Adfs microsoft management console windows 7

Содержание
  1. Использование AD Federation Service для авторизации пользователей на AWS с раздачей прав
  2. Пошаговое руководство по работе со службами AD FS в Windows Server 2008
  3. Об этом руководстве
  4. Чего Вы не найдете в этом руководстве
  5. Требования для успешного выполнения данного руководства
  6. Шаг 1. Подготовительные действия
  7. Настройка операционных систем и сетевых параметров
  8. Установка и настройка службы каталогов Active Directory
  9. Установка службы AD DS
  10. Создание учетных записей пользователей и учетных записей ресурсов
  11. Присоединение тестовых компьютеров к соответствующим доменам
  12. Шаг 2. Установка ролей AD FS и настройка сертификатов
  13. Установка службы федерации
  14. Назначение учетной записи «Local System» группе приложений «ADFSAppPool»
  15. Настройка IIS на использование SSL на серверах федерации
  16. Установка веб-агента AD FS
  17. Создание, экспорт и импорт сертификатов
  18. Создание сертификата проверки подлинности сервера для компьютера «adfsweb»
  19. Экспорт сертификата подписи маркера компьютера «adfsaccount» в файл
  20. Экспорт сертификата проверки подлинности сервера «adfsresource» в файл
  21. Импорт сертификата проверки подлинности сервера «adfsresource» на сервер «adfsweb»
  22. Шаг 3. Настройка веб-сервера
  23. Настройка служб IIS на веб-сервере
  24. Создание и настройка приложения по заявкам
  25. Шаг 4. Настройка серверов федерации
  26. Настройка службы Federation Service для компании A. Datum Corporation
  27. Настройка политики доверия
  28. Создание заявки о группах для приложения по заявкам
  29. Добавление и настройка хранилища учетных записей AD DS
  30. Добавление хранилища учетных записей AD DS
  31. Сопоставление заявки о группах приложения по заявкам глобальной группе Active Directory
  32. Добавление и настройка партнера по ресурсам
  33. Добавление партнера по ресурсам
  34. Создание сопоставления исходящей заявки о группах для приложения по заявкам
  35. Настройка службы Federation Service для компании Trey Research

Использование AD Federation Service для авторизации пользователей на AWS с раздачей прав

1. Исходные данные
2. Подготовка
3. Конфигурирование AD
4. Установка ADFS
5. Конфигурирование ADFS
6. Конфигурирование AWS
7. Тестирование
8. Известные ошибки и их решения

1. Исходные данные

Поднятый AD Windows 2016
Автор использовал EC2 c Windows 2008R2 на Amazon, я виртуалку в локальной сети Windows 2016 с доступом в интернет.
Аккаунт AWS (который будет платить за все )
Прямые руки
Цель: Дать возможность пользователю AD авторизоваться в AWS с заданными правами (получить роль) в зависимости от группы AD.

1. Пользователь (будет Bob) открывает страницу (https://ADFS.domain.name/adfs/ls/IdpInitiatedSignOn.aspx)

2. Bob авторизуется (ADFS запрашивает необходимые поля в AD)

3. Браузер Bob-а получает необходимые данные в формате SAML от ADFS

4. Браузер отправляет полученые данные на серсис авторизации SAML (https://signin.aws.amazon.com/saml)

5. Браузер Bob-а получает URL для входа на консоль AWS

2.1. У вас уже поднят AD и заведены пользователи, которые состоят в различных группах.

2.3. Сгенерировать самоподписанный SSL сертификат. (как сгенерировать самодписаный SSL сертификат) сразу установите его для дефолтного сайта.

3. Конфигурирование AD

3.1. Необходимо создать две группы AWS-Production и AWS-Billing

3.2. Создать пользователя Bob (Внимание. у пользователя должно быть заполнено поле email: bob@youdomain.com, в противном случае вы получите ошибку при входе на AWS консоль)

3.3. Добавить Bob в созданные группы AWS-Production и AWS-Billing

3.4. Создать еще одного пользователя ADFSSVC. Специальный сервисный аккаунт для соединения с AD.

Существует несколько версий ADFS

5. Конфигурирование ADFS

Вот по этому линку можно вызвать конфигуратор ADFS

Соединяемся с AD с текущим пользователем.

Тут нам нужен сертификат, который мы сгенерировали в IIS (п. 2.3) и имя нашего будущего ADFS (adfs.you-domain.com) дисплайнайм — NAME YOUR COMPANY

Выбираем сервис аккаунт ADFSSVC который мы создали в п. 3.4

Создаем новую базу данных


Прединсталяционная проверка… Жмем Configure

Запускается консоль поиском «AD Management» в сроке поиска windows

Далее переходим Trust Relationships and choose Relying Party Trusts

Выбираем Claims aware

Вбиваем имя «AWS GO» на ваше усмотрение или оставляем как есть.

Выбираем «Permit all user. » доступ разрешен всем.

Перепроверить и Готово.

Правой кнопкой на нашем релеи и выбираем «Edit Claim Issuence Policy»

Начинаем добавлять наши правила:

5.1 Получение имени пользователя. Шаблон: Transform an Incoming Claim далее заполняем поля:

a. Claim rule name: NameId
b. Incoming claim type: Windows Account Name
c. Outgoing claim type: Name ID
d. Outgoing name ID format: Persistent Identifier
e. Pass through all claim values: checked

5.2 Получение списка ролей для пользователя. Шаблон: Send LDAP Attributes as Claims,

a. Claim rule name: RoleSessionName
b. Attribute store: Active Directory
c. LDAP Attribute: E-Mail-Addresses
d. Outgoing Claim Type:

5.3 Важное замечание: В этом правиле будут извлечены все роли для пользователя и сопоставлены с подобными ролями в IAM (т.е. роли которые начинаются с AWS-. ). Данное правило извлекает все членства в AD. Шаблон: Send Claims Using a Custom Rule

, поля
a. Claim rule name: Get AD Groups
b. Custom role:

к добавлению следующего правила нужно будет вернуться после п.6 (или же его можно добавить и в последующем изменить ID)

5.4 Добавляем еще одно правило подобно 5.3 оно будут такое:

a. Claim rule name: Roless
b. Custom role:

Тут вам нужно поменять значение 123456789012 на свое из IAM AWS

Это будет описано в п.6

6. Конфигурирование AWS

Все действия происходят в консоле AWS 🙂

6.1 Создание SAML провайдера

Набрасывайте необходимые политики (например Billing (дефолтная политика) для пользователей кто будет следить за деньгами, или можете предварительно создать свою собственную политику и тут ее назначить)

присвоить тэги, если нужно…

Дать имя: Имя после «-» должно совпадать с именем в AD после «-» ASFS-Billing = AWS-Billing в этом случае ваш пользователь попадал в нужную группу.

И нажать Create role

7.1 В вашем любимом браузере зайдите на страницу вашего сервера https://localhost/adfs/ls/IdpInitiatedSignOn.aspx (самоподписанный сертификат нужно будет подтвердить)

Откроется страница с подобным содержанием

Вводим данные нашего пользователя AD

И нас перенаправляет на страницу AWS с предложением роли под которой пользователь будет работать в AWS

это происходит потому что наш Bob состоит сразу в двух группах AD (AWS-Production и AWS-billing).

Выбираем AWS-billing и видим необходимые настройки (можем смотреть и править бюджет но не имеет права создавать EC2 согласно тем ролям которые мы ему определили)

8. Известные ошибки и их решения

8.1 Портал не отвечает или не находит нужные страницы. Например:

Решение: На сервере ADFS необходимо выполнить PowerShell команду

Тут же можно поставить лого на страницу приветствия

8.2 При перенаправлении на консоль AWS вы получайте ошибку вида:

Решение: Вероятнее всего у вашего пользователя не заполнено поле email в AD

Решение 2: Вероятно есть ошибка в написании группы в AD и роли в AWS

Источник

Пошаговое руководство по работе со службами AD FS в Windows Server 2008

Службы федерации Active Directory (Active Directory® Federation Services, AD FS) – это серверная роль в операционной системе Windows Server® 2008. С помощью AD FS можно создать расширяемое, Интернет-масштабируемое и безопасное решение для управления идентификацией пользователей и правами доступа, способное функционировать на нескольких платформах, включая среды как ОС Windows, так и других ОС.

Для получения дополнительной информации о службах AD FS обратитесь к статье Обзор служб Active Directory Federation Services. Для получения дополнительной информации о новых возможностях служб AD FS в ОС Windows Server 2008 обратитесь к разделу Новые возможности служб AD FS в Windows Server 2008 (EN) на веб-узле Microsoft TechNet.

Об этом руководстве

Это руководство содержит инструкции по установке и настройке служб AD FS на компьютерах под управлением ОС Windows Server 2008 в небольшой лабораторной среде, а также пример установки и проверки работы приложения по заявкам.

Вы можете использовать код, представленный в этом руководстве, для создания тестового приложения по заявкам без необходимости загрузки каких-либо дополнительных файлов. Для выполнения всех процедур этого руководства потребуется приблизительно два часа.

