Gerenciar e personalizar o AD FS usando o Microsoft Entra Connect

Este artigo descreve como gerenciar e personalizar os Serviços de Federação do Active Directory (AD FS) usando o Microsoft Entra Connect.

Você também aprenderá sobre outras tarefas comuns do AD FS que podem ser necessárias para configurar completamente um farm do AD FS. Essas tarefas estão listadas na tabela a seguir:

Tarefa Descrição
Gerenciar o AD FS
Reparar a relação de confiança Saiba como reparar a confiança de federação com o Microsoft 365.
Federar com o Microsoft Entra ID usando uma ID de entrada alternativa Saiba como configurar a federação usando uma ID de entrada alternativa.
Adicionar um servidor do AD FS Saiba como expandir um farm do AD FS com um servidor AD FS extra.
Adicionar um servidor Proxy de Aplicativo Web(WAP) do AD FS Saiba como expandir um farm do AD FS com um servidor WAP adicional.
Adicionar um domínio federado Saiba como adicionar um domínio federado.
Atualizar o certificado TLS/SSL Saiba como atualizar o certificado TLS/SSL para um farm do AD FS.
Personalizar o AD FS
Adicionar uma ilustração ou um logotipo da empresa personalizado Saiba como personalizar uma página de entrada do AD FS com o logotipo e a ilustração de uma empresa.
Adicionar uma descrição de entrada Saiba como adicionar uma descrição de página de entrada.
Modificar regras de declaração do AD FS Saiba como modificar as declarações do AD FS em vários cenários de federação.

Gerenciar o AD FS

Você pode realizar várias tarefas relacionadas ao AD FS no Microsoft Entra com mínima intervenção do usuário usando o assistente do Microsoft Entra Connect. Depois de concluir a instalação do Microsoft Entra Connect executando o assistente, você poderá executá-lo novamente para realizar outras tarefas.

Reparar a relação de confiança

Use o Microsoft Entra Connect para verificar a integridade atual da confiança do AD FS e do Microsoft Entra ID e, em seguida, execute as ações apropriadas para reparar a confiança. Para reparar sua confiança do Microsoft Entra ID e do AD FS, faça o seguinte:

  1. Selecione Reparar a Confiança do Microsoft Entra ID e do ADFS na lista de tarefas.

    Captura de tela da página

  2. Na página Conectar-se ao Microsoft Entra ID, forneça suas credenciais de Administrador de Identidade Híbrida para o Microsoft Entra ID e selecione Avançar.

    Captura de tela que mostra a página “Conectar ao Microsoft Entra ID” com as credenciais de exemplo inseridas.

  3. Na página Credenciais de acesso remoto , digite as credenciais de administrador de domínio.

    Captura de tela que mostra a página

  4. Selecione Avançar.

    O Microsoft Entra Connect verifica a integridade do certificado e mostra eventuais problemas.

    Captura de tela da página

    A página Pronto para configurar mostra a lista de ações que serão executadas para reparar a confiança.

    Captura de tela que mostra a página “Pronto para configurar” com uma lista de ações a serem realizadas.

  5. Selecione Instalar para reparar a confiança.

Observação

O Microsoft Entra Connect pode reparar ou atuar apenas em certificados autoassinados. O Microsoft Entra Connect não pode reparar certificados de terceiros.

Federar com Microsoft Entra ID usando alternateID

Recomendamos que mantenha o Nome Principal do Usuário (UPN) local e o Nome Principal do Usuário na nuvem iguais. Se o UPN local usar um domínio não roteável (por exemplo, Contoso.local) ou não puder ser alterado devido a dependências de aplicativos locais, recomendamos configurar uma ID de entrada alternativa. Usando uma ID de entrada alternativa, você poderá configurar uma experiência de entrada na qual os usuários podem entrar com um atributo diferente de seu UPN, como um endereço de email.

A escolha de UPN no Microsoft Entra Connect é padronizada para o atributo userPrincipalName no Active Directory. Se você escolher qualquer outro atributo para o UPN e estiver federando usando o AD FS, o Microsoft Entra Connect configurará o AD FS para uma ID de entrada alternativa.

Um exemplo de escolha de um atributo diferente para o UPN é mostrado na imagem a seguir:

Captura de tela que mostra a página

A configuração de uma ID de entrada alternativa para o AD FS consiste em duas etapas principais:

  1. Configure o conjunto correto de declarações de emissão: as regras de declaração de emissão na confiança de terceira parte confiável do Microsoft Entra ID são modificadas para usar o atributo UserPrincipalName selecionado como a ID alternativa do usuário.

  2. Habilite uma ID de entrada alternativa na configuração do AD FS: a configuração do AD FS é atualizada para que o AD FS possa procurar usuários nas florestas apropriadas usando a ID alternativa. Há suporte para essa configuração no AD FS no Windows Server 2012 R2 (com KB2919355) ou posterior. Se os servidores do AD FS forem 2012 R2, o Microsoft Entra Connect verificará a presença do KB obrigatório. Caso o KB não seja detectado, um aviso é exibido após a conclusão da configuração, conforme a imagem a seguir:

    Captura de tela da página

    Se houver um KB ausente, você poderá remediar a configuração instalando o KB2919355 necessário. Você poderá então seguir as instruções para reparar a confiança.

Observação

Para obter mais informações sobre a ID alternativa e as etapas para configurá-la manualmente, confira Configurar uma ID de entrada alternativa.

Adicionar um servidor do AD FS

Observação

Para adicionar um servidor do AD FS, o Microsoft Entra Connect requer um certificado PFX. Portanto, você só poderá executar essa operação se tiver configurado o farm do AD FS usando o Microsoft Entra Connect.

  1. Selecione Implantar um Servidor de Federação adicional e, em seguida, selecione Avançar.

    Captura de tela do painel

  2. Na página Conectar-se ao Microsoft Entra ID, insira suas credenciais de Administrador de Identidade Híbrida para o Microsoft Entra ID e selecione Avançar.

    Captura de tela que mostra a página

  3. Forneça as credenciais de administrador de domínio.

    Captura de tela que mostra a página

  4. O Microsoft Entra Connect solicita a senha do arquivo PFX que você forneceu quando configurou seu novo farm do AD FS com o Microsoft Entra Connect. Clique em Inserir Senha para fornecer a senha para o arquivo PFX.

    Captura de tela da página

    Captura de tela que mostra a página “Especificar certificado SSL” depois de inserir uma senha para o arquivo PFX.

  5. Na página Servidores do AD FS , insira o nome do servidor ou o endereço IP a ser adicionado ao farm do AD FS.

    Captura de tela que mostra a página

  6. Selecione Avançar e continue preenchendo a página Configurar final.

    Depois que o Microsoft Entra Connect terminar de adicionar os servidores ao farm do AD FS, você terá a opção de verificar a conectividade.

    Captura de tela que mostra a página

    Captura de tela que mostra a página “Instalação concluída”.

Adicionar um servidor WAP do AD FS

Observação

Para adicionar um servidor Proxy de Aplicativo Web, o Microsoft Entra Connect requer o certificado PFX. Portanto, você só poderá executar essa operação depois de configurar o farm do AD FS usando o Microsoft Entra Connect.

  1. Selecione Implantar Proxy de Aplicativo Web na lista de tarefas disponíveis.

    Implantar o proxy de aplicativo Web

  2. Forneça as credenciais do Administrador de Identidade Híbrida do Azure.

    Captura de tela que mostra a página

  3. Na página Especificar certificado SSL, forneça a senha para o arquivo PFX que você forneceu ao configurar o farm do AD FS com o Microsoft Entra Connect. Senha do certificado

    Especificar o certificado TLS/SSL

  4. Adicione o servidor a ser adicionado como um servidor WAP. Já que o servidor WAP pode não estar ingressado no domínio, o assistente solicita as credenciais administrativas para o servidor que está sendo adicionado.

    Credenciais administrativas de servidor

  5. Na página Credenciais de confiança de proxy , forneça as credenciais administrativas para configurar a confiança de proxy e acessar o servidor primário no farm do AD FS.

    Credenciais de confiança de proxy

  6. Na página Pronto para configurar , o assistente mostra a lista de ações que serão executadas.

    Captura de tela que mostra a página

  7. Selecione Instalar para concluir a configuração. Depois que a configuração for concluída, o assistente lhe dará a opção para verificar a conectividade com os servidores. Selecione Verificar para verificar a conectividade.

    Instalação concluída

Adicionar um domínio federado

É fácil adicionar um domínio para federar com o Microsoft Entra ID usando o Microsoft Entra Connect. O Microsoft Entra Connect adiciona o domínio para federação e modifica as regras de declaração para refletir corretamente o emissor quando você tem vários domínios federados com o Microsoft Entra ID.

  1. Para adicionar um domínio federado, selecione Adicionar mais um domínio do Microsoft Entra.

    Captura de tela do painel

  2. Na próxima página do assistente, forneça as credenciais de administrador híbrido do Microsoft Entra ID.

    Captura de tela que mostra o painel

  3. Na página Credenciais de acesso remoto, forneça as credenciais do administrador de domínio.

    Captura de tela mostrando o painel

  4. Na próxima página, o assistente fornece uma lista de domínios do Microsoft Entra com os quais você pode federar seu diretório local. Escolha o domínio na lista.

    Captura de tela do painel

    Depois de escolher o domínio, o assistente informa sobre outras ações que serão realizadas e o impacto da configuração. Em alguns casos, se você selecionar um domínio que ainda não foi verificado no Microsoft Entra ID, o assistente o ajudará a verificar esse domínio. Para obter mais informações, confira Adicionar seu nome de domínio personalizado ao Microsoft Entra ID.

