Criar o primeiro servidor de federação em um farm de servidores de federação

Depois de instalar o serviço de função Serviço de Federação e configurar os certificados necessários em um computador, você estará pronto para configurar o computador a fim de que ele se torne um servidor de federação. Você pode usar o seguinte procedimento para configurar o computador e torná-lo o primeiro servidor de federação em um farm de servidores de federação usando o Assistente de Configuração do Servidor de Federação do AD FS.

O ato de criar o primeiro servidor de federação em um farm também cria um novo Serviço de Federação e torna esse computador o servidor de federação primário. Isso significa que este computador será configurado com uma copia de leitura/gravação do banco de dados de configuração do AD FS. Todos os servidores de federação nesse farm devem replicar quaisquer mudanças feitas no servidor de federação primário para sua cópias somente leitura do banco de dados de configuração do AD FS armazenado localmente. Para obter mais informações sobre esse processo de replicação, consulte The Role of the AD FS Configuration Database (A função do banco de dados de configuração do AD FS).

Observação

Para o design de SSO (logon único) da Web Federado, você precisa ter, no mínimo, um servidor de federação na organização parceira de conta e, no mínimo, um servidor de federação na organização parceira de recurso. Para obter mais informações, consulte Onde colocar um servidor de federação.

O mínimo necessário para concluir esse procedimento é a associação em Admins. do Domínio, ou uma conta de domínio delegada à qual foi atribuído acesso de gravação ao contêiner Dados do Programa no Active Directory.

Para criar o primeiro servidor de federação em um farm de servidores de federação

  1. Ha duas maneiras para iniciar o Assistente de Configuração do Servidor de Federação AD FS. Para iniciar o assistente, tome uma das seguintes ações:

    • Após que a instalação de serviço da função do Serviço de Federação seja concluído, abra o snap-in de Gerenciamento AD FS e clique no link Assistente de Configuração de Servidor de federação AD FS na página Visão geral ou no painel Ações.

    • Qualquer momento após que o assistente de instalação for concluído, abra o Windows Explorer, navegue até a pasta C:\Windows\ADFS, e depois clique duas vezes no FsConfigWizard.exe.

  2. Na página Bem-vindo, verifique que o Cria um novo Serviço de Federação esteja selecionado, e então clique em Próximo.

  3. Na página Selecione Implantação Autônoma ou de Farm, clique em Novo farm do servidor de federação, e em seguida clique em Próxima.

  4. Na página Especificar o Nome do Serviço de Federação, verifique que o Certificado SSL que é exibido seja o correto. Si este não for o certificado correto, selecione o certificado apropriado da lista Certificado SSL.

    Este certificado é gerado a partir das configurações do SSL para o Site Padrão. Se o Site Padrão tiver somente um certificado SSL configurado, esse certificado será apresentado e automaticamente selecionado para uso. Se vários certificados SSL forem configurados para o Site Padrão, todos esses certificados serão listados aqui e você deverá selecionar um dentre eles. Se não houver configurações do SSL definidas para o Site Padrão, a lista será gerada dos certificados disponíveis no repositório de certificados pessoal no computador local.

    Observação

    O assistente não permitirá que você substitua o certificado se um certificado SSL estiver configurado para IIS. Isso assegura que qualquer configuração anterior do IIS pretendida para certificados SSL seja preservada. Para resolver essa restrição, você poderá remover o certificado ou reconfigurá-lo manualmente com o Console de Gerenciamento do IIS.

  5. Se o banco de dados do AD FS que você selecionou já existir, a página Banco de Dados de Configuração do AD FS Existente Detectada será exibida. Se aquela página aparecer, clique em Excluir banco de dados, e depois clique em Próximo.

    Cuidado

    Selecione esta opção apenas quando você tiver certeza que os dados neste banco de dados do AD FS não forem importantes ou que não é usado em um farm de servidor de federação.

  6. Na página Especificar uma Conta de Serviço, clique em Navegar. Na caixa de diálogo Navegar, localizar a conta de domínio que será usada como a conta de serviço neste farm de servidor de federação, e em seguida clique em OK. Digite a senha para esta conta, confirme ela, e em seguida clique em Próximo.

    Observação

    Confira Configurar manualmente uma conta de serviço para um farm de servidores de federação para obter mais informações sobre como especificar uma conta de serviço para um farm de servidores de federação. Cada servidor de federação no farm de servidores de federação precisa especificar a mesma conta de serviço para que o farm funcione. Por exemplo, se a conta de serviço criada foi contoso\ADFS2SVC, todo computador configurado para a função de servidor de federação e que participará do mesmo farm precisa especificar contoso\ADFS2SVC nesta etapa do Assistente de Configuração do Servidor de Federação para que o farm funcione.

  7. Na página Pronto para Aplicar as Configurações, verificar os detalhes. Se as configurações parecem estar certas, clique em Próximo para começar configurar o AD FS com estas configurações.

  8. Na página Resultados de Configuração, analise os resultados. Quando todas as etapas de configuração concluíram clique em Fechar para sair do assistente.

    Importante

    Para fins de implantação segura, a resolução de artefato e a detecção de resposta são desabilitadas quando você usa o Assistente de Configuração do Servidor de Federação do AD FS para configurar um farm de servidores de federação. Esse assistente configura automaticamente o Banco de Dados Interno do Windows para armazenar dados de configuração de serviço. No entanto, você pode, erradamente, desfazer esta alteração habilitando o ponto de extremidade de Resolução de Artefato usando o nó Ponto de extremidade no snap-in de Gerenciamento do AD FS ou o cmdlet Enable-ADFSEndpoint no Windows PowerShell. Tenha cuidado para não reconfigurar a definição padrão de forma que esse ponto de extremidade permaneça desabilitado ao usar um farm de servidores de federação junto com o Banco de Dados Interno do Windows.

Referências adicionais

Lista de verificação: Como configurar um servidor de federação