AD FS kullanarak Azure Sanal Masaüstü için çoklu oturum açmayı yapılandırma
Bu makale, Azure Sanal Masaüstü için Active Directory Federasyon Hizmeti (AD FS) çoklu oturum açma (SSO) yapılandırma işleminde size yol gösterir.
Önkoşullar
AD FS çoklu oturum açmayı yapılandırmadan önce ortamınızda aşağıdaki kurulumun çalıştırılması gerekir:
Windows 10 veya Windows 11'in desteklenen bir sürümünü çalıştıran oturum konakları.
Active Directory Sertifika Hizmetleri (CA) rolünü dağıtmanız gerekir. Rolü çalıştıran tüm sunucuların etki alanına katılmış olması, en son Windows güncelleştirmelerinin yüklü olması ve kurumsal sertifika yetkilileri olarak yapılandırılması gerekir.
Active Directory Federasyon Hizmetleri (AD FS) (AD FS) rolünü dağıtmanız gerekir. Bu rolü çalıştıran tüm sunucuların etki alanına katılmış olması, en son Windows güncelleştirmelerinin yüklü olması ve Windows Server 2016 veya üzerini çalıştırıyor olması gerekir. Bu rolü ayarlamaya başlamak için federasyon öğreticimize bakın.
Ortamınızın AD FS sunucularıyla bağlantısını güvence altına almak için Web Uygulama Ara Sunucusu rolünü ayarlamanızı öneririz. Bu rolü çalıştıran tüm sunucularda en son Windows güncelleştirmeleri yüklü olmalı ve Windows Server 2016 veya üzerini çalıştırıyor olmalıdır. Bu rolü ayarlamaya başlamak için bu Web Uygulama Ara Sunucusu kılavuzuna bakın.
Kullanıcıları Microsoft Entra Id ile eşitlemek için Microsoft Entra Connect'i dağıtmanız gerekir. Microsoft Entra Connect federasyon modunda yapılandırılmalıdır.
AD FS sunucusunda Azure Sanal Masaüstü için PowerShell ortamınızı ayarlayın.
Not
Bu çözüm Microsoft Entra Domain Services ile desteklenmez. Active Directory Etki Alanı Hizmetleri etki alanı denetleyicisi kullanmalısınız.
Desteklenen istemciler
Aşağıdaki Azure Sanal Masaüstü istemcileri bu özelliği destekler:
Sertifika yetkilisini sertifika vermek için yapılandırma
AD FS'nin SSO kullanabilmesi için aşağıdaki sertifika şablonlarını düzgün bir şekilde oluşturmanız gerekir:
- İlk olarak, Exchange Kayıt Aracısı (Çevrimdışı İstek) sertifika şablonunu oluşturmanız gerekir. AD FS, kullanıcı adına sertifika istemek için Exchange Kayıt Aracısı sertifika şablonunu kullanır.
- Ayrıca AD FS'nin oturum açma sertifikasını oluşturmak için kullanacağı Smartcard Oturum Açma sertifikası şablonunu da oluşturmanız gerekir.
Bu sertifika şablonlarını oluşturduktan sonra, AD FS'nin bunları isteyebilmesi için şablonları sertifika yetkilisinde etkinleştirmeniz gerekir.
Not
Bu çözüm, bir kullanıcı her oturum açtığında yeni kısa vadeli sertifikalar oluşturur ve bu da çok sayıda kullanıcınız varsa Sertifika Yetkilisi veritabanını doldurabilir. Kalıcı olmayan sertifika işleme için bir CA ayarlayarak veritabanınızı aşırı yüklemekten kaçınabilirsiniz. Bunu yaparsanız, yinelenen akıllı kart oturum açma sertifikası şablonunda SERTIFIKA veritabanında yalnızca Sertifikaları ve istekleri depolama'yı etkinleştirdiğinizden emin olun. İptal bilgilerini verilen sertifikalara eklemeyin seçeneğini etkinleştirmeyin; aksi durumda yapılandırma çalışmaz.
