Крок 1: Налаштування контролера домену (DC1)
Для цілей даної тестової середовища можна назвати кореневої домен Active Directory contoso.com і вкажіть ** pass @ word1 ** в якості пароля адміністратора.
Створення тестових облікових записів Active Directory
Після контролер домену стане функціональним, можна створити тестову групу і тестові користувачів облікових записів в цьому домені та додати обліковий запис користувача в обліковий запис групи. Ці облікові записи використовуються для виконання покрокових інструкцій у відповідних посібниках, які перераховані раніше в цьому розділі.
Створіть наступні облікові записи:
Користувач: Robert Hatley з наступними обліковими даними: ім'я користувача: RobertH і пароль: P @ ssword
Створення групової Керованої облікового запису
Для створення групової Керованої облікового запису
Відкрийте вікно команд Windows PowerShell і введіть:
Крок 2: Налаштування сервера федерації (ADFS1) за допомогою служби реєстрації пристроїв
Установка SSL-сертифікат сервера
Необхідно встановити сертифікат сервера Secure Socket Layer (SSL) на сервері ADFS1 в сховище локального комп'ютера. Сертифікат повинен мати такі атрибути:
Ім'я суб'єкта (CN): adfs1.contoso.com
Альтернативне ім'я суб'єкта (DNS): adfs1.contoso.com
Альтернативне ім'я суб'єкта (DNS): enterpriseregistration.contoso.com
Установка ролі сервера AD FS
Для установки служби ролі служби федерації
Увійдіть на сервер за допомогою облікового запису адміністратора домену [email protected].
Запустіть диспетчер сервера. Для запуску диспетчера серверів натисніть кнопку диспетчера сервера на Windows запустити екрану або клацніть диспетчера сервера на панелі завдань Windows, на робочому столі Windows. На швидкий запуск вкладці вітання плитку моніторингу клацніть Додати ролі і компоненти. Крім того, можна натиснути кнопку Додати ролі і компоненти на управління меню.
На Вибір типу установки клацніть Установка на основі ролей або компонентів. а потім натисніть кнопку Далі.
На Вибір цільового сервера клацніть виберіть сервер з пулу серверів. переконайтеся, що обраний цільовий комп'ютер і натисніть кнопку Далі.
На Вибір ролей сервера клацніть служб федерації Active Directory. а потім натисніть кнопку Далі.
На виберіть компоненти клацніть Далі.
На служби федерації Active Directory (AD FS) клацніть Далі.
Після перевірки інформації на підтвердження вибраних елементів для установки виберіть автоматичний перезапуск кінцевого сервера, якщо потрібно прапорець і натисніть кнопку встановити.
На хід виконання установки. переконайтеся, що всі встановлено вірно і клацніть закрити.
Налаштування сервера федерації
Наступний крок - Налаштування сервера федерації.
Налаштування сервера федерації
У диспетчері сервера моніторингу клацніть повідомлення. а потім клацніть налаштувати службу федерації на сервері.
Майстер конфігурації служб федерації сертифікації Active Directory відкривається.
На вітання виберіть створення першого сервера федерації в фермі серверів федерації. а потім натисніть кнопку Далі.
На підключитися до AD DS вкажіть обліковий запис з правами адміністратора домену для contoso.com цей комп'ютер приєднаний до домену Active Directory, а потім натисніть кнопку Далі.
На вкажіть властивості служби сторінки, виконайте наступні дії і натисніть кнопку Далі:
Імпорт сертифікат SSL, який ви отримали більш ранніх версій. Цей сертифікат є необхідною сертифікатом аутентифікації служби. Перейдіть в розташування SSL-сертифікат.
Щоб надати ім'я для вашої служби федерації, введіть adfs1.contoso.com. Це значення має те ж значення, що і надане при реєстрації сертифіката SSL в службах сертифікатів Active Directory (AD CS).
Щоб вказати псевдонім для вашої служби федерації, введіть Contoso Corporation.
На виберіть обліковий запис послуги виберіть використовувати існуючий обліковий запис користувача домену або групову керовану обліковий запис служби. а потім виберіть обліковий запис GMSA fsgmsa. створену при створенні контролера домену.
На вкажіть базу даних конфігурації виберіть створити базу даних на цьому сервері з використанням внутрішньої бази даних Windows. а потім натисніть кнопку Далі.
На попередні перевірки переконайтеся, що всі попередні перевірки успішно пройдені і натисніть кнопку Налаштування.
Налаштування служби реєстрації пристроїв
Відкрийте вікно команд Windows PowerShell і введіть:
У відповідь на запит облікового запису служби введіть contoso \ fsgmsa $.
Тепер запустіть командлет Windows PowerShell.
На сервері ADFS1 в управління AD FS консолі, перейдіть в каталог політики перевірки автентичності. Виберіть редагувати глобальну первинну аутентифікацію. Встановіть прапорець поруч із пунктом включити аутентифікацію пристроїв. а потім натисніть кнопку ОК.
Додавання вузла (A) і записи ресурсів псевдоніма (CNAME) в DNS
У DC1 необхідно переконатися, що для служби реєстрації пристроїв створені такі записи доменних імен (DNS).
Можна використовувати наступну процедуру для додавання запису ресурсу вузла (A) на корпоративні сервери імен DNS для сервера федерації і служби реєстрації пристроїв.
Додавання вузла (A) і записи ресурсів псевдоніма (CNAME) в DNS для сервера федерації
На комп'ютері DC1 з диспетчера сервера на кошти меню, натисніть кнопку DNS щоб відкрити оснастку DNS.
В ім'я, введіть ім'я ферми AD FS. Для цього покрокового керівництва введіть adfs1.
Клацніть правою кнопкою миші contoso.com. а потім натисніть кнопку нового псевдоніма (CNAME).
У новий запис ресурсу діалогове вікно, введіть enterpriseregistration в псевдонім поле.
Введіть в повне доменне ім'я (FQDN) цільового вузла поля, adfs1.contoso.com. а потім натисніть кнопку ОК.
У реальному розгортанні Якщо у компанії кілька суфіксів імені учасника (UPN) користувача, необхідно створити кілька записів CNAME, по одному для кожної з цих суфіксів в DNS.
Крок 3: Налаштування веб-сервера (WebServ1) і приклад програми на основі тверджень
Для завершення покрокових посібників, перерахованих раніше в цьому розділі, необхідно мати приклад програми, забезпечується вашим сервером федерації (ADFS1).
Необхідно виконати наступні дії, щоб встановити веб-сервер з прикладу додатки на основі тверджень.
Примітка
Установка ролі веб-сервера і Windows Identity Foundation
Примітка
У диспетчері сервера на швидкого запуску вкладка вітання плитку панелі моніторингу клацніть Додати ролі і компоненти. Крім того, можна натиснути кнопку Додати ролі і компоненти на управління меню.
На Вибір типу установки клацніть Установка на основі ролей або компонентів. а потім натисніть кнопку Далі.
На Вибір цільового сервера клацніть виберіть сервер з пулу серверів. переконайтеся, що обраний цільовий комп'ютер і натисніть кнопку Далі.
На Вибір ролей сервера сторінці, встановіть прапорець поруч із пунктом веб-сервер (IIS). натисніть кнопку додати компоненти. а потім натисніть кнопку Далі.
На виберіть компоненти виберіть Windows Identity Foundation 3.5. а потім натисніть кнопку Далі.
На Вибір служб ролей виберіть і розгорніть розробки додатків. Виберіть ASP.NET 3.5. натисніть кнопку додати компоненти. а потім натисніть кнопку Далі.
Установка Windows Identity Foundation SDK
Налаштування прикладу додатки тверджень в IIS
Встановіть дійсний сертифікат SSL в сховище сертифікатів на комп'ютері. Сертифікат повинен містити ім'я веб-сервера, webserv1.contoso.com.
Скопіювати вміст C: \ Program Files (x86) \ Windows Identity Foundation SDK \ v3.5 \ Samples \ Quick Start \ Web Application \ PassiveRedirectBasedClaimsAwareWebApp C: \ Inetpub \ Claimapp.
Зміна Default.aspx.cs файл, щоб Фільтрація тверджень не провадилась. Цей крок виконується, щоб переконатися, що в прикладі додатка відображалися всі твердження, видані сервером федерації. Виконайте наступні дії.
Знайдіть файл для другого примірника ExpectedClaims.
Ваш FOREACH тепер має виглядати як в наступному прикладі коду.
Збережіть і закрийте Default.aspx.cs.
повністю видаліть
Збережіть і закрийте web.config.
Налаштування диспетчера IIS Manager
Відкрийте Internet Information Services (IIS) диспетчера.
Перейдіть в розділ пули додатків. клацніть правою кнопкою миші DefaultAppPool для вибору Розширені можливості пошуку. Задайте завантажити профіль користувача для True. а потім натисніть кнопку ОК.
Клацніть правою кнопкою миші DefaultAppPool для вибору основні параметри. Зміна версія .NET CLR для .NET CLR версії v2.0.50727.
Клацніть правою кнопкою миші веб-сайт за замовчуванням для вибору змінити прив'язки.
Додати HTTPS прив'язку до порту 443 з SSL-сертифіката, на яких було встановлено.
Клацніть правою кнопкою миші веб-сайт за замовчуванням для вибору додати додаток.
Задайте псевдонім для claimapp і фізичний шлях до c: \ inetpub \ claimapp.
Щоб налаштувати claimapp для роботи з сервером федерації, виконайте наступні дії:
Запустіть FedUtil.exe, розташований в C: \ Program Files (x86) \ Windows Identity Foundation SDK \ v3.5.
Виберіть відключити перевірку ланцюжка сертифікатів. а потім натисніть кнопку Далі.
Виберіть без шифрування. а потім натисніть кнопку Далі. На пропонованих тверджень клацніть Далі.
Встановіть прапорець поруч із пунктом запланувати завдання для виконання щоденних оновлень метаданих WS-Federation. Натисніть кнопку ** Готово **.
Створення відносини довіри з перевіряє стороною на сервері федерації
На сервері федерації (ADFS1) в консоль управління AD FS. перейдіть в розділ довіри з перевіряє стороною. а потім натисніть кнопку додати довіри з перевіряє стороною.
На вкажіть псевдонім вкажіть псевдонім відносин довіри з перевіряє стороною, claimapp. а потім натисніть кнопку Далі.
На Налаштування багатофакторної перевірки автентичності тепер? ** виберіть ** потрібно вказати параметр багатофакторної перевірки автентичності для цього відносини довіри з перевіряє стороною в даний момент ні. а потім натисніть кнопку Далі.
На Готово до додавання відносини довіри клацніть Далі.
На зміну правил для тверджень діалоговому натисніть кнопку додати правило.
На виберіть тип правила виберіть Відправлення тверджень за допомогою настроюваного правила. а потім натисніть кнопку Далі.
На Налаштування правил тверджень сторінки в ім'я правила тверджень введіть всі твердження. У настроюється правила введіть наступне правило тверджень.
Натисніть кнопку Готово. а потім натисніть кнопку ОК.
Крок 4: Налаштування клієнтського комп'ютера (КЛІЕНТ1)
Налаштуйте іншу віртуальну машину і встановіть Windows 8.1. Ця віртуальна машина повинні знаходитися в тій же віртуальної мережі, що і інші машини. Цією машини не повинна бути об'єднана в домен Contoso.
Клієнт повинен довіряти SSL-сертифікат, який використовується для сервера федерації (ADFS1), який налаштований в крок 2: Налаштування сервера федерації (ADFS1) with Device Registration Service. Також повинна бути можливість перевірити інформацію відкликання сертифікатів для сертифіката.