Einführung
In diesem Artikel lade ich Sie ein, die Rollen AD FS (Active Directory Federation Services) und Proxy (WAP) zu entdecken. Im Rahmen der Vorbereitung auf die Zertifizierung 70-742 habe ich mit der Modellierung einer Infrastruktur begonnen.
Es ist was?
Mit ADFS und dem dazugehörigen Proxy können Sie mehrere Dinge einrichten:
- Ein SSO-System (für kompatible Anwendungen, die OpenID und SAML verwenden), das Single Sign-On ermöglicht und mehrere Standards wie SAML nutzt. Durch die Verwendung von ADFS können Sie sich mit Ihrem AD-Konto authentifizieren, ohne eine direkte Verbindung zwischen der Anwendung und dem AD-Verzeichnis herstellen zu müssen. Auch für Cloud-basierte Anwendungen ist diese Lösung praktisch, da sie die Nutzung lokaler Active Directory-Konten ermöglicht, ohne dass eine direkte Verbindung zwischen der Anwendung und einem Domänencontroller erforderlich ist.
- Sicherheit durch Verwaltung der Authentifizierung vor der Anwendung
- Vertrauen zwischen mehreren Domänen durch ADFS-Proxy-Kommunikation (unterscheidet sich vom Domänenvertrauen innerhalb von Active Directory).
Prérequis
Pour la réalisation de ce tutoriel voici les machines utilisées :
- LAB-AD1 : AD / DHCP / DNS / IIS
- LAB-ADFS : ADFS
- LAB-ADFS-PROXY : Proxy WAP(normalement à placer en DMZ)
- Ein Kunde
- Generieren Sie ein Zertifikat für die HTTPS-Bindung mit ADFS-Diensten (fs.lab.intra) und installieren Sie es auf dem ADFS-Server im persönlichen Speicher.
- Generieren Sie ein Zertifikat für die HTTPS-Bindung für die Testsite (*.lab.intra) und installieren Sie es auf dem IIS-Server im persönlichen Speicher.
Um SSL-Fehler zu vermeiden, installieren Sie das Zertifikat als vertrauenswürdige Stammzertifizierungsstelle auf den Servern.
Ich habe den AD1-Server verwendet, um eine Testwebseite zu erstellen. Damit die Föderations-URL auf dem Client funktioniert, muss sie auf den Proxy verweisen.
Zur Erstellung der Zertifikate habe ich itisscg. Ich stelle es Ihnen zur Verfügung, da die Website des Herausgebers nicht mehr verfügbar ist.
ADFS: Installation
Klicken Sie im Server-Manager auf „Rollen und Features hinzufügen“ 1, um den Assistenten zu öffnen.
Wenn der Assistent gestartet wird, klicken Sie auf Weiter 1.
Wählen Sie die rollen- oder funktionsbasierte Installationsoption 1 und klicken Sie auf Weiter 2.
Wählen Sie Server 1 und klicken Sie auf Weiter 2.
Aktivieren Sie die Active Directory Federation Services (AD FS)-Rolle 1 und klicken Sie auf Weiter 2.
Überspringen Sie die Liste der Funktionen, indem Sie auf Weiter 1 klicken.
Eine AD FS-Rollenübersicht wird angezeigt. Klicken Sie auf Weiter 1.
Klicken Sie auf Installieren 1.
Bitte warten Sie während der Installation…
Sobald die Installation abgeschlossen ist, schließen Sie den Assistenten, indem Sie auf Fertig stellen 1 klicken.
Nachdem AD FS nun installiert ist, fahren wir mit der Konfiguration nach der Installation fort.
AD FS: Konfiguration nach der Installation
Klicken Sie im Server-Manager auf das Benachrichtigungssymbol 1 und dann auf FS-Dienst konfigurieren 2, um den Assistenten zu starten.
Da dies der erste AD FS-Server ist, wählen Sie die Option „Ersten Verbundserver in einer Verbundserverfarm erstellen 1“ und klicken Sie auf „Weiter 2“.
Richten Sie für die Einrichtung ein Konto ein (ich habe das Administratorkonto verwendet) und klicken Sie auf „Weiter 1“.
Wählen Sie das generierte Zertifikat für den Verbunddienst 1, konfigurieren Sie den Namen 2 (Sie können einen beliebigen Namen eingeben) und klicken Sie auf Weiter 3.
Zum Ausführen des AD FS-Dienstes ist ein Dienstkonto erforderlich. In der Testumgebung habe ich das Administratorkonto verwendet. Geben Sie ein Dienstkonto an 1 und klicken Sie auf Weiter 2.
Geben Sie die Datenbank an 1 und klicken Sie auf Weiter 2. Da ich mich in einer Laborumgebung befinde, habe ich die interne Windows-Datenbank verwendet. In einer Produktionsumgebung mit mehreren davon ist es ratsam, eine SQL Server-Datenbank auf einem anderen Server zu verwenden.
Eine Konfigurationszusammenfassung wird angezeigt. Klicken Sie auf Weiter 1.
Klicken Sie nach Abschluss der Überprüfungstests auf „Konfigurieren“ 1.
