Správa a přizpůsobení služby AD FS pomocí služby Microsoft Entra Connect
Tento článek popisuje, jak spravovat a přizpůsobovat Active Directory Federation Services (AD FS) (AD FS) pomocí služby Microsoft Entra Connect.
Dozvíte se také o dalších běžných úlohách služby AD FS, které možná budete muset provést, abyste úplně nakonfigurovali farmu služby AD FS. Tyto úlohy jsou uvedeny v následující tabulce:
| Úloha | Popis |
|---|---|
| Správa služby AD FS | |
| Oprava vztahu důvěryhodnosti | Zjistěte, jak opravit vztah důvěryhodnosti federace s Microsoftem 365. |
| Federování s Microsoft Entra ID pomocí alternativního přihlašovacího ID | Zjistěte, jak nakonfigurovat federaci pomocí alternativního přihlašovacího ID. |
| Přidání serveru SLUŽBY AD FS | Zjistěte, jak rozšířit farmu služby AD FS o další server SLUŽBY AD FS. |
| Přidání serveru webových proxy aplikací služby AD FS (WAP) | Zjistěte, jak rozšířit farmu služby AD FS o další server WAP. |
| Přidání federované domény | Zjistěte, jak přidat federovanou doménu. |
| Aktualizace certifikátu TLS/SSL | Zjistěte, jak aktualizovat certifikát TLS/SSL pro farmu služby AD FS. |
| Přizpůsobení služby AD FS | |
| Přidání vlastního firemního loga nebo ilustrace | Zjistěte, jak přizpůsobit přihlašovací stránku služby AD FS s logem společnosti a ilustrací. |
| Přidání popisu přihlášení | Přečtěte si, jak přidat popis přihlašovací stránky. |
| Úprava pravidel deklarací identity služby AD FS | Zjistěte, jak upravit deklarace identity služby AD FS pro různé scénáře federace. |
Správa služby AD FS
Pomocí průvodce Microsoft Entra Connect můžete provádět různé úlohy související se službou AD FS s minimálním zásahem uživatele. Po dokončení instalace nástroje Microsoft Entra Connect spuštěním průvodce ho můžete spustit znovu a provést další úlohy.
Oprava vztahu důvěryhodnosti
Pomocí nástroje Microsoft Entra Connect můžete zkontrolovat aktuální stav vztahu důvěryhodnosti AD FS a Id Microsoft Entra a pak provést příslušné akce k opravě vztahu důvěryhodnosti. Pokud chcete opravit id Microsoft Entra a vztah důvěryhodnosti služby AD FS, postupujte takto:
V seznamu úkolů vyberte Opravit ID Microsoft Entra a vztah důvěryhodnosti ADFS.
Na stránce Connect to Microsoft Entra ID (Připojit k Microsoft Entra ID) zadejte své přihlašovací údaje správce hybridní identity pro ID Microsoft Entra a pak vyberte Další.
Na stránce s přihlašovacími údaji vzdáleného přístupu zadejte přihlašovací údaje správce domény.
Vyberte Další.
Microsoft Entra Connect kontroluje stav certifikátu a zobrazuje případné problémy.
Na stránce Připraveno ke konfiguraci se zobrazí seznam akcí, které budou provedeny k opravě vztahu důvěryhodnosti.
Chcete-li opravit vztah důvěryhodnosti, vyberte Nainstalovat .
Poznámka:
Microsoft Entra Connect může opravit nebo reagovat pouze na certifikáty podepsané svým držitelem. Microsoft Entra Connect nemůže opravit certifikáty třetích stran.
Federování s ID Microsoft Entra pomocí alternativního ID
Doporučujeme ponechat místní hlavní název uživatele (UPN) a hlavní název uživatele cloudu stejný. Pokud místní hlavní název uživatele (UPN) používá nesměrovatelnou doménu (například Contoso.local) nebo se nedá změnit kvůli závislostem místní aplikace, doporučujeme nastavit alternativní přihlašovací ID. Pomocí alternativního přihlašovacího ID můžete nakonfigurovat přihlašovací prostředí, ve kterém se uživatelé můžou přihlásit pomocí jiného atributu než hlavního názvu uživatele (UPN), například e-mailové adresy.
Volba hlavního názvu uživatele (UPN) ve službě Microsoft Entra Connect se ve výchozím nastavení nastaví na atribut userPrincipalName ve službě Active Directory. Pokud zvolíte jiný atribut hlavního názvu uživatele (UPN) a federujete pomocí služby AD FS, Microsoft Entra Connect nakonfiguruje službu AD FS pro alternativní přihlašovací ID.
Příklad výběru jiného atributu hlavního názvu uživatele (UPN) je znázorněn na následujícím obrázku:
Konfigurace alternativního ID přihlašování pro službu AD FS se skládá ze dvou hlavních kroků:
Nakonfigurujte správnou sadu deklarací identity vystavování: Pravidla vystavování v vztahu důvěryhodnosti předávající strany Microsoft Entra ID jsou upravena tak, aby jako alternativní ID uživatele používala vybraný atribut UserPrincipalName.
Povolte alternativní přihlašovací ID v konfiguraci služby AD FS: Konfigurace služby AD FS se aktualizuje, aby služba AD FS mohla vyhledat uživatele v příslušných doménových strukturách pomocí alternativního ID. Tato konfigurace je podporovaná pro službu AD FS ve Windows Serveru 2012 R2 (s KB2919355) nebo novějším. Pokud jsou servery služby AD FS 2012 R2, Microsoft Entra Connect zkontroluje přítomnost požadované znalostní báze. Pokud znalostní báze není zjištěna, po dokončení konfigurace se zobrazí upozornění, jak je znázorněno na následujícím obrázku:
Pokud chybí znalostní báze, můžete konfiguraci napravit instalací požadovaného KB2919355. Potom můžete postupovat podle pokynů v opravě vztahu důvěryhodnosti.
Poznámka:
Další informace o alternativním ID a postupu ruční konfigurace najdete v tématu Konfigurace alternativního PŘIHLAŠOVACÍHO ID.
Přidání serveru SLUŽBY AD FS
Poznámka:
K přidání serveru AD FS vyžaduje Microsoft Entra Connect certifikát PFX. Tuto operaci tedy můžete provést pouze v případě, že jste nakonfigurovali farmu služby AD FS pomocí nástroje Microsoft Entra Connect.
Vyberte Nasadit další federační server a pak vyberte Další.
Na stránce Připojit k Microsoft Entra ID zadejte přihlašovací údaje správce hybridní identity pro ID Microsoft Entra a pak vyberte Další.
Zadejte přihlašovací údaje správce domény.
Microsoft Entra Connect požádá o heslo souboru PFX, který jste zadali při konfiguraci nové farmy služby AD FS pomocí služby Microsoft Entra Connect. Vyberte Zadat heslo a zadejte heslo pro soubor PFX.
Na stránce Servery služby AD FS zadejte název serveru nebo IP adresu, které se mají přidat do farmy služby AD FS.
Vyberte Další a pokračujte dokončením konečné stránky Konfigurovat .
Jakmile Microsoft Entra Connect dokončí přidávání serverů do farmy služby AD FS, budete mít možnost ověřit připojení.
Přidání serveru WAP služby AD FS
Poznámka:
Pro přidání webového proxy aplikací serveru vyžaduje Microsoft Entra Connect certifikát PFX. Tuto operaci tedy můžete provést až po nakonfigurování farmy služby AD FS pomocí nástroje Microsoft Entra Connect.
V seznamu dostupných úloh vyberte Nasadit webovou proxy aplikací.
Zadejte přihlašovací údaje správce hybridní identity Azure.
Na stránce Zadat certifikát SSL zadejte heslo pro soubor PFX, který jste zadali při konfiguraci farmy služby AD FS pomocí služby Microsoft Entra Connect.
Přidejte server, který se má přidat jako server WAP. Protože server WAP nemusí být připojený k doméně, průvodce požádá o přihlašovací údaje správce k serveru, který se přidává.
Na stránce přihlašovacích údajů důvěryhodnosti proxy serveru zadejte přihlašovací údaje správce pro konfiguraci vztahu důvěryhodnosti proxy serveru a přístup k primárnímu serveru ve farmě služby AD FS.
Na stránce Připraveno ke konfiguraci zobrazí průvodce seznam akcí, které se budou provádět.
Konfiguraci dokončíte výběrem možnosti Nainstalovat . Po dokončení konfigurace vám průvodce poskytne možnost ověřit připojení k serverům. Vyberte Ověřit a zkontrolujte připojení.
Přidání federované domény
Pomocí microsoft Entra Connect můžete snadno přidat doménu, která se má federovat s MICROSOFT Entra ID. Microsoft Entra Connect přidá doménu pro federaci a upraví pravidla deklarací identity tak, aby správně odrážela vystavitele, pokud máte více domén federovaných s Microsoft Entra ID.
Pokud chcete přidat federovanou doménu, vyberte Přidat další doménu Microsoft Entra.
Na další stránce průvodce zadejte přihlašovací údaje hybridního správce pro MICROSOFT Entra ID.
Na stránce s přihlašovacími údaji vzdáleného přístupu zadejte přihlašovací údaje správce domény.
Na další stránce průvodce poskytuje seznam domén Microsoft Entra, se kterými můžete federovat místní adresář. Zvolte doménu ze seznamu.
Po výběru domény vás průvodce informuje o dalších akcích, které provede, a dopadu konfigurace. Pokud v některých případech vyberete doménu, která ještě není ověřená v Microsoft Entra ID, průvodce vám pomůže ověřit doménu. Další informace naleznete v tématu Přidání vlastního názvu domény do Microsoft Entra ID.
Vyberte Další.
Stránka Připraveno ke konfiguraci obsahuje seznam akcí, které bude microsoft Entra Connect provádět.
Konfiguraci dokončíte výběrem možnosti Nainstalovat .
Poznámka:
Uživatelé v přidané federované doméně musí být synchronizovaní, aby se mohli přihlásit k MICROSOFT Entra ID.
