Поделиться через

Требования AD FS

Требования для развертывания Active Directory Federation Services (AD FS) следующие:

Требования к сертификату

TLS/SSL-сертификаты

Каждый сервер AD FS и прокси-сервер веб-приложения имеет TLS/SSL-сертификат для обслуживания HTTPS-запросов к службе федерации. Прокси веб-приложения может иметь дополнительные сертификаты для обслуживания запросов опубликованных приложений.

Рекомендации по TLS/SSL-сертификатам

Используйте один и тот же TLS/SSL-сертификат для всех серверов федерации AD FS и прокси-серверов веб-приложений.

Требования к TLS/SSL-сертификатам

TLS/SSL-сертификаты на серверах федерации должны соответствовать следующим требованиям:

  • Сертификат является публично доверенным (для производственных развертываний).
  • Сертификат содержит значение расширенного использования ключа проверки подлинности сервера (EKU).
  • Сертификат содержит имя службы федерации, такое как fs.contoso.com, в субъекте или альтернативном имени субъекта (АИС).
  • Для проверки подлинности сертификата пользователя через порт 443 сертификат содержит certauth.\<federation service name\>, например certauth.fs.contoso.com в SAN.
  • Для регистрации устройств или для современной проверки подлинности для локальных ресурсов с использованием клиентов более ранних версий Windows, чем Windows 10, SAN должен содержать enterpriseregistration.\<upn suffix\> для каждого суффикса имени пользователя (UPN), используемого в вашей организации.

Tls/SSL-сертификаты прокси веб-приложения должны соответствовать следующим требованиям:

  • Если прокси-сервер используется для прокси-запросов AD FS, использующих встроенную проверку подлинности Windows, прокси-сертификат TLS/SSL должен совпадать (использовать тот же ключ), что и TLS/SSL-сертификат сервера федерации.
  • Если свойство AD FS, ExtendedProtectionTokenCheck, включено (это установлено по умолчанию в AD FS), TLS/SSL-сертификат прокси должен совпадать с сертификатом TLS/SSL сервера федерации и использовать тот же ключ.
  • В противном случае требования к SSL-сертификату прокси-сервера совпадают с требованиями к TLS/SSL-сертификату сервера федерации.

Сертификат связи со службой

Этот сертификат не требуется для большинства сценариев AD FS, включая идентификатор Microsoft Entra и Office 365. По умолчанию AD FS настраивает TLS/SSL-сертификат, предоставленный при начальной настройке в качестве сертификата связи службы.

Рекомендация по сертификату служебной коммуникации

  • Используйте тот же сертификат, что и для TLS/SSL.

Сертификат подписи токена

Этот сертификат используется для подписывания выданных токенов сторонам, полагающимся на них, поэтому приложения сторон, полагающихся на них, должны распознавать сертификат и связанный с ним ключ как известный и доверенный. При изменении сертификата подписи маркера, например, при истечении срока его действия и настройке нового сертификата, все доверяющие стороны должны быть обновлены.

Рекомендация по сертификату подписи токенов

Используйте по умолчанию внутренне созданные самозаверяющие сертификаты для подписания токенов AD FS.

Требования к сертификату подписи токена

  • Если вашей организации требуется, чтобы сертификаты из инфраструктуры открытых ключей предприятия (PKI) использовались для подписания токенов, это требование можно выполнить, используя параметр SigningCertificateThumbprint командлета Install-AdfsFarm.
  • Независимо от того, используете ли вы сертификаты, созданные по умолчанию, или внешние зарегистрированные сертификаты, при изменении сертификата подписи маркера необходимо убедиться, что все доверяющие стороны обновлены новыми сведениями о сертификате. В противном случае доверяющие стороны не могут войти в систему.

Шифрование и расшифровка сертификата токена

Этот сертификат используется поставщиками удостоверений, которые шифруют токены, выданные для AD FS.

Рекомендация по шифрованию и расшифровке сертификата токена

Используйте самозаверяющие сертификаты для расшифровки токенов, которые сгенерированы по умолчанию в AD FS.

Требования к шифрованию и расшифровке сертификата токена

  • Если вашей организации требуется, чтобы сертификаты из корпоративного PKI использовались для подписи токенов, это требование можно выполнить с помощью параметра DecryptingCertificateThumbprint командлета Install-AdfsFarm.
  • Независимо от того, используете ли вы внутренне сгенерированные сертификаты по умолчанию или внешне зарегистрированные сертификаты, при изменении сертификата дешифрования маркера следует удостовериться, что все поставщики утверждений обновили новыми данными сертификата. В противном случае, попытки входа с использованием устаревших поставщиков утверждений будут неудачными.

Осторожность

Сертификаты, используемые для подписи, расшифровки и шифрования токенов, имеют критическое значение для стабильности службы федерации. Клиенты, управляющие собственными сертификатами для подписания, расшифровки и шифрования токенов, должны обеспечить резервное копирование этих сертификатов и их доступность независимо во время инцидента восстановления.

Сертификаты пользователей

  • При использовании проверки подлинности сертификата пользователя x509 с AD FS все сертификаты пользователей должны быть привязаны к корневому центру сертификации, которому доверяют серверы AD FS и прокси-серверы веб-приложений.

Требования к оборудованию

Требования к оборудованию для прокси-сервера AD FS и прокси-сервера веб-приложений (физические или виртуальные) зависят от ЦП, поэтому следует настроить ферму в соответствии с производительностью обработки.

Требования к памяти и диску для AD FS являются довольно статическими. Требования показаны в следующей таблице:

Требования к оборудованию Минимальные требования рекомендуемое требование
ОЗУ 2 ГБ 4 ГБ
Место на диске 32 Гб 100 ГБ

Требования к оборудованию SQL Server

Если вы используете Azure SQL для базы данных конфигурации AD FS, определите размер SQL Server в соответствии с основными рекомендациями для SQL Server. Размер базы данных AD FS невелик, и AD FS не ставит значительную нагрузку на обработку экземпляра базы данных. Однако AD FS подключается к базе данных несколько раз во время проверки подлинности, поэтому сетевое подключение должно быть надежным. К сожалению, SQL Azure не поддерживается для базы данных конфигурации AD FS.

Требования к прокси-серверу

  • Чтобы получить доступ к экстрасети, необходимо развернуть роль службы прокси веб-приложений — это часть роли сервера удаленного доступа.

  • Сторонние прокси-серверы должны поддерживать протокол MS-ADFSPIP для поддержки в качестве прокси-сервера AD FS. Список сторонних поставщиков см. в статье "Часто задаваемые вопросы (FAQ) о AD FS".

  • Для AD FS 2016 требуются прокси-серверы веб-приложения в Windows Server 2016. Прокси-сервер нижнего уровня нельзя настроить для фермы AD FS 2016, работающей на уровне поведения фермы 2016 года.

  • Сервер федерации и служба прокси-роли веб-приложения не могут быть установлены на одном компьютере.

Требования к AD DS

Требования к контроллеру домена

  • AD FS требует контроллеров домена под управлением Windows Server 2008 или более поздней версии.

  • Для Windows Hello для бизнеса требуется по крайней мере один контроллер домена Windows Server 2016.

Примечание.

Вся поддержка сред с контроллерами домена Windows Server 2003 прекращена. Дополнительные сведения см. в информацией о жизненном цикле Майкрософт.

Требования к функциональному уровню домена

  • Все домены учетных записей пользователей и домен, к которому присоединены серверы AD FS, должны работать на функциональном уровне домена Windows Server 2003 или более поздней версии.

  • Для проверки подлинности сертификата клиента требуется функциональный уровень домена Windows Server 2008 или более поздней версии, если сертификат явно сопоставлен с учетной записью пользователя в AD DS.

Требования к схеме

  • Для новых установок AD FS 2016 требуется схема Active Directory 2016 (минимальная версия 85).

  • Для повышения уровня поведения фермы AD FS (FBL) до уровня 2016 требуется схема Active Directory 2016 (минимальная версия 85).

Требования к учетной записи службы

  • Любую стандартную учетную запись домена можно использовать в качестве учетной записи службы для AD FS. Кроме того, поддерживаются управляемые учетные записи служб группы. Разрешения, необходимые во время выполнения, автоматически добавляются при настройке AD FS.

