Microsoft Entra Connect kullanarak AD FS'yi yönetme ve özelleştirme
Bu makalede, Microsoft Entra Connect kullanarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) nasıl yönetileceği ve özelleştirileceği açıklanır.
Ayrıca, bir AD FS grubu tamamen yapılandırmak için gerçekleştirmeniz gerekebilecek diğer yaygın AD FS görevleri hakkında da bilgi edineceksiniz. Bu görevler aşağıdaki tabloda listelenmiştir:
| Görev | Açıklama |
|---|---|
| AD FS'leri yönetme | |
| Güveni onarma | Microsoft 365 ile federasyon güvenini onarmayı öğrenin. |
| Alternatif bir oturum açma kimliği kullanarak Microsoft Entra Id ile federasyon | Alternatif bir oturum açma kimliği kullanarak federasyonu yapılandırmayı öğrenin. |
| AD FS sunucusu ekleme | Ek AD FS sunucusuyla AD FS grubu genişletmeyi öğrenin. |
| AD FS Web Uygulama Ara Sunucusu (WAP) sunucusu ekleme | Ek BIR WAP sunucusuyla AD FS grubu genişletmeyi öğrenin. |
| Federasyon etki alanı ekleme | Federasyon etki alanı eklemeyi öğrenin. |
| TLS/SSL sertifikasını güncelleştirme | BIR AD FS grubu için TLS/SSL sertifikasını güncelleştirmeyi öğrenin. |
| AD FS'i özelleştirme | |
| Özel şirket logosu veya çizimi ekleme | Ad FS oturum açma sayfasını şirket logosu ve çizimiyle özelleştirmeyi öğrenin. |
| Oturum açma açıklaması ekleme | Oturum açma sayfası açıklaması eklemeyi öğrenin. |
| AD FS talep kurallarını değiştirme | Çeşitli federasyon senaryoları için AD FS taleplerini değiştirmeyi öğrenin. |
AD FS'leri yönetme
Microsoft Entra Connect sihirbazını kullanarak En az kullanıcı müdahalesiyle Microsoft Entra Connect'te AD FS ile ilgili çeşitli görevleri gerçekleştirebilirsiniz. Sihirbazı çalıştırarak Microsoft Entra Connect'i yüklemeyi tamamladıktan sonra, diğer görevleri gerçekleştirmek için yeniden çalıştırabilirsiniz.
Güveni onarma
AD FS ve Microsoft Entra ID güveninin geçerli durumunu denetlemek ve ardından güveni onarmak için uygun eylemleri yapmak için Microsoft Entra Connect'i kullanabilirsiniz. Microsoft Entra Id ve AD FS güveninizi onarmak için aşağıdakileri yapın:
Görev listesinden Microsoft Entra Kimliğini ve ADFS Güvenini Onar'ı seçin.
Microsoft Entra Id'ye Bağlan sayfasında, Microsoft Entra Id için Karma Kimlik Yöneticisi kimlik bilgilerinizi sağlayın ve İleri'yi seçin.
Uzaktan erişim kimlik bilgileri sayfasında, etki alanı yöneticisinin kimlik bilgilerini girin.
İleri'yi seçin.
Microsoft Entra Connect sertifika durumunu denetler ve sorunları gösterir.
Yapılandırmaya hazır sayfası, güveni onarmak için gerçekleştirilecek eylemlerin listesini gösterir.
Güveni onarmak için Yükle'yi seçin.
Not
Microsoft Entra Connect yalnızca otomatik olarak imzalanan sertifikaları onarabilir veya üzerinde işlem yapabilir. Microsoft Entra Connect üçüncü taraf sertifikaları onaramaz.
AlternateID kullanarak Microsoft Entra ID ile federasyon
Şirket içi Kullanıcı Asıl Adı (UPN) ve bulut Kullanıcı Asıl Adı'nı aynı tutmanızı öneririz. Şirket içi UPN yönlendirilemeyen bir etki alanı (örneğin, Contoso.local) kullanıyorsa veya yerel uygulama bağımlılıkları nedeniyle değiştirilemiyorsa, alternatif bir oturum açma kimliği ayarlamanızı öneririz. Alternatif bir oturum açma kimliği kullanarak, kullanıcıların UPN'leri dışında bir öznitelikle (örneğin, e-posta adresi) oturum açabilecekleri bir oturum açma deneyimi yapılandırabilirsiniz.
Microsoft Entra Connect'te UPN seçeneği, varsayılan olarak Active Directory'deki userPrincipalName özniteliğini kullanır. UPN için başka bir öznitelik seçerseniz ve AD FS kullanarak federasyon kuruyorsanız, Microsoft Entra Connect alternatif bir oturum açma kimliği için AD FS'yi yapılandırıyor.
Aşağıdaki görüntüde UPN için farklı bir öznitelik seçme örneği gösterilmiştir:
AD FS için alternatif bir oturum açma kimliği yapılandırmak iki ana adımdan oluşur:
Doğru verme talepleri kümesini yapılandırın: Microsoft Entra Id bağlı olan taraf güvenindeki verme talep kuralları, kullanıcının alternatif kimliği olarak seçilen UserPrincipalName özniteliğini kullanacak şekilde değiştirilir.
AD FS yapılandırmasında alternatif bir oturum açma kimliği etkinleştirin: AD FS yapılandırması, AD FS'nin alternatif kimliği kullanarak kullanıcıları uygun ormanlarda arayabilmesi için güncelleştirilir. Bu yapılandırma, Windows Server 2012 R2 (KB2919355 ile) veya sonraki sürümlerde AD FS için desteklenir. AD FS sunucuları 2012 R2 ise, Microsoft Entra Connect gerekli KB'nin olup olmadığını denetler. KB algılanmazsa, aşağıdaki görüntüde gösterildiği gibi yapılandırma tamamlandıktan sonra bir uyarı görüntülenir:
Eksik bir KB varsa, gerekli KB2919355 yükleyerek yapılandırmayı düzeltebilirsiniz. Ardından güveni onarma başlığındaki yönergeleri izleyebilirsiniz.
Not
AlternateID ve el ile yapılandırma adımları hakkında daha fazla bilgi için bkz . Alternatif oturum açma kimliği yapılandırma.
AD FS sunucusu ekleme
Not
BIR AD FS sunucusu eklemek için Microsoft Entra Connect bir PFX sertifikası gerektirir. Bu nedenle, bu işlemi yalnızca MICROSOFT Entra Connect kullanarak AD FS grubu yapılandırdıysanız gerçekleştirebilirsiniz.
Ek federasyon sunucusu dağıt'ı ve ardından İleri'yi seçin.
Microsoft Entra Id'ye Bağlan sayfasında, Microsoft Entra Id için Karma Kimlik Yöneticisi kimlik bilgilerinizi girin ve İleri'yi seçin.
Etki alanı yöneticisi kimlik bilgilerini sağlayın.
Microsoft Entra Connect, yeni AD FS grubunuzu Microsoft Entra Connect ile yapılandırırken sağladığınız PFX dosyasının parolasını ister. PFX dosyasının parolasını sağlamak için ParolaYı Girin'i seçin.
AD FS Sunucuları sayfasında, AD FS grubuna eklenecek sunucu adını veya IP adresini girin.
İleri'yi seçin ve son Yapılandır sayfasını tamamlamaya devam edin.
Microsoft Entra Connect, sunucuları AD FS grubuna eklemeyi tamamladıktan sonra bağlantıyı doğrulama seçeneğine sahip olursunuz.
AD FS WAP sunucusu ekleme
Not
Web Uygulama Ara Sunucusu sunucusu eklemek için Microsoft Entra Connect PFX sertifikası gerektirir. Bu nedenle, bu işlemi yalnızca Microsoft Entra Connect'i kullanarak AD FS grubu yapılandırdıktan sonra gerçekleştirebilirsiniz.
Kullanılabilir görevler listesinden Web Uygulama Ara Sunucusu Dağıt'ı seçin.
Azure Karma Kimlik Yöneticisi kimlik bilgilerini sağlayın.
