台 ADFS 服务器的配置是安装过程的一部分)。
- 在 ADFS 场中部署其他服务器(不在本博文中)。
- 在 DMZ 中部署第一台 WAP 服务器。
- 配置第一个 WAP 服务器。
- 在 DMZ 中部署其他服务器(不在本博文中)。
我将在以下各节中讨论这些步骤。
部署第一个联合服务器
第一步是部署内部 ADFS 服务器。安装并修补 Windows 2022 服务器后,您可以使用服务器管理器来安装 ADFS 服务器角色。打开服务器管理器,选择本地服务器,点击管理,然后选择添加角色和功能。
在添加角色和功能向导中,单击基于角色或基于功能的安装,选择要安装 ADFS 角色的服务器,然后选中Active Directory 联合身份验证服务复选框。保留选择功能选项默认值并完成向导。现在将安装 ADFS 角色。
安装完成后,单击在此服务器上配置联合身份验证服务以启动 ADFS 配置。
指定具有足够权限的帐户来执行 ADFS 配置。通常,域管理员帐户即可。需要时,选择备用帐户,否则单击“下一步”继续。
您可以从 PFX 文件导入 SSL 证书,或者如果您在 Windows 2022 服务器安装过程中导入了 SSL 证书,则可以使用下拉框进行选择。输入联合服务名称,这是安装后在 ADFS 登录页面上可见的名称,因此您应该使用有意义的名称。
以下步骤是输入 ADFS 服务使用的服务帐户。您可以手动创建一个帐户,或使用群组托管服务帐户。这样做的好处是可以自动更改密码,因此我建议使用它。
接下来是选择存储配置数据的数据库。这可以是 Windows 内部数据库或 SQL 数据库。我将跳过此屏幕截图。
最后一步是查看配置选项:
当审核选项正常时,您可以单击下一步并执行先决条件检查。
正确安装并配置所有先决条件后,您可以单击配置,然后将开始安装和配置第一个 ADFS 服务器。几分钟后安装配置完成,结果如下:
此时我不担心警告消息。单击关闭并按要求重新启动服务器。
在内部 DNS 服务器上,为联合服务器 (federation.exchangelabs.nl) 创建 A 记录并将其指向内部 ADFS 服务器。还为企业注册创建 CNAME 记录,并使用 ADFS 服务器的 FQDN (federation.contoso.com)。
当 ADFS 服务器重新启动并且 DNS 记录就位后,您可以使用类似于此的 URL (https://federation.exchangelabs.nl/adfs/fs/federationserverservice.asmx) 来检查 ADFS 服务器上的联合身份验证服务。它将显示类似于以下屏幕截图的 XML 输出:
至此,您已成功部署第一个 ADFS 服务器。下一步是部署第一个 WAP 服务器。
部署代理服务器
安装并修补 Windows 2016 服务器后(不要忘记 SSL 证书),您可以使用服务器管理器安装 Web 应用程序服务器作为远程访问服务的一部分。
笔记。 Windows 2022 的新功能之一是支持 TLS 1.3。我发现 ADFS 无法与 TLS 1.3 一起正常工作,并且您必须在 WAP 服务器的注册表中禁用它。有关更多信息,请查看我的博客文章 https://jaapwesselius.com/2022/01/19/adfs-web-application-proxy-configuration-wizard-fails-with-trust-certificate-error/。
在添加角色和功能向导中,单击基于角色或基于功能的安装,选择要安装 Web 应用程序代理的服务器角色并选中远程访问复选框。
将选择功能选项保留为默认值,然后在角色服务窗口中选中“Web 应用程序代理”复选框。在附加功能弹出窗口中,单击添加功能,然后继续按照向导安装 Web 应用程序代理服务器。
安装 WAP 服务器软件后,单击打开 Web 应用程序代理向导(在服务器管理器的通知下)。
对于联合身份验证服务名称,请使用您计划使用的名称(即 federation.exchangelabs.nl),并输入上一节中安装的 ADFS 服务器上的本地管理员凭据。
选择安装过程中Windows 2022服务器上安装的SSL证书(我将在此处跳过此屏幕截图),然后将显示确认窗口。
单击配置开始配置Web应用程序代理服务器,片刻之后将显示“结果”窗口。
要在安装后检查 WAP 服务器的运行状态,请打开远程访问管理控制台(在“管理工具”下),单击服务器,您将看到 >两个绿色复选框表示服务器已启动并正在运行:
您还可以检查事件查看器。在服务器角色下 | Active Directory 联合身份验证服务您应该能够找到EventID 245,表明 WAP 服务器已成功从内部 ADFS 服务器检索其配置设置:
快速外部检查可以是从 ADFS 服务器检索联合元数据。从外部客户端使用与此类似的 URL (https://federation.exchangelabs.nl/federationmetadata/2007-06/federationmetadata.xml) 来检索联合元数据。它应该显示类似于以下内容的 XML 输出:
另一个测试是使用 Idp Initiated Signon 页面,该页面位于 https://federation.exchangelabs.nl/adfs/ls/idpinitiatedsignon.htm。这里有一个问题,在 Windows 2012 R2 中默认启用此功能,但在 Windows 2016 中则不然。要启用它,请在(内部)ADFS 服务器上执行以下 PowerShell 命令:
[PS] C:\> Set-AdfsProperties -EnableIdpInitiatedSignonPage $True
现在,当您导航到 IdpInitiatedSignon 页面时,您将看到一个带有“登录”按钮的静态 HTML 页面。单击它时,您可以使用您的凭据登录到您的环境,您将看到类似以下屏幕截图的内容:
现在我们知道 ADFS 环境工作正常,我们可以继续配置 Azure AD 和 Office 365。
目前,我们已在现有的本地 Windows 环境中安装并配置了一个简单的 ADFS 基础设施,能够处理 Office 365 身份验证请求。我将在下一篇博客中讨论 Office 365(以及 Azure Active Directory)的配置。
猜你还喜欢
- 03-30 [玩转系统] 如何用批处理实现关机,注销,重启和锁定计算机
- 02-14 [系统故障] Win10下报错:该文件没有与之关联的应用来执行该操作
- 01-07 [系统问题] Win10--解决锁屏后会断网的问题
- 01-02 [系统技巧] Windows系统如何关闭防火墙保姆式教程,超详细
- 12-15 [玩转系统] 如何在 Windows 10 和 11 上允许多个 RDP 会话
- 12-15 [玩转系统] 查找 Exchange/Microsoft 365 中不活动(未使用)的通讯组列表
- 12-15 [玩转系统] 如何在 Windows 上安装远程服务器管理工具 (RSAT)
- 12-15 [玩转系统] 如何在 Windows 上重置组策略设置
- 12-15 [玩转系统] 如何获取计算机上的本地管理员列表?
- 12-15 [玩转系统] 在 Visual Studio Code 中连接到 MS SQL Server 数据库
- 12-15 [玩转系统] 如何降级 Windows Server 版本或许可证
- 12-15 [玩转系统] 如何允许非管理员用户在 Windows 中启动/停止服务
取消回复欢迎 你 发表评论:
- 精品推荐!
-
- 最新文章
- 热门文章
- 热评文章
[影视] 黑道中人 Alto Knights(2025)剧情 犯罪 历史 电影
[古装剧] [七侠五义][全75集][WEB-MP4/76G][国语无字][1080P][焦恩俊经典]
[实用软件] 虚拟手机号 电话 验证码 注册
[电视剧] 安眠书店/你 第五季 You Season 5 (2025) 【全10集】
[电视剧] 棋士(2025) 4K 1080P【全22集】悬疑 犯罪 王宝强 陈明昊
[软件合集] 25年6月5日 精选软件22个
[软件合集] 25年6月4日 精选软件36个
[短剧] 2025年06月04日 精选+付费短剧推荐33部
[短剧] 2025年06月03日 精选+付费短剧推荐25部
[软件合集] 25年6月3日 精选软件44个
[剧集] [央视][笑傲江湖][2001][DVD-RMVB][高清][40集全]李亚鹏、许晴、苗乙乙
[电视剧] 欢乐颂.5部全 (2016-2024)
[电视剧] [突围] [45集全] [WEB-MP4/每集1.5GB] [国语/内嵌中文字幕] [4K-2160P] [无水印]
[影视] 【稀有资源】香港老片 艺坛照妖镜之96应召名册 (1996)
[剧集] 神经风云(2023)(完结).4K
[剧集] [BT] [TVB] [黑夜彩虹(2003)] [全21集] [粤语中字] [TV-RMVB]
[实用软件] 虚拟手机号 电话 验证码 注册
[资源] B站充电视频合集,包含多位重量级up主,全是大佬真金白银买来的~【99GB】
[影视] 内地绝版高清录像带 [mpg]
[书籍] 古今奇书禁书三教九流资料大合集 猎奇必备珍藏资源PDF版 1.14G
[电视剧] [突围] [45集全] [WEB-MP4/每集1.5GB] [国语/内嵌中文字幕] [4K-2160P] [无水印]
[剧集] [央视][笑傲江湖][2001][DVD-RMVB][高清][40集全]李亚鹏、许晴、苗乙乙
[电影] 美国队长4 4K原盘REMUX 杜比视界 内封简繁英双语字幕 49G
[电影] 死神来了(1-6)大合集!
[软件合集] 25年05月13日 精选软件16个
[精品软件] 25年05月15日 精选软件18个
[绝版资源] 南与北 第1-2季 合集 North and South (1985) /美国/豆瓣: 8.8[1080P][中文字幕]
[软件] 25年05月14日 精选软件57个
[短剧] 2025年05月14日 精选+付费短剧推荐39部
[短剧] 2025年05月15日 精选+付费短剧推荐36部
- 最新评论
-
- 热门tag