Вы можете использовать тестовую лабораторную среду для оценки возможностей технологии AD FS, а также для планирования способа развертывания AD FS в Вашей организации. В этом руководстве Вам предстоит выполнить следующие шаги:

Настроить четыре компьютера-участника федерации AD FS (один клиентский компьютер, один веб-сервер с поддержкой AD FS и два сервера федерации) между двумя вымышленными компаниями (A. Datum Corporation и Trey Research).

Создать два леса для использования в качестве назначенных хранилищ учетных записей пользователей федерации. Каждый лес будет представлять одну компанию.

Использовать AD FS для настройки федеративных доверительных отношений между двумя компаниями.

Использовать AD FS для создания, заполнения и сопоставления заявок.

Предоставить объединенный доступ пользователям одной компании, позволяющий получить доступ к приложению по заявкам, расположенному в другой компании.

Читайте также:  Windows 10 редактировать контекстное меню создать

Для успешного выполнения всех процедур данного руководства Вы должны действовать в соответствии со следующими правилами:

Выполняйте все шаги в той последовательности, как это описано в данном руководстве.

Используйте те IP-адреса, которые указаны в данном руководстве.

Используйте те названия компьютеров, пользователей, групп, компаний, заявок и доменов, которые указаны в данном руководстве.

Если у Вас что-то не получается при работе в среде с виртуализацией программного обеспечения, попытайтесь использовать четыре отдельных компьютера, подключенных к частной сети.

Важно:

Любые отступления от вышеперечисленных правил могут уменьшить вероятность успешного создания лабораторной среды с первой попытки.

Примечание:

Данное руководство было успешно проверено корпорацией Microsoft в среде Microsoft Virtual Server 2005 R2.

Чего Вы не найдете в этом руководстве

В это руководство не включена следующая информация:

Инструкции по установке и настройке приложений на основе маркеров Windows NT, таких как Microsoft Windows® SharePoint® Services или Microsoft Office SharePoint Portal Server 2003, для работы со службами AD FS.

Инструкции по настройке Microsoft Office SharePoint Server 2007 в качестве приложения по заявкам для работы со службами AD FS.

Примечание:

Для получения инструкций по настройке Microsoft Office SharePoint Server 2007 в качестве приложения по заявкам обратитесь к статье Настройка проверки подлинности службы единого входа с помощью ADFS (Office SharePoint Server) (EN).

Руководства по установке и настройке служб AD FS в рабочей среде.

Для получения информации о развертывании или управлении службами AD FS обратитесь к соответствующим разделам на веб-узле Active Directory Federation Services (EN).

Инструкции по установке и настройке Microsoft Certificate Services для работы со службами AD FS.

Для получения информации об установке и настройке служб Microsoft Certificate Services обратитесь к веб-узлу Инфраструктура открытого ключа для Windows Server 2003 (EN).

Инструкции по установке и настройке прокси-агента службы федерации.

Примечание:

Сервер федерации может исполнять роль прокси-агента службы федерации. Например, сервер федерации может выполнять проверку подлинности, обнаружение домашней области и завершение сеанса работы клиента.

Требования для успешного выполнения данного руководства

Для успешного выполнения всех шагов этого руководства Вы должны настроить четыре тестовых компьютера под управлением следующих операционных систем:

Windows Server 2008 Enterprise или Windows Server 2008 Datacenter на серверах служб федерации

Windows Server 2008 Standard, Windows Server 2008 Enterprise или Windows Server 2008 Datacenter на веб-сервере с поддержкой AD FS

Microsoft Windows® XP или Windows Vista™ на клиентском компьютере AD FS.

Шаг 1. Подготовительные действия

Прежде чем приступить к установке служб федерации Active Directory, Вам нужно настроить четыре компьютера, которые Вы будете использовать для оценки технологии AD FS.

Подготовительные действия состоят из следующих шагов:

Для выполнения всех процедур, описанных в этом разделе, на всех компьютерах используется учетная запись локального администратора. Для создания доменных учетных записей Active Directory выполните вход в систему под учетной записью администратора домена.

Настройка операционных систем и сетевых параметров

Настройте компьютеры, использующиеся в этом руководстве, в соответствии со следующей таблицей.

Важно:

Прежде чем назначить компьютерам статические IP-адреса, рекомендуется выполнить следующие действия:

Выполнить активацию ОС Windows XP и Windows Server 2008, пока каждый из Ваших компьютеров имеет доступ к сети Интернет.

Убедиться, что на всех компьютерах установлено одинаковое системное время с допустимой разницей в пять минут. Это необходимо для того, чтобы обеспечить действительность временных отпечатков маркеров в любое время.

Роль клиента/сервера AD FS

Параметры протокола IPv4

Windows XP с пакетом обновлений Service Pack 2 (SP2) или Windows Vista

Маска подсети:
255.255.255.0

Windows Server 2008 Standard или Windows Server 2008 Enterprise

Маска подсети:
255.255.255.0

Сервер служб федерации и контроллер домена

Windows Server 2008 Enterprise

Маска подсети:
255.255.255.0

Сервер служб федерации и контроллер домена

Windows Server 2008 Enterprise

Маска подсети:
255.255.255.0

Примечание:

Убедитесь, что на клиентском компьютере Вы указали как предпочитаемый DNS-сервер, так и альтернативный. Если не будет задан какой-либо из этих параметров, сценарий AD FS не будет работать.

Установка и настройка службы каталогов Active Directory

В этот раздел включены следующие процедуры:

Установка службы AD DS

Вы можете использовать мастер добавления ролей для создания двух новых лесов Active Directory на серверах федерации. При выполнении этой процедуры используйте параметры, приведенные в следующей таблице. Для запуска мастера добавления ролей в меню Start раскройте папку Administrative Tools и щелкните значок Server Manager. После этого в правой области щелкните ссылку Add Roles.

Важно:

Прежде чем приступить к установке службы AD DS, настройте IP-адрес компьютера в соответствии с предыдущей таблицей. Это поможет обеспечить надлежащую настройку записей DNS.

Примечание:

Следуя рекомендациям безопасности, не используйте контроллер домена в качестве сервера федерации в рабочей среде.

Имя домена Active Directory (новый лес)

A. Datum Corporation

Установите DNS-сервер, когда будет предложено.

Установите DNS-сервер, когда будет предложено.

Создание учетных записей пользователей и учетных записей ресурсов

После настройки лесов доменов необходимо создать несколько учетных записей, которые Вы будете использовать при работе с серверами федерации. Используйте параметры, приведенные в следующей таблице для создания тестовых учетных записей в обоих лесах. Используйте следующие параметры для настройки компьютера adfsaccount.

Тип создаваемого объекта

Глобальная группа безопасности

Пользователь alansh будет выступать в качестве федеративного пользователя, осуществляющего доступ к приложению по заявкам.

Сделайте пользователя alansh участником глобальной группы TreyClaimAppUsers.

Присоединение тестовых компьютеров к соответствующим доменам

Присоедините компьютеры adfsclient и adfsweb к доменам в соответствии со следующей таблицей.

Примечание:

Для присоединения компьютеров к доменам Вам может потребоваться отключить брандмауэры на соответствующих контроллерах доменов.

Присоединить к домену

Шаг 2. Установка ролей AD FS и настройка сертификатов

После настройки компьютеров и присоединения их к доменам, Вы можете приступить к установке ролей службы AD FS на каждый из серверов. В этот раздел включены следующие процедуры:

Для выполнения всех процедур, описанных в этом разделе, на компьютерах adfsaccount и adfsresource используется учетная запись администратора домена. На компьютере adfsweb используется учетная запись локального администратора.

Установка службы федерации

Выполните следующую процедуру для установки службы федерации, являющейся компонентом AD FS, на компьютерах adfsaccount и adfsresource. После того, как служба федерации установлена на компьютере, он становится сервером федерации.

Во время установки службы федерации Вы создадите новый файл политики доверия, а также самоподписанный SSL-сертификат и сертификат подписи маркера для каждого сервера федерации.

Для установки службы федерации выполните следующие действия:

В меню Start раскройте папкуAdministrative Tools и щелкните значок Server Manager.

Правой кнопкой мыши щелкните на узле Roles и в контекстном меню выберите команду Add Roles, чтобы запустить мастер Add Roles Wizard.

На странице Before You Begin нажмите кнопку Next.

На странице Select Server Roles установите флажок Active Directory Federation Services и дважды нажмите кнопку Next.

На странице Select Role Services установите флажок Federation Service. Если Вам будет предложено дополнительно установить роль Web Server (IIS) или роль Windows Process Activation Service (WAS), нажмите кнопку Add Required Role Services, а затем нажмите кнопку Next.

На странице Choose a Server Authentication Certificate for SSL Encryption установите переключатель в положение Create a self-signed certificate for SSL encryption и нажмите кнопку Next.

На странице Choose a Token-Signing Certificate установите переключатель в положение Create a self-signed token-signing certificate и нажмите кнопку Next.

На странице Select Trust Policy установите переключатель в положение Create a new trust policy и дважды нажмите кнопку Next.

На странице Select Role Services нажмите кнопку Next, приняв значения по умолчанию.

Просмотрите информацию на странице Confirm Installation Selections и нажмите кнопу Install.

На странице Installation Results убедитесь в том, что все компоненты были установлены корректно, и нажмите кнопку Close.

Назначение учетной записи «Local System» группе приложений «ADFSAppPool»

Выполните следующую процедуру на сервере ресурсов adfsresource, а также на сервере учетных записей adfsaccount. Этот шаг необходимо выполнить только в данном руководстве, поскольку серверы федерации являются также контроллерами домена.

Примечание:

Следуя рекомендациям безопасности, не используйте контроллер домена в качестве сервера федерации в рабочей среде. Кроме того, не используйте в рабочей среде учетную запись Local System для запуска службы Internet Information Services (IIS).

Для назначения учетной записи «Local System» группе приложений «ADFSAppPool» выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Internet Information Services (IIS) Manager.

В дереве консоли раскройте узел ADFSRESOURCE или ADFSACCOUNT и выберите раздел Application Pools.

В центральной панели щелкните правой кнопкой мыши на группе ADFSAppPool и в контекстном меню выберите пункт Set Application Pool Defaults.

Читайте также:  Canon f58200 driver windows 10

В разделе Process Model выберите параметр Identity и нажмите кнопку .

В раскрывающемся списке Built-in account выберите учетную запись LocalSystem и дважды нажмите кнопку OK.

Настройка IIS на использование SSL на серверах федерации

Выполните следующую процедуру на серверах федерации adfsresource и adfsaccount для настройки служб IIS на использование протокола SSL для веб-узла по умолчанию.

Для настройки IIS на использование SSL на обоих серверах федерации выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Internet Information Services (IIS) Manager.

В дереве консоли раскройте узел ADFSACCOUNT или ADFSRESOURCE. После этого раскройте узел Sites и выберите узел Default Web Site.

В центральной панели дважды щелкните значок SSL Settings и установите флажок Require SSL.

Установите переключатель Client certificates в положение Accept и щелкните ссылкуApply.

Установка веб-агента AD FS

Выполните следующую процедуру на веб-сервере adfsweb для установки веб-агента приложений по заявкам.

Для установки веб-агента AD FS выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Server Manager.

Правой кнопкой мыши щелкните на узле Roles и в контекстном меню выберите команду Add Roles, чтобы запустить мастер Add Roles Wizard.

На странице Before You Begin нажмите кнопку Next.

На странице Select Server Roles установите флажок Active Directory Federation Services и дважды нажмите кнопку Next.

На странице Select Role Services установите флажок Claims-aware Agent. Если Вам будет предложено установить дополнительные серверные роли Web Server (IIS) или Windows Process Activation Service, нажмите кнопку Add Required Role Services, чтобы установить их, а затем нажмите кнопку Next.

На странице Web Server (IIS) нажмите кнопку Next.

На странице Select Role Services установите флажки Client Certificate Mapping Authentication и IIS Management Console в дополнение к уже установленным, и нажмите кнопку Next.

Установка флажка The Client Certificate Mapping Authentication приводит к установке компонентов, необходимых для того, чтобы служба IIS смогла создать самоподписанный сертификат проверки подлинности сервера, использующийся на этом сервере.

Просмотрите информацию на странице Confirm Installation Selections и нажмите кнопу Install.

На странице Installation Results убедитесь в том, что все компоненты были установлены корректно, и нажмите кнопку Close.

Создание, экспорт и импорт сертификатов

Самым важным фактором для успешной настройки веб-сервера и серверов федерации является правильное создание и экспорт необходимых сертификатов. Поскольку ранее Вы создали сертификат проверки подлинности для обоих серверов федерации с помощью мастера Add Roles Wizard, Вам осталось лишь создать сертификат проверки подлинности сервера для компьютера adfsweb. В этот раздел включены следующие процедуры:

Примечание:

В рабочем окружении сертификаты выдаются центрами сертификации (ЦС). Для выполнения задач в лабораторной среде данного руководства используются самоподписанные сертификаты.

Создание сертификата проверки подлинности сервера для компьютера «adfsweb»

Выполните следующую процедуру на веб-сервере adfsweb для создания самоподписанного сертификата проверки подлинности сервера.

Для создания сертификата проверки подлинности для компьютера «adfsweb» выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Internet Information Services (IIS) Manager.

В дереве консоли выберите узел ADFSWEB.

В центральной панели дважды щелкните значок Server Certificates.

В области действий Actions щелкните ссылку Create Self-Signed Certificate.

В поле Specify a friendly name for the certificate диалогового окна Create Self-Signed Certificate введите adfsweb и нажмите кнопку OK.

Экспорт сертификата подписи маркера компьютера «adfsaccount» в файл

Выполните следующую процедуру на сервере федерации учетных записей adfsaccount для экспорта сертификата подписи маркера этого сервера в файл.

Для экспорта сертификата подписи маркера компьютера «adfsaccount» в файл выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Federation Services.

Правой кнопкой мыши щелкните на узле Federation Service и в контекстном меню выберите пункт Properties.

На вкладке General нажмите кнопку View.

На вкладке Details нажмите кнопку Copy to File.

На странице Welcome to the Certificate Export Wizard нажмите кнопку Next.

На странице Export Private Key установите переключатель в положение No, do not export the private key и нажмите кнопку Next.

На странице Export File Format установите переключатель в положение DER encoded binary X.509 (.Cer) и нажмите кнопку Next.

На странице File to Export введите C:\adfsaccount_ts.cer в поле File Name и нажмите кнопку Next.

Примечание:

Сертификат подписи маркера компьютера adfsaccount будет импортирован на компьютер adfsresource позже, когда мастер Account Partner Wizard предложит указать сертификат на странице Account Partner Verification Certificate (раздел Шаг 4. Настройка серверов федерации). В тот момент Вы будете получать доступ к файлу сертификата, расположенному на компьютере adfsresource, через сетевое окружение.

На странице Completing the Certificate Export Wizard нажмите кнопку Finish.

Экспорт сертификата проверки подлинности сервера «adfsresource» в файл

Для успешного взаимодействия между федеративным сервером ресурсов (компьютер adfsresource) и веб-сервером (компьютер adfsweb) последний должен доверять корневому сертификату федеративного сервера ресурсов.

Примечание:

Веб-сервер должен доверять корневому сертификату сервера федерации, потому что использование списка отзыва сертификатов (Certificate Revocation List, CRL) включено по умолчанию. Это условие может быть снято путем отключения проверки списков отзыва сертификатов, хотя соответствующие процедуры не представлены в данном руководстве. Отключение проверки списка отзыва сертификатов может поставить под угрозу безопасность работы AD FS, поэтому в рабочей среде не рекомендуется отключать эту проверку. Для получения дополнительной информации об отключении проверки списков CRL обратитесь к статье Включение и отключение проверки CRL (EN).

Поскольку в данном руководстве используются самоподписанные сертификаты, то сертификат проверки подлинности сервера является корневым, и поэтому Вы должны установить доверие между серверами путем экспорта сертификата проверки подлинности сервера adfsresource в файл и последующего импорта этого файла на веб-сервер adfsweb. Для экспорта сертификата проверки подлинности выполните на сервере adfsresource следующую процедуру.

Для экспорта сертификата проверки подлинности сервера «adfsresource» в файл выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Internet Information Services (IIS) Manager.

В дереве консоли выберите узел ADFSRESOURCE.

В центральной панели дважды щелкните значок Server Certificates.

В центральной панели щелкните правой кнопкой мыши на имени сертификата adfsresource.treyresearch.net и в контекстном меню выберите команду Export.

В диалоговом окне Export Certificate нажмите кнопку .

В поле File name введите C:\adfsresource и нажмите кнопу Open.

Примечание:

В следующей процедуре сертификат должен быть импортирован на компьютер adfsweb, поэтому убедитесь, что файл сертификата доступен для компьютера adfsweb через сетевое окружение.

Задайте пароль для сертификата, подтвердите его и нажмите кнопку OK.

Импорт сертификата проверки подлинности сервера «adfsresource» на сервер «adfsweb»

Выполните следующую процедуру на веб-сервере adfsweb.

Для импорта сертификата проверки подлинности сервера «adfsresource» на сервер «adfsweb» выполните следующие действия:

В меню Start щелкните значок Run, введите mmc и нажмите кнопку OK.

В меню File выберите команду Add/Remove Snap-in.

В списке Available snap-ins выберите оснастку Certificates, нажмите кнопку Add, установите переключатель в положение Computer account и нажмите кнопку Next.

Установите переключатель в положение Local computer: (the computer this console is running on), нажмите кнопку Finish, а затем нажмите кнопку OK.

Последовательно раскройте узлы Certificates (Local Computer) и Trusted Root Certification Authorities, правой кнопкой мыши щелкните на папке Certificates и в меню All Tasks выберите команду Import.

На странице Welcome to the Certificate Import Wizard мастера импорта сертификатов нажмите кнопку Next.

На странице File to Import введите \\adfsresource\c$\adfsresource.pfx в поле File Name и нажмите кнопку Next.

Примечание:

Для получения доступа к файлу adfsresource.pfx Вам может потребоваться подключить сетевой диск. Также Вы можете скопировать этот файл непосредственно с компьютера adfsresource на компьютер adfsweb и указать локальный путь к файлу.

На странице Password введите пароль для файла adfsresource.pfx и нажмите кнопку Next.

На странице Certificate Store установите переключатель в положение Place all certificates in the following store и нажмите кнопку Next.

На странице Completing the Certificate Import Wizard убедитесь, что все параметры заданы правильно, и нажмите кнопку Finish.

Шаг 3. Настройка веб-сервера

В этот раздел включены процедуры по настройке приложения по заявкам на веб-сервере adfsweb. Для настройки служб Internet Information Services (IIS) и приложения по заявкам Вам необходимо выполнить следующие процедуры:

Все процедуры в этом разделе выполняются на компьютере adfsweb под учетной записью локального администратора.

Настройка служб IIS на веб-сервере

Выполните следующую процедуру на компьютере adfsweb.

Для настройки служб IIS на веб-сервере выполните следующие действия:

Читайте также:  System windows shapes shape

В меню Start раскройте папку Administrative Tools и щелкните значок Internet Information Services (IIS) Manager.

В дереве консоли последовательно раскройте узлы ADFSWEB и Sites, и выберите веб-узел Default Web Site.

В области действий Actions щелкните ссылку Bindings.

В диалоговом окне Site Bindings нажмите кнопку Add.

В раскрывающемся списке Type выберите параметр https.

В раскрывающемся списке SSL certificate выберите сертификат adfsweb, нажмите кнопку OK, а затем нажмите кнопку Close.

В центральной панели дважды щелкните значок SSL Settings и установите флажок Require SSL.

Установите переключатель Client certificates в положение Accept и щелкните ссылку Apply.

Создание и настройка приложения по заявкам

Выполните следующую процедуру, чтобы разместить тестовое приложение по заявкам на веб-сервере adfsweb.

Для создания и настройки приложения по заявкам выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Internet Information Services (IIS) Manager.

В дереве консоли последовательно раскройте узлы ADFSWEB и Sites, правой кнопкой мыши щелкните на узле Default Web Site и в контекстном меню выберите команду Add Application.

В диалоговом окне Add Application введите claimapp в поле Alias.

Нажмите кнопку и выберите папку C:\inetpub\wwwroot.

Нажмите кнопку Make New Folder введите имя папки claimapp и дважды нажмите кнопку OK.

Примечание:

Не используйте заглавные буквы в имени папки claimapp, так как в этом случае пользователи должны будут также использовать заглавные буквы при вводе адреса веб-узла.

Создайте три файла, из которых будет состоять приложение по заявкам, выполнив процедуры, представленные в Приложении А. Создание тестового приложения по заявкам, после чего скопируйте их в папку «C:\inetpub\wwwroot\claimapp».

Шаг 4. Настройка серверов федерации

После того как Вы установили службы федерации Active Directory и настроили приложение по заявкам на веб-сервере, Вам необходимо настроить службу Federation Service на серверах федерации компаний Trey Research и A. Datum Corporation. Процесс настройки серверов федерации состоит из следующих этапов:

Настройка службы Federation Service в компании Trey Research на работу с приложениями по заявкам.

Добавление хранилищ учетных записей и заявок о группах для соответствующих служб федерации.

Настройка каждой из заявок о группах таким образом, чтобы они были сопоставлены группе Active Directory соответствующего леса.

Настройка серверов федерации включает в себя следующие процедуры:

Все процедуры, представленные в этом разделе, выполняются на компьютерах adfsaccount и adfsresource под учетной записью администратора домена.

Настройка службы Federation Service для компании A. Datum Corporation

В этот раздел включены следующие процедуры:

Настройка политики доверия

Выполните следующую процедуру на компьютере adfsaccount, чтобы настроить политику доверия для службы федерации компании A. Datum Corporation.

Для настройки политики доверия компании A. Datum Corporation выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Federation Services.

В дереве консоли раскройте узел Federation Service, правой кнопкой мыши щелкните на узле Trust Policy и в контекстном меню выберите пункт Properties.

В поле Federation Service URI на вкладке General введите urn:federation:adatum.

Примечание:

Этот параметр является чувствительным к регистру.

Убедитесь, что в поле Federation Service endpoint URL отображается текст https://adfsaccount.adatum.com/adfs/ls/.

На вкладке Display Name в поле Display name for this trust policy введите A. Datum, заменив существующий текст, и нажмите кнопку OK.

Создание заявки о группах для приложения по заявкам

Выполните следующую процедуру, чтобы создать заявку о группах, которая будет использоваться для проверки подлинности леса treyresearch.net.

Для создания заявки о группах для приложения по заявкам выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Federation Services.

Последовательно раскройте узлы Federation Service, Trust Policy и My Organization, правой кнопкой мыши щелкните папку Organization Claims и в меню New выберите пункт Organization Claim.

В диалоговом окне Create a New Organization Claim в поле Claim name введите Trey ClaimApp Claim.

Убедитесь, что переключатель установлен в положение Group claim, и нажмите кнопку OK.

Добавление и настройка хранилища учетных записей AD DS

Выполните следующие процедуры, чтобы добавить хранилище учетных записей AD DS для службы федерации компании A. Datum Corporation.

Добавление хранилища учетных записей AD DS

Выполните следующую процедуру, чтобы добавить хранилище учетных записей AD DS.

Для добавления хранилища учетных записей AD DS выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Federation Services.

Последовательно раскройте узлы Federation Service, Trust Policy и My Organization, правой кнопкой мыши щелкните папку Account Stores и в меню New выберите пункт Account Store.

На странице Welcome to the Add Account Store Wizard нажмите кнопку Next.

На странице Account Store Type убедитесь, что переключатель установлен в положение Active Directory Domain Services, и нажмите кнопку Next.

Примечание:

Только одно хранилище AD DS может быть связано со службой федерации. Если параметр Active Directory Domain Services не доступен, то хранилище AD DS уже было создано для этой службы федерации.

На странице Enable this Account Store убедитесь, что флажок Enable this account store установлен, и нажмите кнопку Next.

На странице Completing the Add Account Store Wizard нажмите кнопку Finish.

Сопоставление заявки о группах приложения по заявкам глобальной группе Active Directory

Выполните следующую процедуру, чтобы сопоставить заявку о группах Trey ClaimApp Claim глобальной группе Active Directory.

Для сопоставления заявки о группах глобальной группе AD DS выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Federation Services.

Последовательно раскройте узлы Federation Service, Trust Policy, My Organization и Account Stores, правой кнопкой мыши щелкните папку Active Directory и в меню New выберите пункт Group Claim Extraction.

В диалоговом окне Create a New Group Claim Extraction нажмите кнопку Add, введите имя объекта treyclaimappusers и нажмите кнопку OK.

Убедитесь, что в раскрывающемся списке Map to this Organization Claim отображается текст Trey ClaimApp Claim, и нажмите кнопку OK.

Добавление и настройка партнера по ресурсам

Выполните следующие процедуры, чтобы добавить партнера по ресурсам для службы федерации компании A. Datum Corporation.

Добавление партнера по ресурсам

Выполните следующую процедуру для добавления партнера по ресурсам.

Для добавления партнера по ресурсам выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Federation Services.

Последовательно раскройте узлы Federation Service, Trust Policy и Partner Organizations, правой кнопкой мыши щелкните папку Resource Partners и в меню New выберите пункт Resource Partner.

На странице Welcome to the Add Resource Partner Wizard нажмите кнопку Next.

На странице Import Policy File убедитесь, что переключатель установлен в положение No, и нажмите кнопку Next.

На странице Resource Partner Details введите Trey Research в поле Display name.

В поле Federation Service URI введите urn:federation:treyresearch.

Примечание:

Этот параметр является чувствительным к регистру.

В поле Federation Service endpoint URL введите https://adfsresource.treyresearch.net/adfs/ls/ и нажмите кнопку Next.

На странице Federation Scenario установите переключатель в положение Federated Web SSO и нажмите кнопку Next.

На странице Resource Partner Identity Claims установите флажок UPN Claim и нажмите кнопку Next.

На странице Select UPN Suffix установите переключатель в положение Replace all UPN domain suffixes with the following, введите adatum.com и нажмите кнопку Next.

На странице Enable this Resource Partner убедитесь, что установлен флажок Enable this resource partner, и нажмите кнопку Next.

На странице Completing the Add Resource Partner Wizard нажмите кнопку Finish.

Создание сопоставления исходящей заявки о группах для приложения по заявкам

Выполните следующую процедуру для создания сопоставления исходящей заявки о группах для тестового приложения по заявкам.

Для создания сопоставления исходящей заявки о группах выполните следующие действия:

В меню Start раскройте папку Administrative Tools и щелкните значок Active Directory Federation Services.

Последовательно раскройте узлы Federation Service, Trust Policy, Partner Organizations и Resource Partners, правой кнопкой мыши щелкните на записи Trey Research и в меню New выберите пункт Outgoing Group Claim Mapping.

В диалоговом окне Create a New Outgoing Group Claim Mapping выберите параметр Trey ClaimApp Claim в раскрывающемся списке Organization group claims.

В поле Outgoing group claim name введите ClaimAppMapping и нажмите кнопку OK.

Примечание:

Этот параметр является чувствительным к регистру. Значение этого параметра должно в точности совпадать с именем сопоставления входящей заявки о группах, созданным в организации партнера по ресурсам.

Настройка службы Federation Service для компании Trey Research

В этот раздел включены следующие процедуры:

Источник

Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector