Hantera och anpassa AD FS med hjälp av Microsoft Entra Connect
I den här artikeln beskrivs hur du hanterar och anpassar Active Directory Federation Services (AD FS) (AD FS) med hjälp av Microsoft Entra Connect.
Du får också lära dig mer om andra vanliga AD FS-uppgifter som du kan behöva utföra för att helt konfigurera en AD FS-servergrupp. Dessa uppgifter visas i följande tabell:
| Uppgift | beskrivning |
|---|---|
| Hantera AD FS | |
| Reparera förtroendet | Lär dig hur du reparerar federationsförtroendet med Microsoft 365. |
| Federera med Microsoft Entra-ID med hjälp av ett alternativt inloggnings-ID | Lär dig hur du konfigurerar federation med hjälp av ett alternativt inloggnings-ID. |
| Lägga till en AD FS-server | Lär dig hur du expanderar en AD FS-servergrupp med en extra AD FS-server. |
| Lägga till en AD FS Web Programproxy-server (WAP) | Lär dig hur du expanderar en AD FS-servergrupp med ytterligare en WAP-server. |
| Lägga till en federerad domän | Lär dig hur du lägger till en federerad domän. |
| Uppdatera TLS/SSL-certifikatet | Lär dig hur du uppdaterar TLS/SSL-certifikatet för en AD FS-servergrupp. |
| Anpassa AD FS | |
| Lägga till en anpassad företagslogotyp eller bild | Lär dig hur du anpassar en AD FS-inloggningssida med företagets logotyp och illustration. |
| Lägga till en inloggningsbeskrivning | Lär dig hur du lägger till en beskrivning av inloggningssidan. |
| Ändra AD FS-anspråksregler | Lär dig hur du ändrar AD FS-anspråk för olika federationsscenarier. |
Hantera AD FS
Du kan utföra olika AD FS-relaterade uppgifter i Microsoft Entra Connect med minimal användarintervention med hjälp av guiden Microsoft Entra Connect. När du har installerat Microsoft Entra Connect genom att köra guiden kan du köra den igen för att utföra andra uppgifter.
Reparera förtroendet
Du kan använda Microsoft Entra Connect för att kontrollera det aktuella hälsotillståndet för AD FS- och Microsoft Entra-ID-förtroendet och sedan vidta lämpliga åtgärder för att reparera förtroendet. Gör följande för att reparera ditt Microsoft Entra-ID och AD FS-förtroende:
Välj Reparera Microsoft Entra ID och ADFS Trust i listan över uppgifter.
På sidan Anslut till Microsoft Entra-ID anger du autentiseringsuppgifterna för hybrididentitetsadministratören för Microsoft Entra-ID och väljer sedan Nästa.
På sidan Autentiseringsuppgifter för fjärråtkomst anger du autentiseringsuppgifterna för domänadministratören.
Välj Nästa.
Microsoft Entra Connect söker efter certifikathälsa och visar eventuella problem.
Sidan Redo att konfigurera visar listan över åtgärder som ska utföras för att reparera förtroendet.
Välj Installera för att reparera förtroendet.
Kommentar
Microsoft Entra Connect kan bara reparera eller agera på certifikat som är självsignerade. Microsoft Entra Connect kan inte reparera certifikat från tredje part.
Federera med Microsoft Entra-ID med hjälp av alternateID
Vi rekommenderar att du behåller det lokala användarens huvudnamn (UPN) och molnets användarhuvudnamn på samma sätt. Om det lokala UPN:t använder en icke-dirigerbar domän (till exempel Contoso.local) eller inte kan ändras på grund av lokala programberoenden rekommenderar vi att du konfigurerar ett alternativt inloggnings-ID. Genom att använda ett alternativt inloggnings-ID kan du konfigurera en inloggningsupplevelse där användare kan logga in med ett annat attribut än deras UPN, till exempel en e-postadress.
Valet av UPN i Microsoft Entra Connect är som standard attributet userPrincipalName i Active Directory. Om du väljer något annat attribut för UPN och federerar med hjälp av AD FS konfigurerar Microsoft Entra Connect AD FS för ett alternativt inloggnings-ID.
Ett exempel på hur du väljer ett annat attribut för UPN visas i följande bild:
Att konfigurera ett alternativt inloggnings-ID för AD FS består av två huvudsteg:
Konfigurera rätt uppsättning utfärdandeanspråk: Utfärdandeanspråkreglerna i microsoft Entra-ID:ts förlitande partsförtroende ändras för att använda det valda attributet UserPrincipalName som alternativt ID för användaren.
Aktivera ett alternativt inloggnings-ID i AD FS-konfigurationen: AD FS-konfigurationen uppdateras så att AD FS kan söka upp användare i lämpliga skogar med hjälp av det alternativa ID:t. Den här konfigurationen stöds för AD FS på Windows Server 2012 R2 (med KB2919355) eller senare. Om AD FS-servrarna är 2012 R2 kontrollerar Microsoft Entra Connect om det finns nödvändig KB. Om KB inte identifieras visas en varning när konfigurationen har slutförts, enligt följande bild:
Om det saknas en KB kan du åtgärda konfigurationen genom att installera de nödvändiga KB2919355. Du kan sedan följa anvisningarna för att reparera förtroendet.
Kommentar
Mer information om alternateID och steg för att konfigurera det manuellt finns i Konfigurera ett alternativt inloggnings-ID.
Lägga till en AD FS-server
Kommentar
För att lägga till en AD FS-server kräver Microsoft Entra Connect ett PFX-certifikat. Därför kan du bara utföra den här åtgärden om du har konfigurerat AD FS-servergruppen med hjälp av Microsoft Entra Connect.
Välj Distribuera ytterligare en federationsserver och välj sedan Nästa.
På sidan Anslut till Microsoft Entra-ID anger du autentiseringsuppgifterna för hybrididentitetsadministratören för Microsoft Entra-ID och väljer sedan Nästa.
Ange autentiseringsuppgifterna för domänadministratören.
Microsoft Entra Connect frågar efter lösenordet för PFX-filen som du angav när du konfigurerade din nya AD FS-servergrupp med Microsoft Entra Connect. Välj Ange lösenord för att ange lösenordet för PFX-filen.
På sidan AD FS-servrar anger du servernamnet eller IP-adressen som ska läggas till i AD FS-servergruppen.
Välj Nästa och fortsätt sedan att slutföra den sista sidan Konfigurera .
När Microsoft Entra Connect har lagt till servrarna i AD FS-servergruppen får du möjlighet att verifiera anslutningen.
Lägga till en AD FS WAP-server
Kommentar
För att lägga till en webbserver Programproxy kräver Microsoft Entra Connect PFX-certifikatet. Därför kan du bara utföra den här åtgärden när du har konfigurerat AD FS-servergruppen med hjälp av Microsoft Entra Connect.
Välj Distribuera webb Programproxy i listan över tillgängliga uppgifter.
Ange autentiseringsuppgifterna för Azure Hybrid Identity Administrator.
På sidan Ange SSL-certifikat anger du lösenordet för PFX-filen som du angav när du konfigurerade AD FS-servergruppen med Microsoft Entra Connect.
Lägg till den server som ska läggas till som en WAP-server. Eftersom WAP-servern kanske inte är ansluten till domänen ber guiden om administrativa autentiseringsuppgifter till servern som läggs till.
På sidan Autentiseringsuppgifter för proxyförtroende anger du administrativa autentiseringsuppgifter för att konfigurera proxyförtroendet och få åtkomst till den primära servern i AD FS-servergruppen.
På sidan Redo att konfigurera visar guiden listan över åtgärder som ska utföras.
Välj Installera för att slutföra konfigurationen. När konfigurationen är klar ger guiden dig möjlighet att verifiera anslutningen till servrarna. Välj Verifiera för att kontrollera anslutningen.
Lägga till en federerad domän
Det är enkelt att lägga till en domän som ska federeras med Microsoft Entra-ID med hjälp av Microsoft Entra Connect. Microsoft Entra Connect lägger till domänen för federation och ändrar anspråksreglerna för att korrekt återspegla utfärdaren när du har flera domäner federerade med Microsoft Entra-ID.
Om du vill lägga till en federerad domän väljer du Lägg till ytterligare en Microsoft Entra-domän.
På nästa sida i guiden anger du autentiseringsuppgifterna hybridadministratör för Microsoft Entra-ID.
På sidan Autentiseringsuppgifter för fjärråtkomst anger du autentiseringsuppgifterna för domänadministratören.
På nästa sida innehåller guiden en lista över Microsoft Entra-domäner som du kan federera din lokala katalog med. Välj domänen i listan.
När du har valt domänen informerar guiden dig om ytterligare åtgärder som den kommer att vidta och effekten av konfigurationen. Om du i vissa fall väljer en domän som ännu inte har verifierats i Microsoft Entra-ID hjälper guiden dig att verifiera domänen. Mer information finns i Lägga till ditt anpassade domännamn i Microsoft Entra-ID.
Välj Nästa.
På sidan Redo att konfigurera visas de åtgärder som Microsoft Entra Connect ska utföra.
Välj Installera för att slutföra konfigurationen.
Kommentar
Användare i den tillagda federerade domänen måste synkroniseras innan de kan logga in på Microsoft Entra-ID.
Anpassa AD FS
Följande avsnitt innehåller information om några av de vanliga uppgifter som du kan behöva utföra för att anpassa ad FS-inloggningssidan.
Lägga till en anpassad företagslogotyp eller bild
Om du vill ändra logotypen för företaget som visas på inloggningssidan använder du följande PowerShell-cmdlet och syntax.
Kommentar
De rekommenderade dimensionerna för logotypen är 260 x 35 @ 96 dpi med en filstorlek som inte är större än 10 KB.
Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}
Kommentar
Parametern TargetName krävs. Standardtemat som släpps med AD FS heter Standard.
Lägga till en inloggningsbeskrivning
Om du vill lägga till en beskrivning av inloggningssidan på inloggningssidan använder du följande PowerShell-cmdlet och syntax.
Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"
Ändra AD FS-anspråksregler
AD FS stöder ett omfattande anspråksspråk som du kan använda för att skapa anpassade anspråksregler. Mer information finns i Rollen för anspråksregelspråket.
I följande avsnitt beskrivs hur du kan skriva anpassade regler för vissa scenarier som rör Microsoft Entra-ID och AD FS-federation.
Oföränderligt ID villkorat av att ett värde finns i attributet
Med Microsoft Entra Connect kan du ange ett attribut som ska användas som källankare när objekt synkroniseras med Microsoft Entra-ID. Om värdet i det anpassade attributet inte är tomt kanske du vill utfärda ett oföränderligt ID-anspråk.
Du kan till exempel välja ms-ds-consistencyguid som attribut för källankaret och utfärda ImmutableID som ms-ds-consistencyguid om attributet har ett värde mot det. Om det inte finns något värde mot attributet utfärdar objectGuid du det oföränderliga ID:t. Du kan skapa uppsättningen anpassade anspråksregler enligt beskrivningen i följande avsnitt.
Regel 1: Frågeattribut
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);
I den här regeln frågar du efter värdena ms-ds-consistencyguid för och objectGuid för användaren från Active Directory. Ändra butiksnamnet till ett lämpligt butiksnamn i AD FS-distributionen. Ändra även anspråkstypen till en korrekt anspråkstyp för din federation, enligt definitionen för objectGuid och ms-ds-consistencyguid.
Genom att använda add och inte issueundviker du också att lägga till ett utgående problem för entiteten och kan använda värdena som mellanliggande värden. du utfärdar anspråket i en senare regel när du har fastställt vilket värde som ska användas som oföränderligt ID.
Regel 2: Kontrollera om ms-ds-consistencyguid finns för användaren
NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");
Den här regeln definierar en tillfällig flagga med namnet idflag som är inställd på useguid om det inte finns någon ms-ds-consistencyguid ifylld för användaren. Logiken bakom detta är att AD FS inte tillåter tomma anspråk. När du lägger till anspråk http://contoso.com/ws/2016/02/identity/claims/objectguid och http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid i regel 1 får du ett msdsconsistencyguid-anspråk endast om värdet fylls i för användaren. Om den inte är ifylld ser AD FS att det har ett tomt värde och släpper det omedelbart. Alla objekt kommer att ha objectGuid, så att anspråket alltid kommer att finnas där när regel 1 har körts.
Regel 3: Utfärda ms-ds-consistencyguid som oföränderligt ID om det finns
c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);
Det här är en implicit Exist kontroll. Om värdet för anspråket finns utfärdar du det som det oföränderliga ID:t. I föregående exempel används anspråket nameidentifier . Du måste ändra detta till lämplig anspråkstyp för det oföränderliga ID:t i din miljö.
Regel 4: Utfärda objectGuid som ett oföränderligt ID om ms-ds-consistencyGuid inte finns
c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);
Med den här regeln kontrollerar du bara den tillfälliga flaggan idflag. Du bestämmer om du vill utfärda anspråket baserat på dess värde.
Kommentar
Sekvensen för dessa regler är viktig.
Enkel inloggning med underdomän-UPN
Du kan lägga till fler än en domän som ska federeras med hjälp av Microsoft Entra Connect, enligt beskrivningen i Lägg till en ny federerad domän. Microsoft Entra Connect version 1.1.553.0 och senare skapar du rätt anspråksregel för issuerID automatiskt. Om du inte kan använda Microsoft Entra Connect version 1.1.553.0 eller senare rekommenderar vi att du använder verktyget Microsoft Entra RPT-anspråksregler för att generera och ange rätt anspråksregler för Microsoft Entra ID-förlitande partförtroende.
Nästa steg
Läs mer om alternativ för användarinloggning.