Kayıt aracısı sertifika şablonunu oluşturma
Ortamınıza bağlı olarak, İş İçin Windows Hello, Oturum açma sertifikaları veya VPN sertifikaları gibi diğer amaçlar için zaten bir kayıt aracısı sertifika şablonu yapılandırmış olabilirsiniz. Öyleyse, SSO'nun desteklenecek şekilde değiştirilmesi gerekir. Aksi takdirde yeni bir şablon oluşturabilirsiniz.
Zaten bir kayıt aracısı sertifika şablonu kullanıp kullanmadığınıza karar vermek için AD FS sunucusunda aşağıdaki PowerShell komutunu çalıştırın ve bir değerin döndürülp döndürülmediğini görün. Boşsa yeni bir kayıt aracısı sertifika şablonu oluşturun. Aksi takdirde, adı unutmayın ve mevcut kayıt aracısı sertifika şablonunu güncelleştirin.
Import-Module adfs
(Get-AdfsCertificateAuthority).EnrollmentAgentCertificateTemplateName
Yeni bir kayıt aracısı sertifika şablonu oluşturmak için:
Microsoft Yönetim Konsolu'nu başlatmak için sertifika yetkilisinde Başlat menüsü mmc.exe çalıştırın.
Dosya Seç...>Ekle/Uzak Ek Bileşen...>Sertifika Şablonları>Sertifika şablonlarının listesini görüntülemek için Tamam ekle'yi>> seçin.
Sertifika Şablonları'nı genişletin, Exchange Kayıt Aracısı (Çevrimdışı İstek) öğesine sağ tıklayın ve Yinelenen Şablon'a tıklayın.
Genel sekmesini seçin, ardından Şablon görünen adı alanına "ADFS Kayıt Aracısı" girin. Bu, şablon adını otomatik olarak "ADFSEnrollmentAgent" olarak ayarlar.
Güvenlik sekmesini ve ardından Ekle...'yi seçin.
Ardından Nesne Türleri... ve ardından Hizmet Hesapları'nı ve ardından Tamam'ı seçin.
AD FS için hizmet hesabı adını girin ve Tamam'ı seçin.
- Yalıtılmış bir AD FS kurulumunda hizmet hesabı "adfssvc$" olarak adlandırılır
- AD FS'yi Microsoft Entra Connect kullanarak ayarlarsanız hizmet hesabı "aadcsvc$" olarak adlandırılır
Hizmet hesabı eklendikten ve Güvenlik sekmesinde görünür olduktan sonra, Grup veya kullanıcı adları bölmesinde bu hesabı seçin, AD FS hizmet hesabı izinleri bölmesinde hem "Kaydet" hem de "Otomatik Kaydet" için izin ver'i ve ardından kaydetmek için Tamam'ı seçin.
Mevcut bir kayıt aracısı sertifika şablonunu güncelleştirmek için:
- Microsoft Yönetim Konsolu'nu başlatmak için sertifika yetkilisinde Başlat menüsü mmc.exe çalıştırın.
- Dosya Seç...>Ekle/Uzak Ek Bileşen...>Sertifika Şablonları>Sertifika şablonlarının listesini görüntülemek için Tamam ekle'yi>> seçin.
- Sertifika Şablonları'nı genişletin, AD FS sunucusunda yapılandırılan şablona karşılık gelen şablona çift tıklayın. Genel sekmesinde, şablon adı yukarıda bulduğunuz adla eşleşmelidir.
- Güvenlik sekmesini ve ardından Ekle...'yi seçin.
- Ardından Nesne Türleri... ve ardından Hizmet Hesapları'nı ve ardından Tamam'ı seçin.
- AD FS için hizmet hesabı adını girin ve Tamam'ı seçin.
- Yalıtılmış bir AD FS kurulumunda hizmet hesabı "adfssvc$" olarak adlandırılır
- AD FS'yi Microsoft Entra Connect kullanarak ayarlarsanız hizmet hesabı "aadcsvc$" olarak adlandırılır
- Hizmet hesabı eklendikten ve Güvenlik sekmesinde görünür olduktan sonra, Grup veya kullanıcı adları bölmesinde bu hesabı seçin, AD FS hizmet hesabı izinleri bölmesinde hem "Kaydet" hem de "Otomatik Kaydet" için izin ver'i ve ardından kaydetmek için Tamam'ı seçin.