Bitte warten Sie, während die Konfiguration angewendet wird …
Sobald die Konfiguration angewendet wurde, beenden Sie den Assistenten, indem Sie auf Schließen 1 klicken.
Erste Schritte mit AD FS – Active Directory Federation Services
Verwaltungskonsole
Starten Sie auf dem Server die AD FS-Verwaltungskonsole.
Von dieser Konsole aus werden die verschiedenen Authentifizierungs- und Anspruchsoptionen sowie Föderationen konfiguriert.
Testen des Authentifizierungsportals
Fügen Sie einen DNS-Eintrag hinzu, der dem FQDN-Namen des Zertifikats entspricht, und richten Sie ihn auf den AD FS-Server.
Vorgehensweise, wenn Sie Windows 2016 oder höher verwenden:
Öffnen Sie ein PowerShell-Fenster und geben Sie den folgenden Befehl ein:
Get-AdfsProperties | Select-Object EnableIdpInitiatedSignonpageWenn der Befehl „False“ zurückgibt, geben Sie den folgenden Befehl ein:
Set-AdfsProperties –EnableIdpInitiatedSignonPage $TrueStarten Sie einen Internetbrowser und geben Sie die folgende Adresse ein: https:///adfs/ls/idpinitiatedsignon.htm
Klicken Sie auf die Schaltfläche „Anmelden“, um sich anzumelden.
Installieren und Konfigurieren des AD FS-Proxys – WAP
Installieren des Webanwendungsproxys
Nachdem der AD FS-Dienst installiert und konfiguriert ist, installieren wir den AD FS-Proxy, der zur Implementierung der Vorauthentifizierung auf die WAP-Funktionalität (Web Application Proxy) angewiesen ist.
Es ist möglich, WAP ohne Authentifizierung zu verwenden, wie dies bei ARR der Fall wäre.
Starten Sie auf dem LAB-ADFS-PROXY-Server den Server-Manager und klicken Sie auf Rollen und Features hinzufügen 1.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie „Rollen- oder funktionsbasierte Installation“ 1 und klicken Sie dann auf „Weiter“ 2.
Wählen Sie Server 1 und klicken Sie auf Weiter 2.
Aktivieren Sie in der Rollenliste das Kontrollkästchen Remote-Zugriff 1 und klicken Sie auf Weiter 2.
Überspringen Sie die Funktionen, indem Sie auf Weiter 1 klicken.
Eine Zusammenfassung der Remote-Access-Rolle wird angezeigt. Klicken Sie auf Weiter 1.
Die Remotezugriffsrolle bietet 3 Dienste, überprüfen Sie Web Application Proxy 1.
Bestätigen Sie das Hinzufügen von Abhängigkeiten, indem Sie auf die Schaltfläche „Funktionen hinzufügen“ 1 klicken.
Sobald der Dienst ausgewählt ist, klicken Sie auf Weiter 1.
Klicken Sie auf Installieren 1.
Bitte warten Sie, während die Remote Access-Rolle und der WAP-Dienst installiert werden …
Sobald die Installation abgeschlossen ist, beenden Sie den Assistenten durch Klicken auf Schließen 1.
WAP-Konfiguration nach der Installation
Was die AD FS-Rolle betrifft, erfordert die Proxy-Funktionalität (WAP) eine Konfiguration nach der Installation.
Wenn dies nicht erfolgt, installieren Sie das vom Verbunddienst verwendete Zertifikat im persönlichen Speicher und im Speicher der vertrauenswürdigen Stammzertifizierungsstelle des Servers.
Klicken Sie im Server-Manager auf das Benachrichtigungssymbol 1 und dann auf „Web Application Proxy Wizard öffnen“ 2.
Wenn der Assistent gestartet wird, klicken Sie auf Weiter 1.
Geben Sie den Namen des Verbunddienstes ein 1 und geben Sie ein Konto mit Administratorrechten an 2. Klicken Sie anschließend auf Weiter 3.
Wählen Sie das Zertifikat 1 und klicken Sie auf Weiter 2.
Bestätigen Sie die Konfiguration durch Klicken auf die Schaltfläche Konfigurieren 1.
Bitte warten Sie, während der WAP-Proxy konfiguriert wird …
Der Proxy ist nun konfiguriert. Beenden Sie den Assistenten, indem Sie auf Schließen 1 klicken.
Die Administrationskonsole öffnet sich automatisch:
Öffnen Sie auf dem AD FS-Server die Verwaltungskonsole und überprüfen Sie, ob der Proxystatus aktiviert ist 1.
WAP-Proxy verwenden
Utilisation du WAP sans authentification
In diesem Teil richten wir eine WAP-Regel ohne Authentifizierung ein, um die IIS-Site auf dem LAB-AD1-Server zu konsultieren.
Bevor Sie kommentieren, müssen Sie einen DNS-Eintrag erstellen, der auf den Proxyserver verweist. Im Beispiel verweist der Eintrag iis-test.lab.intra auf die IP des WAP-Servers.
Konfiguration
Wählen Sie in der Remote Access Management Console den Proxy 1 aus und klicken Sie auf „Veröffentlichen“ 2.
Wenn der Assistent gestartet wird, klicken Sie auf Weiter 1.
Wählen Sie die Pass-Through-Option 1 und klicken Sie dann auf Weiter 2.
Geben Sie der Veröffentlichung einen Namen 1, geben Sie die externe Zugriffs-URL 2 und die interne Server-URL 3 ein und klicken Sie dann auf Weiter 4.
Bestätigen Sie die Veröffentlichung mit einem Klick auf Veröffentlichen 1.
Wenn die Konfiguration abgeschlossen ist, klicken Sie auf Schließen 1, um den Assistenten zu beenden.
Die Anwendung ist in der Konsole verfügbar.
Fügen Sie einen DNS-Eintrag hinzu, um den externen Namen intern aufzulösen.
Prüfen
Starten Sie von einer Client-Workstation aus einen Internetbrowser und geben Sie die externe Adresse der Site ein. die Standard-IIS-Seite wird angezeigt.
WAP mit Authentifizierung verwenden
In diesem Teil sehen wir, wie man eine Authentifizierung hinzufügt, um auf die IIS-Serverseite zuzugreifen.
In der Proxy-Konsole wurde der Beitrag gelöscht. Damit es funktioniert, muss die Domäne fs.lab.intra auch auf den Proxyserver verweisen, daher habe ich einen Datensatz in der Hostdatei des Testclients hinzugefügt.
Für diesen Teil habe ich auch die HTTPS-Bindung auf der IIS-Site aktiviert und die Zertifikate installiert, um einen ordnungsgemäßen Betrieb sicherzustellen.
Konfiguration
Gehen Sie in der AD FS-Konsole zum Ordner „Relying Party Trust 1“ und klicken Sie im Menü „Aktionen“ auf „Relying Party Trust hinzufügen 2“.
Wenn der Assistent geöffnet wird, wählen Sie die Option „Claims Support“ 1 und klicken Sie auf „Start“ 2.
Wählen Sie die Option Daten zur vertrauenden Partei manuell eingeben 1 und klicken Sie auf Weiter 2.
Geben Sie den Namen 1 für die vertrauende Partei ein und klicken Sie auf Weiter 2.
Überspringen Sie den Zertifikatsteil zur Token-Verschlüsselung, indem Sie auf Weiter 1 klicken.
URL-Konfiguration, klicken Sie auf Weiter 1.
Kennung, konfigurieren Sie die Portal-URL https://fs.domain.com/adfs/ls/ 1 und klicken Sie auf Hinzufügen 2.
Klicken Sie dann auf Weiter 1.
Wählen Sie „Jedem erlauben“ 1 und klicken Sie auf „Weiter“ 2.
Klicken Sie auf Weiter 1.
Deaktivieren Sie das Kontrollkästchen „Eine Richtlinie zur Anspruchsausstellung für diese Anwendung konfigurieren“ 1 und klicken Sie auf „Schließen“ 2.
Die Vertrauensstellung wird in der AD FS-Konsole hinzugefügt.
Gehen Sie nun zum Proxyserver und klicken Sie in der Verwaltungskonsole auf „Veröffentlichen 1“.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie vor der Authentifizierung „Active Directory Federation Service (AD FS)“ 1 und klicken Sie dann auf „Weiter“ 2.
Wählen Sie die MFSOFBA- und Weboption 1 und klicken Sie auf Weiter 2.
Wählen Sie die auf dem AD FS-Server erstellte vertrauenswürdige Partei 1 aus und klicken Sie auf Weiter 2.
Wie wäre es mit dem Teil ohne Authentifizierung? Benennen Sie die Veröffentlichung 1, konfigurieren Sie die URLs 2, wählen Sie das HTTPS-Zertifikat 3 und klicken Sie auf Weiter 4.
Bestätigen Sie die Erstellung, indem Sie auf Veröffentlichen 1 klicken.
Klicken Sie auf „Schließen“ 1, um den Assistenten zu beenden.
Prüfen
Die externe URL der Veröffentlichung und des Verbunddienstes muss auf den Proxyserver verweisen.
Starten Sie von einem Client aus den Internetbrowser und geben Sie die im WAP-Dienst konfigurierte externe URL ein. Normalerweise sollten Sie zu einem Authentifizierungsformular weitergeleitet werden. Geben Sie Ihre Anmeldeinformationen ein und klicken Sie auf „Anmelden“.
Nach der Anmeldung wird die IIS-Seite angezeigt und wir können den AuthToken-Parameter in der URL sehen.
Abschluss
Durch die Implementierung von AD FS-Diensten können Sie den Zugriff auf Internetressourcen von außen sichern, indem Sie die Benutzerauthentifizierung verwalten, bevor Sie auf die Veröffentlichung zugreifen.
AD FS ermöglicht außerdem die Föderation der Identifizierung zwischen verschiedenen AD-Umgebungen, beispielsweise mit Office 365.
Das Einrichten von AD FS auf der Serverseite ist nicht kompliziert, das Konfigurieren von Veröffentlichungen ist jedoch eine andere Sache.
Anwendungsbeispiel: