Compartilhar via

Configurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2

Este tópico descreve as etapas para configurar um ambiente de teste que pode ser usado para concluir os tutoriais nos guias a seguir:

Observação

Não recomendamos que você instale o servidor Web e o servidor de federação no mesmo computador.

Para configurar esse ambiente de teste, conclua as seguintes etapas:

  1. Etapa 1: Configurar o controlador de domínio (DC1)

  2. Etapa 2: Configurar o servidor de federação (ADFS1) com o Serviço de Registro de Dispositivo

  3. Etapa 3: Configurar o servidor Web (WebServ1) e um aplicativo baseado em declarações de exemplo

  4. Etapa 4: Configurar o computador cliente (Client1)

Etapa 1: Configurar o controlador de domínio (DC1)

Para fins desse ambiente de teste, você pode chamar seu domínio raiz do Active Directory contoso.com e especificar pass@word1 como a senha de administrador.

  • Instale o serviço de função do AD DS e instale o AD DS (Active Directory Domain Services) para tornar seu computador um controlador de domínio no Windows Server 2012 R2. Essa ação atualiza o esquema do AD DS como parte da criação do controlador de domínio. Para obter mais informações e instruções passo a passo, consultehttps://technet.microsoft.com/library/hh472162.aspx.

Criar contas do Active Directory de teste

Depois que o controlador de domínio estiver funcional, você poderá criar um grupo de teste e testar contas de usuário nesse domínio e adicionar a conta de usuário à conta de grupo. Essas contas são usadas para concluir as etapas dos guias passo a passo que foram citados anteriormente neste tópico.

Crie as seguintes contas:

  • Usuário: Robert Hatley com as seguintes credenciais: Nome de usuário: RobertH e senha: P@ssword

  • Grupo: Finanças

Para obter informações sobre como criar contas de usuário e grupo no Active Directory (AD), consulte https://technet.microsoft.com/library/cc783323%28v.aspx.

Adicione a conta de Robert Hatley ao grupo Finanças . Para obter informações sobre como adicionar um usuário a um grupo no Active Directory, consulte https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Criar uma conta GMSA

A conta gmsa (Conta de Serviço Gerenciado) do grupo é necessária durante a instalação e configuração dos Serviços de Federação do Active Directory (AD FS).

Para criar uma conta GMSA

  1. Abra uma janela de comando do Windows PowerShell e digite:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

Etapa 2: Configurar o servidor de federação (ADFS1) usando o Serviço de Registro de Dispositivo

Para configurar outra máquina virtual, instale o Windows Server 2012 R2 e conecte-o ao domínio contoso.com. Configure o computador depois de ingressá-lo ao domínio e prossiga para a instalação e configuração da função do AD FS.

Veja o vídeo de instruções Serviços de Federação do Active Directory: instalando um farm de servidores AD FS.

Instalar um certificado SSL do servidor

Você deve instalar um certificado SSL (Secure Socket Layer) do servidor no servidor ADFS1 no repositório de computadores local. O certificado DEVE ter os seguintes atributos:

  • Nome do Assunto (CN): adfs1.contoso.com

  • Nome Alternativo de Assunto (DNS): adfs1.contoso.com

  • Nome Alternativo da Entidade (DNS): enterpriseregistration.contoso.com

Para obter mais informações sobre como configurar certificados SSL, consulte Configurar SSL/TLS em um site no domínio com uma CA Empresarial.

Vídeo de instruções do Serviços de Federação do Active Directory: atualizando certificados.

Instalar a função de servidor do AD FS

Para instalar o serviço de função Serviço de Federação

  1. Faça logon no servidor usando a conta administrator@contoso.comde administrador de domínio.

  2. Inicie o Gerenciador de Servidores. Para iniciar o Gerenciador de Servidores , clique no Gerenciador do Servidor na tela Inicial do Windows ou clique no Gerenciador do Servidor na barra de tarefas do Windows na área de trabalho do Windows. Na guia Início Rápido do bloco De boas-vindas na página Painel , clique em Adicionar funções e recursos. Como alternativa, você pode clicar em Adicionar Funções e Recursos no menu Gerenciar .

  3. Na página Antes de começar , clique em Avançar.

  4. Na página Selecionar tipo de instalação , clique em Instalação baseada em função ou recurso e clique em Avançar.

  5. Na página Selecionar servidor de destino , clique em Selecionar um servidor no pool de servidores, verifique se o computador de destino está selecionado e clique em Avançar.

  6. Na página Selecionar funções de servidor , clique em Serviços de Federação do Active Directory e clique em Avançar.

  7. Na página Selecionar recursos , clique em Avançar.

  8. Na página Serviço de Federação do Active Directory (AD FS), clique em Avançar.

  9. Depois de verificar as informações na página Confirmar seleções de instalação, selecione a caixa de seleção Reiniciar o servidor de destino automaticamente, se necessário e clique em Instalar.

  10. Na página Progresso da Instalação , verifique se tudo foi instalado corretamente e clique em Fechar.

Configurar o servidor de federação

A próxima etapa é configurar o servidor de federação.

Para configurar o servidor de federação

  1. Na página Painel do Gerenciador do Servidor, clique no sinalizador Notificações e, em seguida, clique em Configurar o serviço de federação no servidor.

    O Assistente de Configuração do Serviço de Federação do Active Directory é aberto.

  2. Na página Boas-vindas , selecione Criar o primeiro servidor de federação em um farm de servidores de federação e clique em Avançar.

  3. Na página Conectar ao AD DS, especifique uma conta com direitos de administrador de domínio para o domínio do contoso.com Active Directory ao qual este computador está ingressado e clique em Avançar.

  4. Na página Especificar Propriedades do Serviço , faça o seguinte e clique em Avançar:

    • Importe o certificado SSL obtido anteriormente. Esse certificado é o certificado de autenticação de serviço necessário. Navegue até o local do certificado SSL.

    • Para especificar um nome para o serviço de federação, digite adfs1.contoso.com. Esse valor é o mesmo que você forneceu quando registrou um certificado SSL no AD CS (Active Directory Certificate Services).

    • Para fornecer um nome de exibição para seu serviço de federação, digite Contoso Corporation.

  5. Na página Especificar Conta de Serviço , selecione Usar uma conta de usuário de domínio existente ou conta de serviço gerenciado de grupo e especifique a conta GMSA fsgmsa que você criou quando criou o controlador de domínio.

  6. Na página Especificar Banco de Dados de Configuração , selecione Criar um banco de dados neste servidor usando o Banco de Dados Interno do Windows e clique em Avançar.

  7. Na página Opções de Revisão , verifique as seleções de configuração e clique em Avançar.

  8. Na página Verificações de Pré-requisito , verifique se todas as verificações de pré-requisito foram concluídas com êxito e clique em Configurar.

  9. Na página Resultados , examine os resultados, verifique se a configuração foi concluída com êxito e clique nas próximas etapas necessárias para concluir a implantação do serviço de federação.

Configurar o Serviço de Registro de Dispositivo

A próxima etapa é configurar o Serviço de Registro de Dispositivo no servidor ADFS1. Para assistir a um vídeo, veja Active Directory Federation Services How-To Série de Vídeo: Habilitando o Serviço de Registro de Dispositivo.

Para configurar o Serviço de Registro de Dispositivo para Windows Server 2012 RTM

  1. Importante

    A etapa a seguir se aplica ao build do Windows Server 2012 R2 RTM.

    Abra uma janela de comando do Windows PowerShell e digite:

    Initialize-ADDeviceRegistration

    Quando você for solicitado a obter uma conta de serviço, digite contoso\fsgmsa$.

    Agora, execute o cmdlet do Windows PowerShell.

    Enable-AdfsDeviceRegistration

  2. No servidor ADFS1, no console de Gerenciamento do AD FS , navegue até As Políticas de Autenticação. Selecione Editar Autenticação Primária Global. Marque a caixa de seleção ao lado de Habilitar a Autenticação de Dispositivo e clique em OK.

Adicionar registros de recurso de Host (A) e Alias (CNAME) ao DNS

No DC1, você deve garantir que os seguintes registros DNS (Sistema de Nomes de Domínio) sejam criados para o Serviço de Registro de Dispositivo.

Entry Tipo Endereço
adfs1 Anfitrião (A) Endereço IP do servidor do AD FS
registro de empresa Apelido (CNAME) adfs1.contoso.com

Você pode usar o procedimento a seguir para adicionar um registro de recurso de host (A) aos servidores de nome DNS corporativos para o servidor de federação e Device Registration Service.

A associação ao grupo Administradores ou a um equivalente é o requisito mínimo para concluir este procedimento. Examine os detalhes sobre como usar as contas apropriadas e as associações de grupo no HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" Grupos Padrão Local e de Domínio (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Para adicionar registros de recursos de host (A) e alias (CNAME) ao DNS do seu servidor de federação

  1. No DC1, do Gerenciador do Servidor, no menu Ferramentas , clique em DNS para abrir o snap-in DNS.

  2. Na árvore de console, expanda DC1, expanda Zonas de Pesquisa Direta, clique com o botão direito em contoso.com e clique em Novo Host (A ou AAAA).

  3. Em Nome, digite o nome que você deseja usar para o farm do AD FS. Para este passo a passo, digite adfs1.

  4. No endereço IP, digite o endereço IP do servidor ADFS1. Clique em Adicionar Host.

  5. Clique com o botão direito em contoso.com, e então clique em Novo Alias (CNAME).

  6. Na caixa de diálogo Novo Registro de Recurso, digite enterpriseregistration na caixa nome de Alias.

  7. No FQDN (Nome de Domínio Totalmente Qualificado) da caixa de host de destino, digite adfs1.contoso.com e clique em OK.

    Importante

    Em uma implantação do mundo real, se sua empresa tiver vários sufixos UPN (nome de entidade de usuário), você deverá criar vários registros CNAME, um para cada um desses sufixos UPN no DNS.

Etapa 3: Configurar o servidor Web (WebServ1) e um aplicativo baseado em declarações de exemplo

Configure uma máquina virtual (WebServ1) instalando o sistema operacional Windows Server 2012 R2 e conecte-o ao domínio contoso.com. Depois que ele for ingressado no domínio, você poderá continuar a instalar e configurar a função de Servidor Web.

Para concluir os passo a passo que foram referenciados anteriormente neste tópico, você deve ter um aplicativo de exemplo protegido pelo servidor de federação (ADFS1).

Você deve concluir as etapas a seguir para configurar um servidor Web com este aplicativo baseado em declarações de exemplo.

Observação

Essas etapas foram testadas em um servidor Web que executa o sistema operacional Windows Server 2012 R2.

  1. Instalar a função de servidor Web e o Windows Identity Foundation

  2. Instalar o SDK do Windows Identity Foundation

  3. Configurar o aplicativo de declarações simples no IIS

  4. Criar um objeto de confiança de terceira parte confiável no servidor de federação

Instalar a função servidor Web e o Windows Identity Foundation

  1. Observação

    Você deve ter acesso à mídia de instalação do Windows Server 2012 R2.

    Faça logon no WebServ1 usando administrator@contoso.com e a senha pass@word1.

  2. No Gerenciador do Servidor, na guia Início Rápido do bloco De boas-vindas na página Painel , clique em Adicionar funções e recursos. Como alternativa, você pode clicar em Adicionar Funções e Recursos no menu Gerenciar .

  3. Na página Antes de começar , clique em Avançar.

  4. Na página Selecionar tipo de instalação , clique em Instalação baseada em função ou recurso e clique em Avançar.

  5. Na página Selecionar servidor de destino , clique em Selecionar um servidor no pool de servidores, verifique se o computador de destino está selecionado e clique em Avançar.

  6. Na página Selecionar funções de servidor , marque a caixa de seleção ao lado do Servidor Web (IIS), clique em Adicionar Recursos e clique em Avançar.

  7. Na página Selecionar recursos , selecione Windows Identity Foundation 3.5 e clique em Avançar.

  8. Na página Função de Servidor Web (IIS), clique em Avançar.

  9. Na página Selecionar serviços de função, selecione e expanda Desenvolvimento de Aplicativos. Selecione ASP.NET 3.5, clique em Adicionar Recursos e clique em Avançar.

  10. Na página Confirmar seleções de instalação , clique em Especificar um caminho de origem alternativo. Insira o caminho para o diretório Sxs localizado na mídia de instalação do Windows Server 2012 R2. Por exemplo, D:\Sources\Sxs. Clique em OK e clique em Instalar.

Instalar o SDK do Windows Identity Foundation

  1. Execute WindowsIdentityFoundation-SDK-3.5.msi para instalar o SDK 3.5 do Windows Identity Foundation. Escolha todas as opções padrão.

Configurar o aplicativo de declarações simples no IIS

  1. Instale um certificado SSL válido no repositório de certificados do computador. O certificado deve conter o nome do servidor Web, webserv1.contoso.com.

  2. Copie o conteúdo de C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp para C:\Inetpub\Claimapp.

  3. Edite o arquivo Default.aspx.cs para que nenhuma filtragem de declaração ocorra. Esta etapa é executada para garantir que o aplicativo de exemplo exiba todas as declarações emitidas pelo servidor de federação. Faça o seguinte:

    1. Abra Default.aspx.cs em um editor de texto.

    2. Pesquise o arquivo na segunda instância de ExpectedClaims.

    3. Comente toda a instrução IF e suas chaves. Indique comentários digitando "//" (sem aspas) no início de uma linha.

    4. Sua FOREACH instrução agora deve ser semelhante a este exemplo de código.

      Foreach (claim claim in claimsIdentity.Claims)
{
   //Before showing the claims validate that this is an expected claim
   //If it is not in the expected claims list then don't show it
   //if (ExpectedClaims.Contains( claim.ClaimType ) )
   // {
      writeClaim( claim, table );
   //}
}

    5. Salve e feche Default.aspx.cs.

    6. Abra web.config em um editor de texto.

    7. Remova a seção inteira <microsoft.identityModel> . Remova tudo começando em including <microsoft.identityModel> até e inclusive </microsoft.identityModel>.

    8. Salve e feche web.config.

  4. Configurar o Gerenciador do IIS

    1. Abra o Gerenciador do IIS (Serviços de Informações da Internet).

    2. Vá para Pools de Aplicativos, clique com o botão direito do mouse em DefaultAppPool para selecionar Configurações Avançadas. Defina Carregar Perfil do Usuário como True e clique em OK.

    3. Clique com o botão direito do mouse em DefaultAppPool para selecionar Configurações Básicas. Altere a versão clr do .NET para .NET CLR versão v2.0.50727.

    4. Clique com o botão direito do mouse no Site Padrão para selecionar Editar Associações.

    5. Adicione uma associação HTTPS à porta 443 com o certificado SSL instalado.

    6. Clique com o botão direito do mouse no Site Padrão para selecionar Adicionar Aplicativo.

    7. Defina o alias para claimapp e o caminho físico como c:\inetpub\claimapp.

  5. Para configurar o claimapp para trabalhar com o servidor de federação, faça o seguinte:

    1. Execute FedUtil.exe, que está localizado em C:\Arquivos de Programas (x86)\SDK do Windows Identity Foundation\v3.5.

    2. Defina o local de configuração do aplicativo para C:\inetpub\claimapp\web.config e defina o URI do aplicativo como a URL do seu site, https://webserv1.contoso.com /claimapp/. Clique em Avançar.

    3. Selecione Usar um STS existente e navegue até a URL de metadados do servidor do AD FShttps://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Clique em Avançar.

    4. Selecione Desabilitar a validação da cadeia de certificados e clique em Avançar.

    5. Selecione Sem criptografia e clique em Avançar. Na página Declarações oferecidas , clique em Avançar.

    6. Marque a caixa de seleção ao lado de Agendar uma tarefa para executar atualizações diárias de metadados para o WS-Federation. Clique em Concluir.

    7. Seu aplicativo de exemplo agora está configurado. Se você testar a URL https://webserv1.contoso.com/claimappdo aplicativo, ela deverá redirecioná-lo para o servidor de federação. O servidor de federação deve exibir uma página de erro porque você ainda não configurou o objeto de confiança de terceira parte confiável. Em outras palavras, você não segurou esse aplicativo de teste com o AD FS.

Agora você deve proteger seu aplicativo de exemplo que é executado no servidor Web com o AD FS. Para isso, adicione um objeto de confiança de terceira parte confiável ao servidor de federação (ADFS1). Para assistir a um vídeo, consulte Active Directory Federation Services How-To Série de Vídeos: Adicionar uma Confiança de Terceira Parte.

Criar um objeto de confiança de terceira parte confiável no servidor de federação

  1. No servidor de federação (ADFS1), no console de Gerenciamento do AD FS, navegue até Confianças de Aplicativo e clique em Adicionar Confiança de Aplicativo.

  2. Na página Selecionar Fonte de Dados, selecione Importar dados sobre a parte confiável publicada online ou em uma rede local, insira a URL de metadados para claimapp e clique em Avançar. A execução FedUtil.exe criou um arquivo de .xml de metadados. Ele está localizado em https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

  3. Na página Especificar Nome de Exibição, especifique o nome de exibição do objeto de confiança de terceira parte confiável claimapp, e clique em Avançar.

  4. Na página Configurar Autenticação Multifator Agora? selecioneNão quero especificar a configuração de autenticação multifator para essa confiança de terceira parte confiável no momento e clique em Avançar.

  5. Na página Escolher Regras de Autorização de Emissão, selecione Permitir que todos os usuários acessem esta terceira parte confiávele clique em Avançar.

  6. Na página Pronto para Adicionar Confiança , clique em Avançar.

  7. Na caixa de diálogo Editar Regras de Declaração , clique em Adicionar Regra.

  8. Na página Escolher Tipo de Regra , selecione Enviar Declarações usando uma Regra Personalizada e clique em Avançar.

  9. Na página Configurar Regra de Declaração , na caixa Nome da regra De declaração , digite Todas as Declarações. Na caixa Regra Personalizada, digite a seguinte regra de solicitação.

    c:[ ]
=> issue(claim = c);

  10. Clique em Concluir e clique em OK.

Etapa 4: Configurar o computador cliente (Client1)

Configure outra máquina virtual e instale o Windows 8.1. Essa máquina virtual deve estar na mesma rede virtual que as outras máquinas. Esse computador NÃO deve ingressar no domínio Contoso.

O cliente DEVE confiar no certificado SSL usado para o servidor de federação (ADFS1), que você configurou na Etapa 2: Configurar o servidor de federação (ADFS1) com o Serviço de Registro de Dispositivo. Ele também deve ser capaz de validar as informações de revogação do certificado.

Você também deve configurar e usar uma conta da Microsoft para fazer logon no Client1.

Consulte Também

  • Serviços de Federação do Active Directory: instalando um farm de servidores AD FS
  • Vídeo de instruções do Serviços de Federação do Active Directory: atualizando certificados
  • Vídeo de instruções dos Serviços de Federação do Active Directory: adicionar um objeto de confiança de terceira parte confiável
  • Serviços de Federação do Active Directory: habilitando o Device Registration Service
  • Vídeo de instruções do Serviços de Federação do Active Directory: instalando o proxy de aplicativo Web
  • Last updated on