Přizpůsobení služby AD FS
Následující části obsahují podrobnosti o některých běžných úlohách, které možná budete muset provést, abyste přizpůsobili přihlašovací stránku služby AD FS.
Přidání vlastního firemního loga nebo ilustrace
Pokud chcete změnit logo společnosti zobrazené na přihlašovací stránce, použijte následující rutinu a syntaxi PowerShellu.
Poznámka:
Doporučené rozměry loga jsou 260 x 35 @ 96 dpi s velikostí souboru maximálně 10 kB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Poznámka:
Parametr TargetName je povinný. Výchozí motiv vydaný se službou AD FS má název Default.
Přidání popisu přihlášení
Pokud chcete na přihlašovací stránku přidat popis přihlašovací stránky, použijte následující rutinu a syntaxi PowerShellu.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Úprava pravidel deklarací identity služby AD FS
Služba AD FS podporuje bohatý jazyk deklarací identity, který můžete použít k vytváření vlastních pravidel deklarací identity. Další informace najdete v tématu Role jazyka pravidel deklarací identity.
Následující části popisují, jak můžete napsat vlastní pravidla pro některé scénáře, které souvisejí s federací Microsoft Entra ID a AD FS.
Neměnné ID podmíněné na hodnotě, která se nachází v atributu
Microsoft Entra Connect umožňuje zadat atribut, který se má použít jako zdrojové ukotvení, když se objekty synchronizují s ID Microsoft Entra. Pokud hodnota ve vlastním atributu není prázdná, možná budete chtít vydat neměnnou deklaraci ID.
Můžete například vybrat ms-ds-consistencyguid jako atribut pro zdrojové ukotvení a vydat ImmutableID jako ms-ds-consistencyguid v případě, že má atribut hodnotu. Pokud atribut neobsahuje žádnou hodnotu, zadejte objectGuid jako neměnné ID. Sadu vlastních pravidel deklarací identity můžete vytvořit podle popisu v následující části.
Pravidlo 1: Atributy dotazu
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
V tomto pravidle se dotazujete na hodnoty ms-ds-consistencyguid uživatele objectGuid a uživatele ze služby Active Directory. Změňte název úložiště na odpovídající název úložiště v nasazení služby AD FS. Změňte také typ deklarací na správný typ deklarací identity pro vaši federaci, jak je definováno pro objectGuid a ms-ds-consistencyguid.
Také použitím add a ne issue, vyhněte se přidání odchozího problému pro entitu a můžete použít hodnoty jako zprostředkující hodnoty. Deklaraci identity vydáte v pozdějším pravidle, jakmile určíte, kterou hodnotu použijete jako neměnné ID.
Pravidlo 2: Zkontrolujte, jestli pro uživatele existuje ms-ds-consistencyguid.
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Toto pravidlo definuje dočasný příznak, idflag který je nastavený, useguid pokud pro uživatele není ms-ds-consistencyguid vyplněný žádný příznak. Logika za tím spočívá v tom, že služba AD FS nepovoluje prázdné deklarace identity. Když přidáte deklarace identity http://contoso.com/ws/2016/02/identity/claims/objectguid a http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid v pravidle 1, skončíte s deklarací identity msdsconsistencyguid pouze v případě, že je pro uživatele naplněna hodnota. Pokud se nenaplní, služba AD FS uvidí, že bude mít prázdnou hodnotu a okamžitě ji zahodí. Všechny objekty budou mít objectGuid, takže deklarace identity bude vždy tam po spuštění pravidla 1.
Pravidlo 3: Problém ms-ds-consistencyguid jako neměnné ID, pokud je k dispozici
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Toto je implicitní Exist kontrola. Pokud hodnota deklarace existuje, zadejte ji jako neměnné ID. Předchozí příklad používá nameidentifier deklaraci identity. Budete muset toto nastavení změnit na odpovídající typ deklarace identity pro neměnné ID ve vašem prostředí.
Pravidlo 4: Problém objectGuid jako neměnné ID, pokud ms-ds-consistencyGuid není k dispozici
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Pomocí tohoto pravidla jednoduše kontrolujete dočasný příznak idflag. Rozhodnete se, jestli deklaraci identity vydáte na základě její hodnoty.
Poznámka:
Posloupnost těchto pravidel je důležitá.
Jednotné přihlašování s poddoménou hlavního názvu uživatele (UPN)
Pomocí nástroje Microsoft Entra Connect můžete přidat více než jednu doménu, kterou chcete federovat, jak je popsáno v tématu Přidání nové federované domény. Microsoft Entra Connect verze 1.1.553.0 a novější vytvoří správné pravidlo deklarace identity automaticky issuerID . Pokud nemůžete použít Microsoft Entra Connect verze 1.1.553.0 nebo novější, doporučujeme použít nástroj Pravidla deklarací identity Microsoft Entra RPT k vygenerování a nastavení správných pravidel deklarací identity pro vztah důvěryhodnosti předávající strany Microsoft Entra ID.
Další kroky
Přečtěte si další informace o možnostech přihlašování uživatelů.