Smartcard Oturum Açma sertifikası şablonu oluşturma
Smartcard Oturum Açma sertifika şablonunu oluşturmak için:
Microsoft Yönetim Konsolu'nu başlatmak için sertifika yetkilisinde Başlat menüsü mmc.exe çalıştırın.
Dosya Seç...>Ekle/Uzak Ek Bileşen...>Sertifika Şablonları>Sertifika şablonlarının listesini görüntülemek için Tamam ekle'yi>seçin.
Sertifika Şablonları'nı genişletin, Akıllı Kart Oturumu'na sağ tıklayın ve Yinelenen Şablon'a tıklayın.
Genel sekmesini seçin, ardından Şablon görünen adı alanına "ADFS SSO" girin. Bu, şablon adını otomatik olarak "ADFSSSO" olarak ayarlar.
Not
Bu sertifika isteğe bağlı olarak istendiğinden geçerlilik süresini 8 saate, yenileme süresini 1 saate kısaltmanızı öneririz.
Konu adı sekmesini ve ardından istekte Tedarik'i seçin. Bir uyarı iletisi gördüğünüzde Tamam'ı seçin.
Verme Gereksinimleri sekmesini seçin.
Bu sayıda yetkili imza'ya tıklayın ve 1 değerini girin.
Uygulama ilkesi için Sertifika İsteği Aracısı'ni seçin.
Güvenlik sekmesini ve ardından Ekle...'yi seçin.
Nesne Türleri..., Hizmet Hesapları ve Tamam'ı seçin.
Kayıt aracısı sertifika şablonu oluşturma bölümünde yaptığınız gibi AD FS için hizmet hesabı adını girin.
- Yalıtılmış bir AD FS kurulumunda hizmet hesabı "adfssvc$" olarak adlandırılır
- AD FS'yi Microsoft Entra Connect kullanarak ayarlarsanız hizmet hesabı "aadcsvc$" olarak adlandırılır
Hizmet hesabı eklendikten ve Güvenlik sekmesinde görünür olduktan sonra, Grup veya kullanıcı adları bölmesinde bunu seçin, hem "Kaydet" hem de "Otomatik Kayıt" için İzin Ver'i ve ardından kaydetmek için Tamam'ı seçin.
Yeni sertifika şablonlarını etkinleştirin:
Yeni sertifika şablonlarını etkinleştirmek için:
Microsoft Yönetim Konsolu'nu başlatmak için sertifika yetkilisinde Başlat menüsü mmc.exe çalıştırın.
Dosya Seç...>Ek Bileşen Ekle/Kaldır...>Sertifika Yetkilisi Sertifika Yetkilisini>görüntülemek için Bitiş> ve Tamam ekleyin.>>
Sol bölmedeki Sertifika Yetkilisi'ni genişletin ve Sertifika Şablonları'nı açın.
Sertifika şablonlarının listesini gösteren orta bölmeye sağ tıklayın, Yeni'yi ve ardından Sertifika Şablonu'nun Verilmesini seçin.
Hem ADFS Kayıt Aracısı'yı hem de ADFS SSO'sını ve ardından Tamam'ı seçin. Orta bölmede her iki şablonu da görmeniz gerekir.
Not
Zaten yapılandırılmış bir kayıt aracısı sertifika şablonunuz varsa, yalnızca ADFS SSO şablonunu eklemeniz gerekir.
AD FS Sunucularını Yapılandırma
Active Directory Federasyon Hizmetleri (AD FS) (AD FS) sunucularını yeni sertifika şablonlarını kullanacak şekilde yapılandırmanız ve bağlı olan taraf güvenini SSO'yu destekleyecek şekilde ayarlamanız gerekir.
AD FS sunucunuzla Azure Sanal Masaüstü hizmeti arasındaki bağlı olan taraf güveni, çoklu oturum açma sertifika isteklerinin etki alanı ortamınıza doğru şekilde iletilmesine olanak tanır.
AD FS çoklu oturum açmayı yapılandırırken paylaşılan anahtar veya sertifikayı seçmeniz gerekir:
- Tek bir AD FS sunucunuz varsa paylaşılan anahtarı veya sertifikayı seçebilirsiniz.
- Birden çok AD FS sunucunuz varsa sertifikayı seçmeniz gerekir.
Windows'ta oturum açmak için belirteci oluşturmak için kullanılan paylaşılan anahtar veya sertifika, Azure Key Vault'ta güvenli bir şekilde depolanmalıdır. Gizli diziyi mevcut bir Key Vault'ta depolayabilir veya yeni bir anahtar dağıtabilirsiniz. Her iki durumda da, Azure Sanal Masaüstü hizmetinin erişebilmesi için doğru erişim ilkesini ayarladığınızdan emin olmanız gerekir.
Sertifika kullanırken, herhangi bir genel amaçlı sertifika kullanabilirsiniz ve konu adında veya Konu Alternatif Adı'nda (SAN) bir gereksinim yoktur. Gerekli olmasa da, geçerli bir Sertifika Yetkilisi tarafından verilen bir sertifika oluşturmanız önerilir. Bu sertifika doğrudan Azure Key Vault'ta oluşturulabilir ve dışarı aktarılabilir bir özel anahtara sahip olması gerekir. Ortak anahtar dışarı aktarılabilir ve aşağıdaki betik kullanılarak AD FS sunucusunu yapılandırmak için kullanılabilir. Bu sertifikanın, uygun bir konu adına ve geçerli Bir Sertifika Yetkilisine sahip olması gereken AD FS SSL sertifikasından farklı olduğunu unutmayın.
PowerShell Galerisi bulunan ConfigureWVDSSO.ps1 PowerShell betiği, AD FS sunucunuzu bağlı olan taraf güveni için yapılandıracak ve gerekirse sertifikayı yükleyecektir.
Bu betik, AD FS'nize çözümlenen ve sonek olarak "/adfs" kullanan ADFSAuthority adlı tek bir gerekli parametreye sahiptir. Örneğin, https://adfs.contoso.com/adfs
.
AD FS VM'lerinde, AD FS'yi önceki bölümdeki sertifika şablonlarını kullanacak şekilde yapılandırmak için aşağıdaki PowerShell cmdlet'ini çalıştırın:
Set-AdfsCertificateAuthority -EnrollmentAgentCertificateTemplate "ADFSEnrollmentAgent" -LogonCertificateTemplate "ADFSSSO" -EnrollmentAgent
Not
Zaten yapılandırılmış bir EnrollmentAgentCertificateTemplate varsa, ADFSEnrollmentAgent yerine mevcut şablon adını kullandığınızdan emin olun.
ConfigureWVDSSO.ps1 betiğini çalıştırın.
Not
Yönergelerin
$config
bir sonraki bölümünü tamamlamak için değişken değerlerine ihtiyacınız vardır, bu nedenle önceki yönergeleri tamamlamak için kullandığınız PowerShell penceresini kapatmayın. Yeni bir PowerShell oturumu başlatırken aynı PowerShell penceresini kullanmaya devam edebilir veya açık bırakabilirsiniz.Key Vault'ta paylaşılan anahtar kullanıyorsanız AD FS sunucunuzda AD FS hizmetinize ulaşmak için ADFSServiceUrl yerine tam URL'nin kullanıldığı aşağıdaki PowerShell cmdlet'ini çalıştırın:
Install-Script ConfigureWVDSSO $config = ConfigureWVDSSO.ps1 -ADFSAuthority "<ADFSServiceUrl>" [-WvdWebAppAppIDUri "<WVD Web App URI>"] [-RdWebURL "<RDWeb URL>"]
Not
Azure Kamu gibi bağımsız bir bulutta bir ortamı yapılandırmak için WvdWebAppAppIDUri ve RdWebURL özelliklerine ihtiyacınız vardır. Azure Ticari Bulut'ta bu özellikler sırasıyla ve
https://rdweb.wvd.microsoft.com
olarak otomatik olarak ayarlanırhttps://www.wvd.microsoft.com
.Key Vault'ta bir sertifika kullanıyorsanız AD FS sunucunuzda AD FS hizmetinize ulaşmak için ADFSServiceUrl yerine tam URL'nin kullanıldığı aşağıdaki PowerShell cmdlet'ini çalıştırın:
Install-Script ConfigureWVDSSO $config = ConfigureWVDSSO.ps1 -ADFSAuthority "<ADFSServiceUrl>" -UseCert -CertPath "<Path to the pfx file>" -CertPassword <Password to the pfx file> [-WvdWebAppAppIDUri "<WVD Web App URI>"] [-RdWebURL "<RDWeb URL>"]
Not
Azure Kamu gibi bağımsız bir bulutta bir ortamı yapılandırmak için WvdWebAppAppIDUri ve RdWebURL özelliklerine ihtiyacınız vardır. Azure Ticari Bulut'ta bu özellikler sırasıyla ve
https://rdweb.wvd.microsoft.com
olarak otomatik olarak ayarlanırhttps://www.wvd.microsoft.com
.
Aşağıdaki PowerShell cmdlet'ini çalıştırarak Azure Key Vault'ta erişim ilkesini ayarlayın:
Set-AzKeyVaultAccessPolicy -VaultName "<Key Vault Name>" -ServicePrincipalName 9cdead84-a844-4324-93f2-b2e6bb768d07 -PermissionsToSecrets get -PermissionsToKeys sign
Paylaşılan anahtarı veya sertifikayı, gizli diziyi kullanmasına izin verilen abonelik kimliklerinin virgülle ayrılmış listesini içeren bir Etiketle Azure Key Vault'ta depolayın.
Key Vault'ta paylaşılan anahtar kullanıyorsanız, paylaşılan anahtarı depolamak ve etiketini ayarlamak için aşağıdaki PowerShell cmdlet'ini çalıştırın:
$hp = Get-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" $secret = Set-AzKeyVaultSecret -VaultName "<Key Vault Name>" -Name "adfsssosecret" -SecretValue (ConvertTo-SecureString -String $config.SSOClientSecret -AsPlainText -Force) -Tag @{ 'AllowedWVDSubscriptions' = $hp.Id.Split('/')[2]}
Sertifikanız zaten Key Vault'taysa, etiketi ayarlamak için aşağıdaki PowerShell cmdlet'ini çalıştırın:
$hp = Get-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" $secret = Update-AzKeyVaultCertificate -VaultName "<Key Vault Name>" -Name "<Certificate Name>" -Tag @{ 'AllowedWVDSubscriptions' = $hp.Id.Split('/')[2]} -PassThru
Yerel sertifikanız varsa, sertifikayı Key Vault'a aktarmak ve etiketini ayarlamak için aşağıdaki PowerShell cmdlet'ini çalıştırın:
$hp = Get-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" $secret = Import-AzKeyVaultCertificate -VaultName "<Key Vault Name>" -Name "adfsssosecret" -Tag @{ 'AllowedWVDSubscriptions' = $hp.Id.Split('/')[2]} -FilePath "<Path to pfx>" -Password (ConvertTo-SecureString -String "<pfx password>" -AsPlainText -Force)
Not
İsteğe bağlı olarak AD FS çoklu oturum açma ayarlarını değiştirerek kullanıcıların kimlik bilgileri isteme sıklığını yapılandırabilirsiniz. Varsayılan olarak, kullanıcılardan kayıtlı olmayan cihazlarda her 8 saatte bir istenir.
Azure Sanal Masaüstü konak havuzunuzu yapılandırma
Azure Sanal Masaüstü konak havuzunuzda AD FS SSO parametrelerini yapılandırmanın zamanı geldi. Bunu yapmak için henüz yapmadıysanız Azure Sanal Masaüstü için PowerShell ortamınızı ayarlayın ve hesabınıza bağlanın.
Bundan sonra, AD FS VM'de aynı PowerShell penceresinde aşağıdaki iki cmdlet'in birini çalıştırarak konak havuzunuz için SSO bilgilerini güncelleştirin:
Key Vault'ta paylaşılan anahtar kullanıyorsanız aşağıdaki PowerShell cmdlet'ini çalıştırın:
Update-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" -SsoadfsAuthority "<ADFSServiceUrl>" -SsoClientId "<WVD Web App URI>" -SsoSecretType SharedKeyInKeyVault -SsoClientSecretKeyVaultPath $secret.Id
Not
SsoClientId özelliğini, SSO'nun dağıtımını yaptığınız Azure bulutuyla eşleşecek şekilde ayarlamanız gerekir. Azure Ticari Bulut'ta bu özellik olarak
https://www.wvd.microsoft.com
ayarlanmalıdır. Ancak bu özellik için gerekli ayar, Azure Kamu bulut gibi diğer bulutlar için farklı olacaktır.Key Vault'ta bir sertifika kullanıyorsanız aşağıdaki PowerShell cmdlet'ini çalıştırın:
Update-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" -SsoadfsAuthority "<ADFSServiceUrl>" -SsoClientId "<WVD Web App URI>" -SsoSecretType CertificateInKeyVault -SsoClientSecretKeyVaultPath $secret.Id
Not
SsoClientId özelliğini, SSO'nun dağıtımını yaptığınız Azure bulutuyla eşleşecek şekilde ayarlamanız gerekir. Azure Ticari Bulut'ta bu özellik olarak
https://www.wvd.microsoft.com
ayarlanmalıdır. Ancak bu özellik için gerekli ayar, Azure Kamu bulut gibi diğer bulutlar için farklı olacaktır.
Ek konak havuzlarını yapılandırma
Ek konak havuzları yapılandırmanız gerektiğinde, yenisini ayarlamak üzere mevcut bir konak havuzunu yapılandırmak için kullandığınız ayarları alabilirsiniz.
Mevcut konak havuzunuzdan ayarları almak için bir PowerShell penceresi açın ve şu cmdlet'i çalıştırın:
Get-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" | fl *
Azure Sanal Masaüstü konak havuzunuzu aynı SsoClientId, SsoClientSecretKeyVaultPath, SsoSecretType ve SsoadfsAuthority değerlerini kullanarak yapılandırma adımlarını izleyebilirsiniz.
SSO kaldırılıyor
Konak havuzunda SSO'nun devre dışı bırakılması için aşağıdaki cmdlet'i çalıştırın:
Update-AzWvdHostPool -Name "<Host Pool Name>" -ResourceGroupName "<Host Pool Resource Group Name>" -SsoadfsAuthority ''
AD FS sunucunuzda SSO'yı da devre dışı bırakmak istiyorsanız şu cmdlet'i çalıştırın:
Install-Script UnConfigureWVDSSO
UnConfigureWVDSSO.ps1 -WvdWebAppAppIDUri "<WVD Web App URI>" -WvdClientAppApplicationID "a85cf173-4192-42f8-81fa-777a763e6e2c"
Not
WvdWebAppAppIDUri özelliğinin, dağıtım yaptığınız Azure bulutuyla eşleşmesi gerekir. Azure Ticari Bulut'ta bu özellik şeklindedir https://www.wvd.microsoft.com
. Azure Kamu bulut gibi diğer bulutlar için farklı olacaktır.
Sonraki adımlar
Artık çoklu oturum açmayı yapılandırdığınıza göre, desteklenen bir Azure Sanal Masaüstü istemcisinde oturum açıp bunu bir kullanıcı oturumu kapsamında test edebilirsiniz. Yeni kimlik bilgilerinizi kullanarak bir oturuma nasıl bağlanacağınızı öğrenmek istiyorsanız şu makalelere göz atın: