Lista de verificação: configurar um servidor de federação
Essa lista de verificação inclui as tarefas de implantação necessárias para preparar um servidor que executa o Windows Server® 2012 para a função do servidor de federação nos Serviços de Federação do Active Directory (AD FS).
Observação
Execute as tarefas desta lista de verificação na ordem indicada. Quando um link de referência levar você a um procedimento, volte para este tópico depois de executar as etapas nesse procedimento para que você possa prosseguir com as tarefas restantes na lista de verificação.
Lista de verificação: como configurar um servidor de federação
| Tarefa | Referência |
|---|---|
| Antes de começar a implantar servidores de federação do AD FS, confira as; 1.) vantagens e desvantagens de escolher o WID (Banco de dados interno do Windows) ou o SQL Server para armazenar o banco de dados de configuração do AD FS 2.) Tipos de topologia de implantação do AD FS e suas recomendações de posicionamento de servidor e layout de rede associados. |  Determinar sua topologia de implantação do AD FS |
| Confira as diretrizes de planejamento da capacidade do AD FS para determinar o número adequado de servidores de federação que você deve usar no seu ambiente de produção. | Como planejar a capacidade do servidor de federação |
| Examine as informações no Guia de Design do AD FS sobre onde colocar os servidores de federação em sua organização | Planejando o posicionamento do servidor de federação |
| Determine se um servidor de federação autônomo ou um farm do servidor de federação é melhor para sua implantação. | Quando criar um Servidor de Federação |
| Determine se esse novo servidor de federação será criado na organização do parceiro de conta ou de recurso. | Analisar a função do servidor de federação no parceiro de conta
|
| Examine as informações sobre como os servidores de federação usam certificados de comunicação de serviço e certificados de assinatura de token para autenticar com segurança as solicitações de proxy do cliente e do servidor de federação. Cuidado: embora seja uma prática comum há muito tempo o uso de certificados com nomes de host não qualificados, como https://myserver, esses certificados não têm valor de segurança e podem permitir que um invasor represente um Serviços de Federação do Active Directory (AD FS). Portanto, é recomendável que você use um FQDN (nome de domínio totalmente qualificado), como https://myserver.contoso.com e use apenas certificados SSL emitidos para o FQDN do serviço de federação. | Requisitos de Certificado para Servidores de Federação |
| Examine as informações sobre como atualizar o DNS (Sistema de Nomes de Domínio) da rede corporativa para que a resolução de nomes bem-sucedida para servidores de federação possa ocorrer. | Requisitos de resolução de nome para servidores de federação |
| Ingresse o computador que se tornará o servidor de federação em um domínio na floresta de parceiros de conta ou na floresta de parceiros de recurso em que ele será usado para autenticar os usuários dessa floresta ou de florestas confiáveis. Observação: se você quiser configurar um servidor de federação na organização parceira da conta, o computador deve primeiro ser ingressado em qualquer domínio na floresta em que o servidor de federação será usado para autenticar usuários dessa floresta ou de florestas confiáveis. |  Ingressar um computador em um domínio |
| Crie um novo registro de recurso no DNS da rede corporativa que aponte o nome do host DNS do servidor de federação para o endereço IP do servidor de federação. | Adicionar um registro de recurso de host (A) ao DNS corporativo para um servidor de federação |
| (Opcional) Se você estiver adicionando um servidor de federação a um farm de servidores de federação, talvez seja necessário primeiro exportar a chave privada do certificado de autenticação de tokens existente (no primeiro servidor de federação do farm) para que você tenha um formato de arquivo do certificado pronto quando outros servidores de federação precisarem importar o mesmo certificado. A exportação da chave privada não é necessária quando o certificado de autenticação de servidor emitido pode ser reutilizado por vários computadores (sem a necessidade de exportar) ou quando você obtiver certificados de autenticação de servidor exclusivos para cada servidor de federação no farm. Observação: o snap-in de gerenciamento do AD FS refere-se a certificados de autenticação de servidor para servidores de federação como certificados de comunicação de serviço. |
Exportar a parte da chave privada de um Certificado de Autenticação de Servidor |
| Depois que você obtiver um certificado de autenticação de servidor (ou chave privada) de uma CA (autoridade de certificação), será necessário importar o arquivo de certificado para o site padrão para cada servidor de federação. Observação: instalar este certificado no Site Padrão é um requisito antes de usar o Assistente de Configuração do Servidor de Federação AD FS. | Importar um Certificado de Autenticação de Servidor para o site padrão |
| (Opcional) Como alternativa para obter um certificado de autenticação de servidor de uma AC, você pode usar o IIS (Serviços de Informações da Internet) para criar um certificado de exemplo para o servidor de federação. Cuidado: não é uma prática recomendada de segurança implantar um servidor de federação em um ambiente de produção usando um certificado de autenticação de servidor autoassinado. | IIS: criar um certificado de servidor autoassinado e, em seguida, complete o procedimento Importar um Certificado de Autenticação de Servidor para o site padrão |
| Se você estiver configurando um ambiente de farm de servidor de federação em uma organização do parceiro de conta, crie e configure uma conta de serviço dedicada no AD DS (Serviços de Domínio Active Directory) onde o farm ficará. Ao executar esse procedimento, você permitirá que os clientes na rede corporativa se autentiquem em qualquer servidor de federação no farm usando a Autenticação Integrada do Windows. | Configurar manualmente uma conta de serviço para um farm de servidores de federação |
| Instale o serviço de função do Serviço de Federação no computador que se tornará o servidor de federação. | Instalar o serviço de função de Serviço de Federação |
| Configure o software AD FS no computador para atuar na função do servidor de federação usando o Assistente de Configuração do Servidor de Federação AD FS. Siga este procedimento quando quiser configurar um servidor de federação autônomo, criar o primeiro servidor de federação em um novo farm ou ingressar um computador em um farm de servidores de federação existente. Observação: para o design de SSO (logon único) da Web Federado, você precisa ter, no mínimo, um servidor de federação na organização do parceiro de conta e, no mínimo, um servidor de federação na organização do parceiro de recurso. |
Criar um servidor de federação autônomo
|
| (Opcional) Use o snap-in Gerenciamento do AD FS para adicionar e configurar os certificados do AD FS necessários para implantar o design. Para obter mais informações sobre quando adicionar ou alterar certificados usando o snap-in, consulte Requisitos de certificado para servidores de federação. |  Adicionar um certificado de autenticação de tokens |
| Se este for o primeiro servidor de federação em sua organização, configure o Serviço de Federação para que ele esteja em conformidade com o design do AD FS. | Lista de verificação: como configurar a organização do parceiro de conta
|
| Em computador cliente, verifique se o servidor de federação está funcionando. | Verifique se um servidor de federação está operacional |