Partilhar via

Implantar os Serviços de Federação do Ative Directory no Azure

Os Serviços de Federação do Ative Directory (AD FS) fornecem recursos simplificados e seguros de federação de identidades e logon único (SSO) na Web. Os usuários federados com o Microsoft Entra ID ou o Microsoft 365 podem se autenticar usando credenciais locais para acessar todos os recursos da nuvem. Como resultado, sua implantação deve ter uma infraestrutura do AD FS altamente disponível para garantir o acesso aos recursos locais e na nuvem.

Implantar o AD FS no Azure pode ajudar a alcançar alta disponibilidade sem muito esforço. Há várias vantagens de implantar o AD FS no Azure:

  • A capacidade dos conjuntos de disponibilidade do Azure proporciona uma infraestrutura de alta disponibilidade.
  • As implantações são fáceis de dimensionar. Se precisar de mais desempenho, você pode migrar facilmente para máquinas mais poderosas usando um processo de implantação simplificado no Azure.
  • A redundância geográfica do Azure garante que sua infraestrutura esteja altamente disponível em todo o mundo.
  • O portal do Azure torna sua infraestrutura mais fácil de gerenciar com opções de gerenciamento altamente simplificadas.

Princípios de conceção

O diagrama a seguir mostra a topologia básica recomendada para implantar a infraestrutura do AD FS no Azure.

Um diagrama que mostra a topologia básica recomendada para implantar a infraestrutura do AD FS no Azure.

Recomendamos que sua topologia de rede siga estes princípios gerais:

  • Implante o AD FS em servidores separados para evitar afetar o desempenho dos controladores de domínio.
  • Você deve implantar servidores WAP (proxy de aplicativo Web) para que os usuários possam acessar o AD FS quando não estiverem na rede da empresa.
  • Você deve configurar os servidores proxy de aplicativos da Web na zona desmilitarizada (DMZ) e permitir apenas o acesso TCP/443 entre a DMZ e a sub-rede interna.
  • Para garantir a alta disponibilidade do AD FS e dos servidores proxy de aplicativos Web, recomendamos o uso de um balanceador de carga interno para servidores AD FS e do Azure Load Balancer para servidores proxy de aplicativos Web.
  • Para fornecer redundância à implantação do AD FS, recomendamos que você agrupe duas ou mais máquinas virtuais (VMs) em um conjunto de disponibilidade para cargas de trabalho semelhantes. Essa configuração garante que, durante um evento de manutenção planejado ou não planejado, pelo menos uma VM esteja disponível.
  • Você deve implantar servidores proxy de aplicativos Web em uma rede DMZ separada. Você pode dividir uma rede virtual em duas sub-redes e, em seguida, implantar os servidores proxy de aplicativo Web em uma sub-rede isolada. Você pode definir as configurações do grupo de segurança de rede para cada sub-rede e permitir apenas a comunicação necessária entre as duas sub-redes.

Implantar a rede

Ao criar uma rede, você pode criar duas sub-redes na mesma rede virtual ou criar duas redes virtuais diferentes. Recomendamos o uso da abordagem de rede única, pois a criação de duas redes virtuais separadas também requer a criação de dois gateways de rede virtual separados para fins de comunicação.

Criar uma rede virtual

Para criar uma rede virtual:

  1. Entre no portal do Azure com sua conta do Azure.

  2. No portal, pesquise e selecione Redes virtuais.

  3. Na página Redes virtuais , selecione + Criar.

  4. Em Criar rede virtual, vá para a guia Noções básicas e configure as seguintes definições:

    • Configure as seguintes configurações em Detalhes do projeto:

      • Em Subscrição, selecione o nome da sua subscrição.

      • Em Grupo de recursos, selecione o nome de um grupo de recursos existente ou selecione Criar novo para criar um novo.

    • Configure as seguintes configurações para detalhes da instância:

      • Para nome da rede virtual, insira um nome para sua rede virtual.

      • Em Região, selecione a região na qual você deseja criar sua rede virtual.

  5. Selecione Avançar.

  6. No separador Segurança , ative qualquer serviço de segurança que pretenda utilizar e, em seguida, selecione Seguinte.

  7. Na guia Endereços IP , selecione o nome da sub-rede que deseja editar. Neste exemplo, estamos editando a sub-rede padrão que o serviço cria automaticamente.

  8. Na página Editar sub-rede , renomeie a sub-rede para INT.

  9. Insira o endereço IP e as informações de tamanho da sub-rede para definir um espaço de endereço IP.

  10. Para grupo de segurança de rede, selecione Criar novo.

  11. Para este exemplo, digite o nome NSG_INT e selecione OK e, em seguida, selecione Salvar. Agora você tem sua primeira sub-rede.

    Captura de ecrã a mostrar como editar uma sub-rede e adicionar um grupo de segurança de rede interna.

  12. Para criar sua segunda sub-rede, selecione + Adicionar uma sub-rede.

  13. Na página Adicionar uma de sub-rede, insira DMZ para o nome da segunda sub-rede e, em seguida, insira informações sobre sua sub-rede nos campos vazios para definir um espaço de endereço IP .

  14. Para grupo de segurança de rede, selecione Criar novo.

  15. Introduza o nome NSG_DMZ, selecione OK e, em seguida, selecione Adicionar.

    Captura de ecrã a mostrar como adicionar uma nova sub-rede que inclui um grupo de segurança de rede.

  16. Selecione Rever + criare depois selecione Criar.

Agora você tem uma rede virtual que inclui duas sub-redes, cada uma com um grupo de segurança de rede associado.

Captura de tela mostrando as novas sub-redes e seus grupos de segurança de rede.

Proteger a rede virtual

Um NSG (grupo de segurança de rede) contém uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para suas instâncias de VM em uma rede virtual. Você pode associar NSGs a sub-redes ou instâncias de VM individuais dentro dessa sub-rede. Quando um NSG é associado a uma sub-rede, as regras da ACL são aplicadas a todas as instâncias de VM nessa sub-rede.

Os NSGs associados às suas sub-redes incluem automaticamente algumas regras padrão de entrada e saída. Não é possível excluir regras de segurança padrão, mas substituí-las por regras com prioridade mais alta. E você pode adicionar mais regras de entrada e saída de acordo com o nível de segurança desejado.

Agora, adicione algumas regras a cada um dos nossos dois grupos de segurança. Para o primeiro exemplo, vamos adicionar uma regra de segurança de entrada ao grupo de segurança NSG_INT .

  1. Na página Sub-redes da sua rede virtual, selecione NSG_INT.

  2. À esquerda, selecione Regras de segurança de entradae, em seguida, selecione + Adicionar.

  3. Em Adicionar regra de segurança de entrada, configure a regra com as seguintes informações:

    • Em Source, digite 10.0.1.0/24.

    • Para os intervalos de portas de origem , deixe-os em branco se não quiser permitir o tráfego, ou selecione um asterisco (*) para permitir o tráfego em qualquer porta.

    • Em Destino, digite 10.0.0.0/24.

    • Em Serviço, selecione HTTPS. O serviço preenche automaticamente os campos de informação para os intervalos de portas de destino e o Protocolo , dependendo do serviço escolhido.

    • Em Ação, selecione Permitir.

    • Em Prioridade, digite 1010.

    • Em Name, digite AllowHTTPSFromDMZ.

    • Em Descrição, digite Permitir a comunicação HTTPS da DMZ.

  4. Depois de terminar, selecione Adicionar.

    Captura de ecrã a mostrar como adicionar uma regra de segurança de entrada. A nova regra de segurança de entrada agora é adicionada ao topo da lista de regras para NSG_INT.

  5. Repita essas etapas com os valores mostrados na tabela a seguir. Além da nova regra que você criou, você deve adicionar as seguintes regras extras na ordem de prioridade listada para ajudar a proteger sua sub-rede interna e DMZ.

    NSG Tipo de regra Source Destination Service Action Priority Name Description
    NSG_INT Outbound Any Etiqueta de serviço/Internet Personalizado (80/Qualquer) Deny 100 DenyInternetOutbound Sem acesso à internet.
    NSG_DMZ Inbound Any Any Personalizado (Asterisco (*)/Qualquer) Allow 1010 AllowHTTPSFromInternet Permitir HTTPS da Internet para a DMZ.
    NSG_DMZ Outbound Any Etiqueta de serviço/Internet Personalizado (80/Qualquer) Deny 100 DenyInternetOutbound Qualquer coisa, exceto HTTPS para internet, está bloqueada.

  6. Depois de concluir a inserção dos valores para cada nova regra, selecione Adicionar e prossiga para a próxima até que duas novas regras de segurança sejam adicionadas para cada NSG.

Após a configuração, as páginas NSG devem se parecer com a seguinte captura de tela:

Captura de tela mostrando seus NSGs depois que você adicionou regras de segurança.

Note

Se a rede virtual exigir autenticação de certificado de usuário cliente, como autenticação clientTLS usando certificados de usuário X.509, você deverá habilitar a porta TCP 49443 para acesso de entrada.

Criar conexão com infraestruturas locais

Você precisa de uma conexão com o local para implantar o DC no Azure. Você pode conectar sua infraestrutura local à infraestrutura do Azure usando uma das seguintes opções:

  • Point-to-site
  • Rede Virtual de site a site
  • ExpressRoute

Recomendamos que utilize o ExpressRoute se a sua organização não necessitar de conexões ponto a site ou site a site da Rede Virtual. O ExpressRoute permite criar conexões privadas entre os datacenters do Azure e a infraestrutura que está em suas instalações ou em um ambiente de colocation. As conexões de Rota Expressa também não se conectam à Internet pública, o que as torna mais confiáveis, rápidas e seguras. Para saber mais sobre a Rota Expressa e as várias opções de conectividade que usam a Rota Expressa, leia visão geral técnica da Rota Expressa.

Criar conjuntos de disponibilidade

Para cada função (DC/AD FS e WAP), crie conjuntos de disponibilidade que contenham pelo menos duas máquinas cada. Essa configuração ajuda a obter maior disponibilidade para cada função. Ao criar os conjuntos de disponibilidade, você deve decidir qual dos seguintes domínios deseja usar:

  • Em um domínio de falha, as VMs compartilham a mesma fonte de alimentação e o mesmo comutador de rede física. Recomendamos um mínimo de dois domínios de falha. O valor padrão é 2 e você pode deixá-lo as-is para essa implantação.

  • Em um domínio de atualização, as máquinas são reiniciadas juntas durante uma atualização. Recomendamos um mínimo de dois domínios de atualização. O valor padrão é 5 e você pode deixá-lo as-is para essa implantação.

Para criar conjuntos de disponibilidade:

  1. Procure e selecione Conjuntos de disponibilidade no portal do Azure e, em seguida, selecione + Criar.

  2. Em Criar conjunto de disponibilidade, vá para a guia Noções básicas e insira as seguintes informações:

    • Em Detalhes do projeto:

      • Em Subscrição, selecione o nome da sua subscrição.

      • Para Grupo de recursos, selecione um grupo de recursos existente ou Criar novo para criar um novo.

    • Em Detalhes da instância:

      • Em Nome, insira o nome do conjunto de disponibilidade. Para este exemplo, insira contosodcset.

      • Em Região, selecione a região que deseja usar.

      • Para domínios de falha, deixe-o no valor padrão de 2.

      • Para Atualizar domínios, deixe-o no valor padrão de 5.

      • Para Usar discos gerenciados, selecione Não (Clássico) para este exemplo.

    Captura de tela mostrando como criar conjuntos de disponibilidade.

  3. Depois de terminar, selecione Rever + criar e, em seguida, Criar.

  4. Repita as etapas anteriores para criar um segundo conjunto de disponibilidade com o nome contososac2.

Implantar máquinas virtuais

A próxima etapa é implantar VMs que hospedam as diferentes funções em sua infraestrutura. Recomendamos um mínimo de duas máquinas em cada conjunto de disponibilidade. Neste exemplo, criamos quatro VMs para a implantação básica.

Para criar VMs:

  1. Procure e selecione Máquinas virtuais no portal do Azure.

  2. Na página Máquinas virtuais , selecione + Criar e escolha Máquina virtual do Azure.

  3. Em Criar uma máquina virtual, vá para a guia Noções básicas e insira as seguintes informações:

    • Em Detalhes do projeto:

      • Em Subscrição, selecione o nome da sua subscrição.

      • Para Grupo de recursos, selecione um grupo de recursos existente ou Criar novo para criar um novo.

    • Em Detalhes da instância:

      • Para nome da máquina virtual, insira um nome para sua VM. Para a primeira máquina neste exemplo, insira contosodc1.

      • Em Região, selecione a região que deseja usar.

      • Para Opções de disponibilidade, selecione Conjunto de disponibilidade.

      • Para Conjunto de disponibilidade, selecione contosodcset

      • Em Tipo de segurança, selecione Padrão.

      • Em Subscrição, selecione o nome da sua subscrição.

      • Em Imagem, selecione a imagem que deseja usar, selecione Configurar geração de VM e selecione Gen 1.

    • Em Conta de administrador:

      • Em Tipo de autenticação, selecione Chave pública SSH.

      • Em Nome de usuário, insira um nome de usuário a ser usado para a conta.

      • Para nome do par de chaves, insira um nome de par de chaves a ser usado para a conta.

    • Para qualquer coisa não especificada, você pode deixar os valores padrão.

  4. Quando terminar, selecione Avançar: Discos. Captura de tela mostrando as primeiras etapas de como criar uma máquina virtual.

  5. Na guia Rede , insira as seguintes informações:

    • Para rede virtual, selecione o nome da rede virtual que contém as sub-redes criadas na seção anterior.

    • Em Sub-rede, selecione sua sub-rede INT .

    • Para o grupo de segurança de rede NIC, selecione Nenhum.

    • Para qualquer coisa não especificada, podes deixar os valores predefinidos. Captura de tela mostrando a guia Rede para saber como criar uma máquina virtual.

  6. Depois de fazer todas as suas escolhas, selecione Rever + criare, em seguida, selecione Criar.

Repita estas etapas usando as informações desta tabela para criar as três VMs restantes:

Nome da máquina virtual Subnet Opções de disponibilidade Conjunto de disponibilidade Conta de armazenamento
contosodc2 INT Conjunto de disponibilidade contosodcset contososac2
contosowap1 DMZ Conjunto de disponibilidade contosowapset contososac1
contosowap2 DMZ Conjunto de disponibilidade contosowapset contososac2

As configurações não especificam o NSG porque o Azure permite que você use o NSG no nível da sub-rede. Você pode controlar o tráfego de rede da máquina usando o NSG individual associado à sub-rede ou ao objeto da placa de interface de rede (NIC). Para obter mais informações, consulte O que é um grupo de segurança de rede (NSG).

Se estiver a gerir o DNS, recomendamos que utilize um endereço IP estático. Você pode usar o DNS do Azure e fazer referência às novas máquinas por seus FQDNs do Azure nos registros DNS do seu domínio. Para obter mais informações, consulte Alterar um endereço IP privado para um IP estático.

A página Máquinas virtuais deve mostrar todas as quatro VMs após a conclusão da implantação.

Configurar os servidores DC e AD FS

Para autenticar qualquer solicitação de entrada, o AD FS precisa entrar em contato com o DC. Para evitar a viagem dispendiosa do Azure para o centro de dados local para autenticação, recomendamos a implementação de uma réplica do centro de dados no Azure. Para atingir alta disponibilidade, é melhor criar um conjunto de disponibilidade de pelo menos dois data centers (DCs).

Controlador de domínio Role Conta de armazenamento
contosodc1 Replica contososac1
contosodc2 Replica contososac2

Recomendamos que você faça o seguinte:

  • Promover os dois servidores como Controladores de Domínio de réplica com DNS

  • Configure os servidores AD FS instalando a função AD FS usando o gerenciador de servidores.

Criar e implantar o ILB (balanceador de carga interno)

Para criar e implantar um ILB:

  1. Procure e selecione Balanceadores de Carga no portal do Azure e escolha + Criar.

  2. Em Criar balanceador de carga, insira ou selecione essas informações na guia Básico:

    • Em Detalhes do projeto:

      • Em Subscrição, selecione o nome da sua subscrição.

      • Para Grupo de recursos, selecione um grupo de recursos existente ou Criar novo para criar um novo.

    • Em Detalhes da instância:

      • Em Nome, insira o nome do seu balanceador de carga.

      • Em Região, selecione a região que deseja usar.

      • Em Tipo, selecione Interno.

    • Deixe SKU e Tier como seus padrões e selecione Next: Frontend IP ConfigurationScreenshot mostrando a guia Basics para saber como criar um balanceador de carga.

  3. Selecione + Adicionar uma configuração de IP frontend, e, em seguida, insira ou selecione estas informações na página Adicionar configuração de IP frontend.

    • Em Nome, insira um nome de configuração IP frontend.

    • Em Rede virtual, selecione a rede virtual onde deseja implantar o AD FS.

    • Em Sub-rede, selecione INT, que foi a sub-rede interna criada na seção anterior.

