Revisar os requisitos para implantar o AD FS

Aplica-se a: Azure, Office 365, Power BI Windows Intune

Para que uma nova implantação do AD FS crie uma confiança de terceira parte confiável com êxito com Azure AD, primeiro verifique se sua infraestrutura de rede corporativa está configurada para dar suporte aos requisitos do AD FS para contas, resolução de nomes e certificados. O AD FS tem os seguintes tipos de requisitos:

  • Requisitos de software

  • Requisitos de certificado

  • Requisitos de rede

Requisitos de software

O software AD FS deve ser instalado em qualquer computador que você esteja preparando para o servidor de federação ou função proxy de servidor de federação. Você pode instalar esse software usando o Assistente de Instalação do AD FS ou executando uma instalação silenciosa usando o parâmetroadfssetup.exe /quiet em uma linha de comando.

Para uma plataforma de instalação base, o AD FS requer o Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 sistema operacional R2. O AD FS tem um pacote de instalação separado para as plataformas do sistema operacional Windows Server 2008, Windows Server 2008 R2 (e geralmente é conhecido como AD FS 2.0) ou pode ser instalado adicionando a função de servidor do Serviço de Federação como parte do sistema operacional Windows Server 2012 ou Windows Server 2012 R2.

Se estiver usando o AD FS 2.0 ou o AD FS no Windows Server 2012, você implantará e configurará proxies de servidor de federação como parte da implantação da sua solução SSO.

Se estiver usando o AD FS no Windows Server 2012 R2, você implantará Proxies de Aplicativos Web para configurar sua implantação do AD FS para acesso à extranet. No Windows Server 2012 R2, um Proxy de Aplicativo Web, um novo serviço da função de servidor de Acesso Remoto, é usado para habilitar seu AD FS para ficar acessível fora da rede corporativa. Para obter mais informações, consulte Visão geral do Proxy de Aplicativo Web.

Pré-requisitos

Durante o processo de instalação do AD FS, o assistente de instalação tenta verificar automaticamente e, se necessário, instalar os aplicativos de pré-requisitos e hotfixes dependentes. Na maioria dos casos, o assistente de instalação instalará todos os aplicativos de pré-requisitos necessários para que o AD FS opere e seja instalado.

No entanto, há uma exceção: quando você está instalando o AD FS na plataforma Windows Server 2008 (como um pacote de instalação separado conhecido como AD FS 2.0). Se esse for o caso em sua situação de implantação, primeiro você precisará verificar se o .NET 3.5 SP1 está instalado nos servidores que executam o Windows Server 2008 antes de instalar o software AD FS 2.0, pois ele é um pré-requisito do AD FS 2.0 e ele não será instalado automaticamente pelo Assistente de Instalação do AD FS 2.0 nesta plataforma. Se o .NET 3.5 SP1 não estiver instalado, o Assistente de Instalação do AD FS 2.0 impedirá a instalação do software AD FS 2.0.

Hotfixes

Você deve instalar hotfixes do AD FS 2.0 depois de instalar o AD FS 2.0. Para obter mais informações, consulte Descrição do Pacote Cumulativo de Atualizações 2 para Serviços de Federação do Active Directory (AD FS) (AD FS) 2.0.

Virtualização

O AD FS suporta software de virtualização do servidor de federação e das funções proxy do servidor de federação. Para considerar a redundância, recomendamos que armazene cada máquina virtual do AD FS em servidores virtuais físicos separados.

Para obter mais informações sobre como configurar um ambiente de servidor virtual usando a tecnologia de virtualização da Microsoft, consulte o Guia de Introdução do Hyper-V.

Requisitos de certificado

Os certificados desempenham a função mais crítica na proteção de comunicações entre servidores de federação, Proxies de Aplicativo Web, proxies de servidor de federação, serviço de nuvem e clientes Web. Os requisitos dos certificados variam, dependendo se você está configurando um servidor de federação, um Proxy de Aplicativo Web ou um computador proxy de servidor de federação, como descrito nas tabelas a seguir.

Certificados de servidores de federação

Os servidores de federação exigem os certificados da tabela a seguir.

Tipo de certificado Descrição O que você precisa saber antes da implantação

Certificado SSL (também referido como Certificado de Autenticação do Servidor) para AD FS no Windows Server 2012 R2

Este é um certificado SSL (Secure Sockets Layer) padrão, usado para proteger a comunicação entre servidores de federação, clientes, Proxy de Aplicativo Web e computadores proxy de servidores de federação.