  • Назначение прав пользователя, необходимое для учетной записи службы AD, вход в систему в качестве службы.

  • Назначения прав пользователей, необходимые для NT Service\adfssrv и NT Service\drs: создание аудитов безопасности, и вход в систему как служба.

  • Для групповых управляемых учетных записей служб требуется по крайней мере один контроллер домена под управлением Windows Server 2012 или более поздней версии. Группа управляемой учетной записи службы gMSA должна находиться в контейнере CN=Managed Service Accounts по умолчанию.

  • Для аутентификации Kerberos имя главного субъекта службы "HOST/<adfs\_service\_name>" должно быть зарегистрировано в учетной записи службы AD FS. По умолчанию AD FS настраивает это требование при создании новой фермы AD FS. Если этот процесс завершается сбоем, например, при возникновении конфликта или нехватке разрешений, вы увидите предупреждение, и вам следует добавить его вручную.

Требования к домену

  • Все серверы AD FS должны быть присоединены к домену AD DS.

  • Все серверы AD FS в ферме должны быть развернуты в одном домене.

  • Установка первого узла фермы AD FS зависит от доступности PDC.

Требования к многолесным лесам

  • Домен, к которому присоединены серверы AD FS, должен доверять каждому домену или лесу, содержащему пользователей, аутентифицирующихся в службе AD FS.

  • Лес, в который входит учетная запись службы AD FS, должен доверять всем лесам входа пользователей.

  • Учетная запись службы AD FS должна иметь разрешения на чтение атрибутов пользователей в каждом домене, который содержит проверку подлинности пользователей в службе AD FS.

Требования к базе данных конфигурации

В этом разделе описываются требования и ограничения для ферм AD FS, которые используют соответственно внутреннюю базу данных Windows (WID) или SQL Server в качестве базы данных:

WID

  • Профиль разрешения артефактов SAML 2.0 не поддерживается в ферме WID.

  • Обнаружение воспроизведения токенов не поддерживается в ферме WID. Эта функция используется исключительно в сценариях, когда AD FS выступает в роли поставщика федерации и принимает токены безопасности от внешних поставщиков заявлений.

В следующей таблице приводится сводка о том, сколько серверов AD FS поддерживаются в WID и ферме SQL Server.

1-100 доверительных фондов RP Более 100 трастов RP
1–30 узлов AD FS: поддерживается WID 1–30 узлов AD FS: не поддерживается с помощью WID — требуется SQL
Более 30 узлов AD FS: не поддерживается с использованием WID — требуется SQL. Более 30 узлов AD FS: не поддерживается с использованием WID — требуется SQL.

SQL Server

  • Для AD FS в Windows Server 2016 поддерживаются SQL Server 2008 и более поздние версии.

  • Поддерживаются разрешение артефактов протокола SAML и обнаружение повторов токенов в ферме SQL Server.

Требования к браузеру

При выполнении проверки подлинности AD FS с помощью браузера или элемента управления браузером браузер должен соответствовать следующим требованиям:

  • JavaScript должен быть включен.

  • Для единого входа браузер клиента должен быть настроен для разрешения файлов cookie.

  • Необходимо поддерживать указание имени сервера (SNI).

  • Для проверки подлинности сертификата пользователя & сертификата устройства браузер должен поддерживать проверку подлинности сертификата клиента TLS/SSL.

  • Для простого входа с помощью встроенной проверки подлинности Windows имя службы федерации (например, https:\/\/fs.contoso.com) необходимо настроить в локальной зоне интрасети или зоне надежных сайтов.

Требования к сети

Требования к брандмауэру

Брандмауэры, расположенные между прокси-сервером веб-приложения и фермой серверов федерации, а также между клиентами и прокси-сервером веб-приложения, должны иметь входящий порт TCP 443.

Кроме того, если вам нужна аутентификация пользователя клиента с помощью сертификата (clientTLS-аутентификация с использованием пользовательских сертификатов X509), и у вас не включен порт 443 на конечной точке certauth. Для AD FS 2016 необходимо включить входящий трафик через TCP-порт 49443 в брандмауэре между клиентами и прокси-сервером веб-приложения. Это требование не применяется к брандмауэру между прокси-сервером веб-приложения и серверами федерации.

Дополнительные сведения о требованиях к гибридным портам и протоколам см. в Требуемые порты и протоколы для гибридной идентификации.

Дополнительные сведения см. в рекомендации по защите служб федерации Active Directory

Требования к DNS

  • Для доступа к интрасети все клиенты, обращающиеся к службе AD FS в внутренней корпоративной сети (интрасети), должны иметь возможность разрешить имя службы AD FS в подсистему балансировки нагрузки для серверов AD FS или сервера AD FS.

  • Для доступа к экстрасети все клиенты, обращающиеся к службе AD FS за пределами корпоративной сети (экстрасети или Интернета), должны иметь возможность разрешить имя службы AD FS в подсистему балансировки нагрузки для серверов прокси веб-приложений или прокси-сервера веб-приложения.

  • Каждый прокси-сервер веб-приложения в демилитаризованной зоне (DMZ) должен иметь возможность разрешить имя службы AD FS подсистеме балансировки нагрузки для серверов AD FS или сервера AD FS. Эту конфигурацию можно создать с помощью альтернативного сервера системы доменных имен (DNS) в сети DMZ или путем изменения разрешения локального сервера с помощью файла HOSTS.

  • Для встроенной проверки подлинности Windows необходимо использовать запись DNS типа A (не CNAME) для имени службы федерации.

  • Для проверки подлинности сертификата пользователя через порт 443, "certauth.<имя службы федерации>" необходимо настроить в DNS для разрешения на сервер федерации или прокси веб-приложения.

  • Для регистрации устройств с помощью клиентов до Windows 10 или современной проверки подлинности для локальных ресурсов, enterpriseregistration.\<upn suffix\>, для каждого суффикса UPN, используемого в организации, необходимо настроить эти суффиксы для разрешения на сервер федерации или прокси веб-приложения.

Требования подсистемы балансировки нагрузки

  • Подсистема балансировки нагрузки не должна завершать TLS/SSL. AD FS поддерживает несколько вариантов использования с проверкой подлинности сертификата, которая прерывается при завершении TLS/SSL. Завершение TLS/SSL в подсистеме балансировки нагрузки не поддерживается для любого варианта использования.
  • Используйте подсистему балансировки нагрузки, которая поддерживает SNI. В случае, если это не так, использование резервной привязки 0.0.0.0 на сервере AD FS или прокси-сервере веб-приложения должно предоставить обходное решение.
  • Используйте конечные точки пробы работоспособности HTTP (не HTTPS) для проверки работоспособности подсистемы балансировки нагрузки для маршрутизации трафика. Это требование позволяет избежать проблем, связанных с SNI. Ответ на эти конечные точки пробы — это протокол HTTP 200 OK и обслуживается локально без зависимости от внутренних служб. Пробу HTTP можно получить через протокол HTTP с помощью пути "/adfs/probe"
    • http://<Web Application Proxy name>/adfs/probe
    • http://<AD FS server name>/adfs/probe
    • http://<Web Application Proxy IP address>/adfs/probe
    • http://<AD FS IP address>/adfs/probe
  • Не рекомендуется использовать распределение нагрузки посредством DNS в качестве способа балансировки нагрузки. Использование этого типа балансировки нагрузки не обеспечивает автоматизированный способ удаления узла из подсистемы балансировки нагрузки с помощью проб работоспособности.
  • Не рекомендуется использовать сопоставление сеансов на основе IP-адресов или закрепленные сессии для аутентификационного трафика в AD FS в контексте балансировки нагрузки. Вы можете вызвать перегрузку определенных узлов при использовании устаревшего протокола проверки подлинности для почтовых клиентов для подключения к почтовым службам Office 365 (Exchange Online).

Требования к разрешениям

Администратор, выполняющий установку и начальную конфигурацию AD FS, должен иметь разрешения локального администратора на сервере AD FS. Если у локального администратора нет разрешений на создание объектов в Active Directory, сначала у него должен быть администратор домена, создающий необходимые объекты AD, а затем настроить ферму AD FS с помощью параметра adminConfiguration.