SSL sertifikasını belirtin sayfasında, AD FS grubu Microsoft Entra Connect ile yapılandırılırken sağladığınız PFX dosyasının parolasını girin.
WaP sunucusu olarak eklenecek sunucuyu ekleyin. WAP sunucusu etki alanına katılmayabileceği için sihirbaz, eklenen sunucuya yönetici kimlik bilgilerini sorar.
Ara sunucu güveni kimlik bilgileri sayfasında, ara sunucu güvenini yapılandırmak ve AD FS grubundaki birincil sunucuya erişmek için yönetici kimlik bilgilerini sağlayın.
Yapılandırmaya hazır sayfasında, sihirbaz gerçekleştirilecek eylemlerin listesini gösterir.
Yapılandırmayı tamamlamak için Yükle'yi seçin. Yapılandırma tamamlandıktan sonra sihirbaz, sunuculara bağlantıyı doğrulama seçeneği sunar. Bağlantıyı denetlemek için Doğrula'yı seçin.
Federasyon etki alanı ekleme
Microsoft Entra Connect'i kullanarak Microsoft Entra Id ile birleştirilecek bir etki alanı eklemek kolaydır. Microsoft Entra Connect, federasyon için etki alanını ekler ve Microsoft Entra ID ile birleştirilmiş birden çok etki alanınız olduğunda talep kurallarını vereni doğru yansıtacak şekilde değiştirir.
Federasyon etki alanı eklemek için Ek bir Microsoft Entra etki alanı ekle'yi seçin.
Sihirbazın sonraki sayfasında, Microsoft Entra Id için Karma Yönetici kimlik bilgilerini sağlayın.
Uzaktan erişim kimlik bilgileri sayfasında etki alanı yöneticisi kimlik bilgilerini sağlayın.
Sonraki sayfada sihirbaz, şirket içi dizininizi federasyona ekleyebileceğiniz Microsoft Entra etki alanlarının listesini sağlar. Listeden etki alanını seçin.
Etki alanını seçtikten sonra sihirbaz, gerçekleştireceği diğer eylemler ve yapılandırmanın etkisi hakkında sizi bilgilendirecektir. Bazı durumlarda, Henüz Microsoft Entra Id'de doğrulanmamış bir etki alanı seçerseniz, sihirbaz etki alanını doğrulamanıza yardımcı olur. Daha fazla bilgi için bkz . Özel etki alanı adınızı Microsoft Entra Id'ye ekleme.
İleri'yi seçin.
Yapılandırmaya hazır sayfasında Microsoft Entra Connect'in gerçekleştireceği eylemler listelenir.
Yapılandırmayı tamamlamak için Yükle'yi seçin.
Not
Eklenen federasyon etki alanındaki kullanıcıların Microsoft Entra Kimliği'nde oturum açabilmesi için önce eşitlenmesi gerekir.
AD FS'i özelleştirme
Aşağıdaki bölümlerde, AD FS oturum açma sayfanızı özelleştirmek için gerçekleştirmeniz gerekebilecek bazı yaygın görevlerle ilgili ayrıntılar sağlanır.
Özel şirket logosu veya çizimi ekleme
Oturum açma sayfasında görüntülenen şirketin logosunu değiştirmek için aşağıdaki PowerShell cmdlet'ini ve söz dizimini kullanın.
Not
Logo için önerilen boyutlar 260 x 35 @ 96 dpi'dır ve dosya boyutu 10 KB'tan büyük değildir.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Not
TargetName parametresi gereklidir. AD FS ile yayımlanan varsayılan tema Varsayılan olarak adlandırılır.
Oturum açma açıklaması ekleme
Oturum açma sayfasına oturum açma sayfası açıklaması eklemek için aşağıdaki PowerShell cmdlet'ini ve söz dizimini kullanın.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
AD FS talep kurallarını değiştirme
AD FS, özel talep kuralları oluşturmak için kullanabileceğiniz zengin bir talep dilini destekler. Daha fazla bilgi için bkz . Talep Kuralı Dilinin Rolü.
Aşağıdaki bölümlerde, Microsoft Entra Id ve AD FS federasyonuyla ilgili bazı senaryolar için nasıl özel kurallar yazabileceğiniz açıklanmaktadır.
Özniteliğinde mevcut olan bir değere koşullu sabit kimlik
Microsoft Entra Connect, nesneler Microsoft Entra Id ile eşitlendiğinde kaynak bağlantı olarak kullanılacak bir öznitelik belirtmenize olanak tanır. Özel öznitelikteki değer boş değilse sabit bir kimlik talebi vermek isteyebilirsiniz.
Örneğin, kaynak bağlantı için özniteliğini seçebilir ms-ds-consistencyguid ve özniteliğin bir değeri olması durumunda olduğu gibi ms-ds-consistencyguid SabitKimliği sorununu çözebilirsiniz. Özniteliğine karşı bir değer yoksa sabit kimlik olarak sorun objectGuid . Aşağıdaki bölümde açıklandığı gibi özel talep kuralları kümesini oluşturabilirsiniz.
Kural 1: Sorgu öznitelikleri
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
Bu kuralda, Active Directory'den kullanıcı için ve objectGuid değerlerini ms-ds-consistencyguid sorgulaacaksınız. AD FS dağıtımınızda mağaza adını uygun bir mağaza adıyla değiştirin. Ayrıca talep türünü ve ms-ds-consistencyguidiçin tanımlandığı şekilde federasyonunuz için uygun bir talep türüyle objectGuid değiştirin.
Ayrıca, kullanıp add kullanmadığınızda issue, varlık için giden bir sorun eklemekten kaçınabilir ve değerleri ara değerler olarak kullanabilirsiniz. sabit kimlik olarak hangi değeri kullanacağınızı belirledikten sonra talebi sonraki bir kuralda yayımlayacaksınız.
Kural 2: Kullanıcı için ms-ds-consistencyguid olup olmadığını denetleyin
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Bu kural, kullanıcı için doldurulmadıysa ms-ds-consistencyguid olarak ayarlanmış useguid olarak adlandırılan idflag geçici bir bayrak tanımlar. Bunun ardındaki mantık, AD FS'nin boş taleplere izin vermemesidir. Talep http://contoso.com/ws/2016/02/identity/claims/objectguid eklediğinizde ve http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid Kural 1'de, yalnızca değer kullanıcı için doldurulduğunda msdsconsistencyguid talebiyle sonuçlanır. Doldurulmazsa AD FS boş bir değere sahip olacağını görür ve hemen bırakır. Kural 1 yürütüldükten sonra bu talep her zaman orada olacak şekilde tüm nesnelere sahip objectGuidolur.
Kural 3: Varsa sabit kimlik olarak ms-ds-consistencyguid sorunu
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Bu örtük Exist bir denetimdir. Talebin değeri varsa sabit kimlik olarak verin. Önceki örnekte talep kullanılır nameidentifier . Bunu ortamınızdaki sabit kimlik için uygun talep türüyle değiştirmeniz gerekir.
Kural 4: ms-ds-consistencyGuid yoksa objectGuid'i sabit kimlik olarak sorun
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Bu kuralla, yalnızca geçici bayrağını idflagdenetlersiniz. Talebin değerine göre verilip verilmeyeceğine siz karar verirsiniz.
Not
Bu kuralların sırası önemlidir.
Alt etki alanı UPN'siyle SSO
Yeni federasyon etki alanı ekleme bölümünde açıklandığı gibi, Microsoft Entra Connect'i kullanarak federasyon için birden fazla etki alanı ekleyebilirsiniz. Microsoft Entra Connect 1.1.553.0 ve sonraki sürümleri için issuerID otomatik olarak doğru talep kuralını oluşturun. Microsoft Entra Connect sürüm 1.1.553.0 veya üzerini kullanamıyorsanız, Microsoft Entra ID bağlı olan taraf güveni için doğru talep kurallarını oluşturmak ve ayarlamak için Microsoft Entra RPT Talep Kuralları aracını kullanmanızı öneririz.
Sonraki adımlar
Kullanıcı oturum açma seçenekleri hakkında daha fazla bilgi edinin.