Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta lista de verificação inclui as tarefas de implantação necessárias para preparar um servidor que executa o Windows Server® 2012 para a função de servidor de federação nos Serviços de Federação do Ative Directory (AD FS).
Note
Conclua as tarefas nesta lista de verificação em ordem. Quando um link de referência leva você a um procedimento, retorne a este tópico depois de concluir as etapas desse procedimento para que você possa prosseguir com as tarefas restantes nesta lista de verificação.
Lista de verificação: Configuração de um servidor de federação
| Task | Reference |
|---|---|
| Antes de começar a implantar seus servidores de federação do AD FS, revise o; 1.) vantagens e desvantagens de escolher o Banco de Dados Interno do Windows (WID) ou o SQL Server para armazenar o banco de dados de configuração do AD FS 2.) Tipos de topologia de implantação do AD FS e suas recomendações de posicionamento de servidor e layout de rede associadas. |
Determine a Sua Topologia de Implantação do AD FS |
| Consulte as diretrizes de planejamento de capacidade do AD FS para determinar o número adequado de servidores de federação que você deve usar em seu ambiente de produção. |
Planejando a capacidade do servidor de federação |
| Revise as informações no Guia de Design do AD FS sobre onde colocar os servidores de federação em sua organização |
Planejando o posicionamento do servidor de federação |
| Determine se um servidor de federação autônomo ou um farm de servidores de federação é melhor para sua implantação. |
Quando criar um servidor de federação |
| Determine se este novo servidor de federação será criado na organização parceira de conta ou na organização parceira de recurso. |
Revise a função do servidor de federação no Parceiro de Conta
|
| Examine as informações sobre como os servidores de federação usam certificados de comunicação de serviço e certificados de assinatura de token para autenticar com segurança solicitações de proxy de cliente e servidor de federação. Atenção: Embora tenha sido prática comum usar certificados com nomes de host não qualificados, como https://myserver, esses certificados não têm valor de segurança e podem permitir que um invasor represente o Serviço de Federação do AD FS para clientes corporativos. Portanto, é recomendável que você use um nome de domínio totalmente qualificado (FQDN), como https://myserver.contoso.com, e use apenas certificados SSL emitidos para o FQDN do seu Serviço de Federação. |
Requisitos de certificado para servidores de federação |
| Revise as informações sobre como atualizar o DNS (Sistema de Nomes de Domínio) da rede corporativa para que a resolução bem-sucedida de nomes para servidores de federação possa ocorrer. |
Requisitos de resolução de nomes para servidores de federação |
| Adicione o computador que se tornará o servidor de federação a um domínio na floresta do parceiro de conta ou na floresta do parceiro de recurso, onde será utilizado para autenticar os utilizadores dessa floresta ou de florestas confiáveis. Observação: Se você quiser configurar um servidor de federação na organização parceira de conta, o computador deve primeiro ser associado a qualquer domínio na floresta em que o servidor de federação será usado para autenticar usuários dessa floresta ou de florestas confiáveis. |
Associar um Computador a um Domínio |
| Crie um novo registro de recurso no DNS da rede corporativa que aponte o nome de host DNS do servidor de federação para o endereço IP do servidor de federação. |
Adicionar um registro de recurso de host (A) ao DNS corporativo para um servidor de federação |
| (Opcional) Se você estiver adicionando um servidor de federação a um farm de servidores de federação, talvez seja necessário primeiro exportar a chave privada do certificado de assinatura de token existente (no primeiro servidor de federação do farm) para ter um formato de arquivo do certificado pronto quando outros servidores de federação precisarem importar o mesmo certificado. A exportação da chave privada não é necessária quando o certificado de autenticação do servidor emitido puder ser reutilizado por vários computadores (sem a necessidade de exportar) ou quando você obtiver certificados de autenticação de servidor exclusivos para cada servidor de federação no farm. Observação: O snap-in Gerenciamento do AD FS refere-se a certificados de autenticação de servidor para servidores de federação como certificados de comunicação de serviço. |
Exportar a Parte de Chave Privada de um Certificado de Autenticação de Servidor |
| Depois de obter um certificado de autenticação de servidor (ou chave privada) de uma autoridade de certificação (CA), você deve importar o arquivo de certificado para o site padrão de cada servidor de federação. Observação: A instalação deste certificado no site padrão é um requisito antes de poder usar o Assistente de Configuração do Servidor de Federação do AD FS. |
Importar um Certificado de Autenticação de Servidor para o Site Padrão |
| (Opcional) Como alternativa para obter um certificado de autenticação de servidor de uma autoridade de certificação, você pode usar o IIS (Serviços de Informações da Internet) para criar um certificado de exemplo para o servidor de federação. Atenção: Não é uma prática recomendada de segurança implantar um servidor de federação em um ambiente de produção usando um certificado de autenticação de servidor autoassinado. |
IIS: Criar um certificado do Self-Signed Server e, em seguida, conclua o procedimento importar um certificado de autenticação do servidor para o site padrão |
| Se estiver a configurar um ambiente de grupo de servidores de federação numa organização parceira de contas, deve criar e configurar uma conta de serviço dedicada nos Serviços de Domínio Active Directory (AD DS) onde o grupo irá residir e configurar cada servidor de federação no grupo para utilizar essa conta. Ao executar este procedimento, você permitirá que os clientes na rede corporativa se autentiquem em qualquer um dos servidores de federação no farm usando a Autenticação Integrada do Windows. |
Configurar manualmente uma conta de serviço para um farm de servidores de federação |
| Instale o serviço de função Serviço de Federação no computador que irá tornar-se o servidor de federação. |
Instalar o Papel de Serviço de Federação |
| Configure o software AD FS no computador para atuar na função de servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS. Siga este procedimento quando quiser configurar um servidor de federação autônomo, criar o primeiro servidor de federação em um novo farm ou ingressar um computador em um farm de servidores de federação existente. Observação: Para o design SSO (Federated Web Single Sign-On), você deve ter pelo menos um servidor de federação na organização parceira de conta e pelo menos um servidor de federação na organização de parceiro de recurso. |
Criar um do Stand-Alone Federation Server
|
| (Opcional) Use o snap-in de Gestão do AD FS para adicionar e configurar os certificados de AD FS necessários para implantar a sua configuração. Para obter mais informações sobre quando adicionar ou alterar certificados usando o snap-in, consulte Requisitos de certificado para servidores de federação. |
Adicionar um certificado de Token-Signing |
| Se este for o primeiro servidor de federação na sua organização, configure o Serviço de Federação para que esteja em conformidade com o design do AD FS. |
Lista de verificação: configurando a Organização Parceira de Conta
|
| Em um computador cliente, verifique se o servidor de federação está operacional. |
Verifique se um servidor de federação está operacional |