  5. Selecione Avançar.

    A página Pronto para configurar lista as ações que o Microsoft Entra Connect executará.

    Captura de tela do painel

  6. Selecione Instalar para concluir a configuração.

Observação

Os usuários no domínio federado adicionado devem ser sincronizados antes de poderem entrar no Microsoft Entra ID.

Personalizar o AD FS

As seções a seguir fornecem detalhes sobre algumas das tarefas comuns que talvez você precise executar para personalizar sua página de entrada do AD FS.

Para alterar o logotipo da empresa que é exibido na página de Entrada, use o cmdlet e sintaxe do PowerShell.

Observação

As dimensões recomendadas para o logotipo são 260x35 a 96 dpi com um tamanho do arquivo máximo de 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Observação

O parâmetro TargetName é necessário. O tema padrão liberado com o AD FS é denominado Default.

Adicionar uma descrição de entrada

Para adicionar uma descrição à página de Entrada, use o seguinte cmdlet e sintaxe do PowerShell.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modificar regras de declaração do AD FS

O AD FS dá suporte a uma linguagem de declarações avançada que você pode usar para criar regras de declaração personalizada. Para obter mais informações, confira A função da linguagem de regras de declaração.

As seções a seguir descrevem como você pode escrever regras personalizadas para alguns cenários relacionadas à federação do Microsoft Entra ID e AD FS.

Condicional de ID imutável em um valor presente no atributo

O Microsoft Entra Connect permite especificar um atributo a ser usado como uma âncora de origem quando os objetos são sincronizados com o Microsoft Entra ID. Se o valor no atributo personalizado não estiver vazio, convém emitir uma declaração de ID imutável.

Por exemplo, você pode selecionar ms-ds-consistencyguid como o atributo de âncora de origem e talvez deseje emitir ImmutableID como ms-ds-consistencyguid, caso o atributo tenha um valor em relação a ele. Se não houver um valor com o atributo, atribua objectGuid como a ID imutável. Você pode construir o conjunto de regras de declaração personalizada, conforme descrito na seção a seguir.

Regra 1: consultar atributos

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

Nessa regra, você simplesmente consulta os valores de ms-ds-consistencyguid e objectGuid do usuário do Active Directory. Altere o nome do repositório para um nome de armazenamento apropriado em sua implantação do AD FS. Também altere o tipo de declarações para um tipo apropriado para a federação, conforme definido para objectGuid e ms-ds-consistencyguid.

Além disso, usando add e não issue, você evita adicionar uma emissão de saída à entidade e pode usar os valores como valores intermediários. você emitirá a declaração em uma regra posterior depois de estabelecer qual valor usar como ID imutável.

Regra 2: verifique se o ms-ds-consistencyguid existe para o usuário

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Essa regra define um sinalizador temporário chamado idflagque é definido comouseguid se não houver ms-ds-consistencyguid preenchidos para o usuário. A lógica por trás disso é que o AD FS não permite declarações vazias. Ao adicionar declarações http://contoso.com/ws/2016/02/identity/claims/objectguid e http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid na Regra 1, você acaba com uma declaração msdsconsistencyguid somente se o valor for preenchido para o usuário. Se ele não estiver populado, o AD FS verá que ele terá um valor vazio e o descartará imediatamente. Todos os objetos terão objectGuid. Portanto, essa declaração sempre estará presente após a Regra 1 ser executada.

Regra 3: emitir ms-ds-consistencyguid como a ID imutável, se estiver presente

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Essa é uma verificação Exist implícita. Se o valor da declaração existir, emita-o como ID imutável. O exemplo anterior usa a declaração nameidentifier . Você precisará alterar isso para o tipo de declaração adequado para a ID imutável no seu ambiente.

Regra 4: emita objectGuid como ID imutável se ms-ds-consistencyGuid não estiver presente

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Nessa regra, você está simplesmente verificando o sinalizador temporário idflag. Você decide se deve emitir a declaração com base em seu valor.

Observação

A sequência dessas regras é importante.

SSO com um subdomínio UPN

Você pode adicionar mais de um domínio a ser federado usando o Microsoft Entra Connect, conforme descrito em Adicionar um novo domínio federado. As versões 1.1.553.0 e posteriores do Microsoft Entra Connect criam a regra de declaração correta para issuerID automaticamente. Se você não puder usar o Microsoft Entra Connect versão 1.1.553.0 ou posterior, recomendamos que você use a ferramenta Regras de Declaração do Microsoft Entra RPT para gerar e definir as regras de declaração corretas para a confiança da terceira parte confiável do Microsoft Entra ID.

Próximas etapas

Saiba mais sobre as opções de entrada do usuário.