O AD FS requer um certificado para a autenticação do servidor SSL em cada servidor de federação no seu farm de servidores de federação. O mesmo certificado deve ser usado em cada servidor de federação em um farm. Você deve ter o certificado e a respectiva chave privada disponíveis. Por exemplo, se tiver o certificado e sua chave privada em um arquivo .pfx, você poderá importar o arquivo diretamente no Assistente de Configuração de Serviços de Federação do Active Directory. O certificado SSL deve conter o seguinte:

  1. O nome da entidade e o nome alternativo da entidade devem conter o seu nome do serviço de federação, tal como fs.contoso.com

  2. O nome alternativo da entidade deve conter o valor enterpriseregistration, seguido pelo sufixo UPN da sua organização, por exemplo, enterpriseregistration.corp.contoso.com

O certificado SSL (também referido como Certificado de Autenticação do Servidor) para versões herdadas do AD FS

Este é um certificado SSL padrão, usado para proteger a comunicação entre servidores de federação, clientes, Proxy de Aplicativo Web e computadores proxy de servidores de federação.

O AD FS requer um certificado SSL ao definir as configurações do servidor de federação. Por padrão, o AD FS usa o certificado SSL configurado para o Site Padrão nos Serviços de Informações da Internet (IIS).

O nome da entidade deste certificado SSL é usado para determinar o nome do Serviço de Federação para cada instância do AD FS que você implante. Por esse motivo, talvez você queira considerar a escolha de um nome de entidade em quaisquer novos certificados emitidos pela AUTORIDADE de Certificação (AC) que melhor representem o nome da sua empresa ou organização para o serviço de nuvem e esse nome deve ser roteável pela Internet. Por exemplo, no diagrama fornecido antes neste artigo (consulte a “Fase 2”), o nome do assunto do certificado seria fs.fabrikam.com.

Importante

O AD FS requer que esse certificado SSL seja um nome de entidade sem pontos (nome curto).

Necessário: Como esse certificado deve ser confiável por clientes do AD FS e dos serviços de nuvem da Microsoft, use um certificado SSL emitido por uma AC pública (de terceiros) ou por uma AC subordinada a uma raiz publicamente confiável; por exemplo, VeriSign ou Thawte.

Certificado de autenticação de tokens

Esse é um certificado X.509 padrão que é usado para assinar com segurança todos os tokens que o servidor de federação emite e que o serviço de nuvem aceitará e validará.

O certificado de autenticação de tokens deve conter uma chave privada e deve fazer o encadeamento para uma raiz confiável no Serviço de Federação. Por padrão, o AD FS cria um certificado autoassinado. No entanto, dependendo das necessidades da sua organização, é possível alterar isso mais tarde para um certificado emitido por uma autoridade de certificação usando o snap-in Gerenciamento do AD FS.

Recomendação: Use o certificado de assinatura de token autoassinado gerado pelo AD FS. Fazendo isto, o AD FS gerenciará esse certificado para você, por padrão. Por exemplo, caso o certificado esteja expirando, o AD FS gerará um certificado novo autoassinado para usar com antecedência.

Aviso

O certificado assinado por token é essencial para a estabilidade do Serviço de Federação. Caso ele seja alterado, o serviço de nuvem precisa ser notificado sobre essa alteração. Caso contrário, as solicitações para o serviço de nuvem falharão. Para obter mais informações sobre como gerenciar certificados no farm de servidores de federação do AD FS e no serviço de nuvem, consulte Atualizar propriedades de confiança.

Certificados de computador proxy

Os proxies de servidor de federação requerem os certificados na tabela a seguir.

Tipo de certificado Descrição O que você precisa saber antes da implantação

Certificado SSL

Este é um certificado SSL padrão, usado para proteger a comunicação entre servidores de federação, proxy de servidores de federação ou Proxy de Aplicativo Web e computadores cliente da Internet.

Este é o mesmo certificado de autenticação de servidor como o usado pelos servidores de federação na rede corporativa. Esse certificado deve ter o mesmo nome de assunto do certificado SSL configurado no servidor de federação na rede corporativa.

Se você estiver usando o AD FS no Windows Server 2008 ou Windows Server 2012, você deve instalar este certificado no Site Padrão do computador do proxy do servidor de federação.

Se você estiver usando o AD FS no Windows Server 2012 R2, você deve importar este certificado no repositório de Certificados Pessoais no computador que funcionará como seu Proxy de Aplicativo Web.

Recomendação: Use o mesmo certificado de autenticação de servidor configurado no servidor de federação ao qual esse proxy de servidor de federação ou Proxy de Aplicativo Web se conectará.

Para obter mais informações sobre os certificados que os servidores de federação e proxies de servidor de federação usam, consulte o Guia de Design do AD FS 2.0 ou Windows Server 2012 Guia de Design do AD FS.

Requisitos de rede

Configurar os seguintes serviços de rede corretamente é essencial para a implantação bem-sucedida do AD FS na sua organização.

Conectividade de rede TCP/IP

Para que o AD FS funcione, a conectividade de rede TCP/IP deve existir entre o cliente, os controladores de domínio, os servidores de federação e os proxies do servidor de federação.

DNS

O serviço de rede principal que é fundamental para a operação do AD FS, diferente do Active Directory, é o DNS (Sistema de Nomes de Domínio). Quando o DNS é implantado, os usuários podem utilizar nomes de computadores amigáveis e fáceis de lembrar para estabelecer conexão com os computadores e outros recursos das redes IP.

O processo de atualizar o DNS para o suporte do AD FS consiste em configurar:

  • Servidores DNS internos na rede corporativa para resolver o nome DNS de cluster para o endereço IP de cluster do cluster NLB configurado no host NLB de rede corporativa. Por exemplo, resolver fs.fabrikam.com para 172.16.1.3.

  • Os servidores DNS da rede de perímetro para resolver o nome DNS de cluster para o endereço IP de cluster para o cluster NLB configurado no host NLB do perímetro. Por exemplo, resolver fs.fabrikam.com para 192.0.2.3.

Requisitos de NLB

O NLB é necessário para fornecer tolerância a falhas, alta disponibilidade e balanceamento de carga em vários nós. Pode ser implementado com hardware, software ou uma combinação de ambos. Você precisa configurar os registros de recursos do DNS baseado no nome do Serviço de Federação para o cluster NLB, para que o nome de domínio totalmente qualificado (FQDN) do cluster (também referido como nome DNS do cluster neste artigo) seja resolvido para seu endereço IP do cluster.

Para obter informações gerais sobre o endereço IP do cluster NLB ou o FQDN do cluster, consulte Especificando os parâmetros de cluster.

Utilizar proteção estendida para autenticação

Se os computadores tiverem a Proteção Estendida para Autenticação e você usar o Firefox, o Chrome ou o Safari, talvez você não consiga entrar no serviço de nuvem usando autenticação do Windows integrados de dentro da rede corporativa. Se essa situação ocorrer, os usuários poderão receber prompts de logon regularmente. Isso ocorre devido à configuração padrão (em Windows 7 e sistemas operacionais de cliente corrigidos) para AD FS e Proteção Estendida para Autenticação.

Até que o Firefox, o Chrome e o Safari ofereçam suporte à Proteção Estendida para Autenticação, a opção recomendada é que todos os clientes que acessam o serviço de nuvem instalem e usem Windows Internet Explorer 8. Se você quiser usar o logon único para o serviço de nuvem com o Firefox, Chrome ou Safari, há duas outras soluções a serem consideradas. Entretanto, pode haver problemas de segurança na utilização de qualquer uma dessas abordagens. Para obter mais informações, consulte o Microsoft Security Advisory: Proteção estendida para autenticação. As soluções incluem:

  • Desinstalar as correções da Proteção Estendida para Autenticação do seu computador.

  • Alterar a configuração da Proteção Estendida para Autenticação no servidor do AD FS. Para saber mais, consulte o artigo Configurando opções avançadas do AD FS 2.0.

  • Reconfigurando as configurações de autenticação da página Web do AD FS em cada servidor de federação a partir da autenticação integrada do Windows usando a Autenticação Baseada em Formulários.

Próxima etapa

Agora que você analisou os requisitos para implantar o AD FS, a próxima etapa é preparar sua infraestrutura de rede para servidores de federação.

Consulte Também

Conceitos

Lista de verificação: usar o AD FS para implementar e gerenciar o logon único