    • Em Atribuição, selecione Estático.

    • Para Endereço IP, introduza o seu endereço IP.

    • Deixe a zona de disponibilidade como padrão e selecione Adicionar. Captura de tela mostrando como adicionar uma configuração de IP frontend quando você cria um balanceador de carga.

  4. Selecione Próximo: Grupos de servidores backende, em seguida, selecione + Adicionar um grupo de servidores backend.

  5. Na página Adicionar pool de back-end, insira um nome para o pool de back-end no campo Nome. Na área Configurações de IP , selecione + Adicionar.

  6. Na página Adicionar pool de back-end, selecione uma VM para alinhá-la com o pool de back-end, selecione Adicionare, em seguida, selecione Salvar. Captura de tela mostrando como adicionar um pool de back-end ao criar um balanceador de carga.

  7. Selecione Próximo: Regras de entrada.

  8. Na guia Regras de entrada, selecione Adicionar uma regra de balanceamento de carga e insira as seguintes informações na página Adicionar regra de balanceamento de carga :

    • Em Nome, insira um nome para a regra.

    • Para o endereço IP do Frontend , selecione o endereço que criou anteriormente.

    • Para Pool de back-end, selecione o pool de back-end criado anteriormente.

    • Em Protocolo, selecione TCP.

    • Em Porta, digite 443.

    • Para Porta de back-end, selecione Criar novo e insira os seguintes valores para criar uma sonda de integridade:

      • Em Nome, insira o nome da sonda de integridade.

      • Em Protocolo, digite HTTP.

      • Em Porta, digite 80.

      • Em Path, digite /adfs/probe.

      • Para Intervalo, deixe-o no valor padrão de 5.

      • Quando terminar, selecione Guardar.

    • Quando terminar, selecione Salvar para salvar a regra de entrada.

  9. Selecione Salvar para salvar a regra de entrada. Captura de tela mostrando como adicionar regras de balanceamento de carga.

  10. Selecione Rever + criare depois selecione Criar.

Depois de selecionar Criar e o ILB implanta, você pode vê-lo na lista de balanceadores de carga, conforme mostrado na captura de tela a seguir.

Captura de tela mostrando o novo balanceador de carga que você acabou de criar.

Atualizar o servidor DNS com ILB

Usando seu servidor DNS interno, crie um registro A para o ILB. Essa configuração garante que todos os dados transmitidos para fs.contoso.com acabem no ILB usando a rota apropriada. O registo A deve ser para o serviço de federação com o endereço IP a apontar para o endereço IP do ILB. Por exemplo, se o endereço IP ILB for 10.3.0.8 e o serviço de federação instalado for fs.contoso.com, crie um registro A para fs.contoso.com apontando para 10.3.0.8.

Warning

Se estiver a utilizar a Base de Dados Interna do Windows (WID) para a base de dados do AD FS, defina este valor para apontar temporariamente para o servidor AD FS principal. Se você não fizer essa alteração temporária de configuração, o proxy do aplicativo Web falhará no registro. Depois de registrar com êxito todos os servidores proxy de aplicativos Web, altere essa entrada DNS para apontar para o balanceador de carga.

Note

Se sua implantação também estiver usando IPv6, crie um registro AAAA correspondente.

Configurar os servidores proxy de aplicativos Web para alcançar servidores AD FS

Para garantir que os servidores proxy de aplicativos Web consigam acessar os servidores AD FS por trás do ILB, crie um registro no arquivo %systemroot%\system32\drivers\etc\hosts para o ILB. O nome distinto (DN) deve ser o nome do serviço de federação, como fs.contoso.com. E a entrada IP deve ser o endereço IP do ILB, que neste exemplo é 10.3.0.8.

Warning

Se estiver a utilizar a Base de Dados Interna do Windows (WID) para a base de dados do AD FS, defina este valor para apontar temporariamente para o servidor AD FS principal. Se não o fizer, o proxy da aplicação web falhará na inscrição. Depois de registrar com êxito todos os servidores proxy de aplicativos Web, altere essa entrada DNS para apontar para o balanceador de carga.

Instalar a função de proxy de aplicativo Web

Depois de garantir que os servidores proxy de aplicativos Web consigam acessar os servidores AD FS por trás do ILB, você poderá instalar os servidores proxy de aplicativos Web em seguida. Os servidores proxy de aplicativos Web não precisam ser associados ao domínio. Instale as funções de proxy de aplicativo Web nos dois servidores proxy de aplicativo Web selecionando a função Acesso Remoto . O gestor de servidor orienta-o a concluir a instalação WAP.

Para obter mais informações sobre como implantar o WAP, consulte Install and Configure the Web application proxy Server.

Criar e implantar o balanceador de carga (público) voltado para a Internet

Para criar e implantar o balanceador de carga voltado para a Internet:

  1. No portal do Azure, selecione Balanceadores de carga e, em seguida, escolha Criar.

  2. Em Criar balanceador de carga, vá para a guia Noções básicas e defina as seguintes configurações:

    • Em Detalhes do projeto:

      • Em Subscrição, selecione o nome da sua subscrição.

      • Para Grupo de recursos, selecione um grupo de recursos existente ou Criar novo para criar um novo.

    • Em Detalhes da instância:

      • Em Nome, insira o nome do seu balanceador de carga.

      • Em Região, selecione a região que deseja usar.

      • Em Tipo, selecione Público.

    • Deixe SKU e Tier como seus padrões e selecione Next : Frontend IP Configuration

    Captura de tela mostrando como adicionar regras de balanceamento de carga voltadas para o público.

  3. Selecione + Adicionar uma configuração de IP frontend, e, em seguida, insira ou selecione estas informações na página Adicionar configuração de IP frontend.

    • Em Nome, insira um nome de configuração IP frontend.

    • Para Tipo de IP, selecione Endereço IP.

    • Para o Endereço IP Público, selecione o endereço IP público que deseja usar na lista suspensa ou selecione Criar para criar um novo, em seguida, selecione Adicionar.

    Captura de tela mostrando como adicionar uma configuração de IP frontend quando você cria um balanceador de carga público.

  4. Selecione Próximo: Grupos de servidores backende, em seguida, selecione + Adicionar um grupo de servidores backend.

  5. Na página Adicionar pool de back-end, insira um nome para o pool de back-end no campo Nome. Na área Configurações de IP , selecione + Adicionar.

  6. Na página Adicionar pool de back-end, selecione uma VM para alinhá-la com o pool de back-end, selecione Adicionare, em seguida, selecione Salvar. Captura de tela mostrando como adicionar um pool de servidores de back-end ao criar-se um balanceador de carga público.

  7. Selecione Next: Inbound Rulese, em seguida, selecione Adicionar uma regra de balanceamento de carga. Na página Adicionar regra de balanceamento de carga, defina as seguintes configurações:

    • Em Nome, insira um nome para a regra.

    • Para o endereço IP do Frontend , selecione o endereço que criou anteriormente.

    • Para Pool de back-end, selecione o pool de back-end criado anteriormente.

    • Em Protocolo, selecione TCP.

    • Em Porta, digite 443.

    • Para Porta de back-end, digite 443.

    • Para Sonda de integridade, insira os seguintes valores:

      • Em Nome, insira o nome da sonda de integridade.

      • Em Protocolo, digite HTTP.

      • Em Porta, digite 80.

      • Em Path, digite /adfs/probe.

      • Para Intervalo, deixe-o no valor padrão de 5.

      • Quando terminar, selecione Guardar.

    • Quando terminar, selecione Salvar para salvar a regra de entrada.

  8. Selecione Rever + criare depois selecione Criar.

Depois de selecionar Criar e o ILB público implanta, ele deve conter uma lista de balanceadores de carga.

Captura de ecrã mostrando como guardar uma regra de entrada.

Atribuir um rótulo DNS ao IP público

Para configurar o rótulo DNS para o IP público:

  1. No portal do Azure, procure endereços IP públicose, em seguida, selecione o endereço IP que pretende editar.

  2. Em Configurações, selecione Configuração.

  3. Em Fornecer um rótulo DNS (opcional), adicione uma entrada no campo de texto (como fs.contoso.com) que resolva no rótulo DNS do balanceador de carga externo (como contosofs.westus.cloudapp.azure.com).

  4. Selecione Salvar para concluir a atribuição de um rótulo DNS.

Testar a autenticação do AD FS

A maneira mais fácil de testar o AD FS é usando a página IdpInitiatedSignOn.aspx. Para fazer isso, você deve habilitar o IdpInitiatedSignOn nas propriedades do AD FS.

Para verificar se você tem a propriedade IdpInitiatedSignOn habilitada:

  1. No PowerShell, execute o seguinte cmdlet no servidor AD FS para defini-lo como habilitado.

    Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true

  2. A partir de qualquer máquina externa, aceda https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.

  3. Deverá ver a seguinte página do AD FS:

    Captura de ecrã da página de início de sessão de teste.

  4. Tente iniciar sessão. Se iniciar sessão com êxito, deverá ver aparecer uma mensagem, conforme mostrado na captura de ecrã seguinte.

    Captura de tela que mostra a mensagem de sucesso do teste.

Modelo para implantar o AD FS no Azure

O modelo implanta uma configuração de seis máquinas, com duas máquinas cada para Controladores de Domínio, AD FS e WAP.

AD FS no Modelo de Implantação do Azure

Você pode usar uma rede virtual existente ou criar uma nova rede virtual durante a implantação desse modelo. A tabela a seguir lista os parâmetros que você pode usar para personalizar a implantação.

Parameter Description
Location A região na qual você deseja implantar os recursos.
StorageAccountType O tipo de Conta de Armazenamento que você deseja criar.
VirtualNetworkUsage Indica se é necessário criar uma nova rede virtual ou usar uma existente.
VirtualNetworkName O nome da rede virtual. Obrigatório no uso de rede virtual existente ou nova.
VirtualNetworkResourceGroupName Especifica o nome do grupo de recursos onde a rede virtual existente está localizada. Quando você usa uma rede virtual existente, essa opção é um parâmetro obrigatório para que a implantação possa encontrar a ID da rede virtual existente.
VirtualNetworkAddressRange O intervalo de endereços da nova rede virtual. Obrigatório se criar uma nova rede virtual.
InternalSubnetName O nome da sub-rede interna. Obrigatório para opções de uso de rede virtual novas e existentes.
InternalSubnetAddressRange O intervalo de endereços da sub-rede interna, que contém os Controladores de Domínio e os servidores AD FS. Obrigatório se criar uma nova rede virtual.
DMZSubnetAddressRange A faixa de endereços da sub-rede DMZ, que contém os servidores proxy de aplicações Windows. Obrigatório se criar uma nova rede virtual.
DMZSubnetName O nome da sub-rede interna, que é obrigatório nas opções de uso da rede virtual novas e existentes.
ADDC01NICIPAddress O endereço IP interno do primeiro Controlador de Domínio. Este endereço IP é atribuído estaticamente ao controlador de domínio e deve ser um endereço IP válido dentro da sub-rede interna.
ADDC02NICIPAddress O endereço IP interno do segundo Controlador de Domínio. Este endereço IP é atribuído estaticamente ao controlador de domínio e deve ser um endereço IP válido dentro da sub-rede interna.
ADFS01NICIPAddress O endereço IP interno do primeiro servidor AD FS. Esse endereço IP é atribuído estaticamente ao servidor AD FS e deve ser um endereço IP válido dentro da sub-rede interna.
ADFS02NICIPAddress O endereço IP interno do segundo servidor AD FS. Esse endereço IP é atribuído estaticamente ao servidor AD FS e deve ser um endereço IP válido dentro da sub-rede interna.
WAP01NICIPAddress O endereço IP interno do primeiro servidor WAP. Esse endereço IP é atribuído estaticamente ao servidor WAP e deve ser um endereço IP válido dentro da sub-rede DMZ.
WAP02NICIPAddress O endereço IP interno do segundo servidor WAP. Esse endereço IP é atribuído estaticamente ao servidor WAP e deve ser um endereço IP válido dentro da sub-rede DMZ.
ADFSLoadBalancerPrivateIPAddress O endereço IP interno do balanceador de carga do AD FS. Esse endereço IP é atribuído estaticamente ao balanceador de carga e deve ser um endereço IP válido dentro da sub-rede interna.
ADDCVMNamePrefix Prefixo de nome de VM para controladores de domínio.
ADFSVMNamePrefix Prefixo do nome da VM para servidores AD FS.
WAPVMNamePrefix Prefixo do nome da VM para servidores WAP.
ADDCVMSize O tamanho da VM dos Controladores de Domínio.
ADFSVMSize O tamanho da VM dos servidores AD FS.
WAPVMSize O tamanho da VM dos servidores WAP.
AdminUserName O nome do administrador local das VMs.
AdminPassword A senha para a conta de administrador local das VMs.

Próximos passos

  • Last updated on