Active Directory Federation Services (ADFS) – мощный инструмент, который позволяет безопасно авторизовывать пользователей в различных системах. Настройка ADFS может показаться сложной задачей, однако с этим подробным гайдом вы сможете легко освоить все необходимые шаги.
ADFS обеспечивает единое точку входа и безопасную авторизацию пользователей в различных приложениях и сервисах. Это особенно полезно, когда компания использует несколько систем, в которых пользователи должны использовать одни и те же учетные данные.
В этой статье мы рассмотрим, как настроить ADFS и обеспечить безопасную авторизацию в системе.
Подготовка окружения и установка ADFS
Перед началом настройки ADFS необходимо выполнить следующие шаги для подготовки окружения:
- Убедитесь, что сервер, на котором будет установлен ADFS, соответствует минимальным системным требованиям.
- Установите все необходимые обновления для операционной системы и других компонентов сервера.
- Убедитесь, что сервер имеет статический IP-адрес и правильно настроен DNS.
- Установите необходимые сертификаты для обеспечения безопасной авторизации.
После подготовки окружения можно приступить к установке ADFS:
| Шаг | Действие |
|---|---|
| 1 | Скачайте установщик ADFS с официального сайта Microsoft. |
| 2 | Запустите установщик ADFS. |
| 3 | Следуйте инструкциям установщика и примите требуемые лицензионные соглашения. |
| 4 | Выберите тип установки в соответствии с потребностями вашей организации. |
| 5 | Настройте параметры установки, включая пути установки и используемые сертификаты. |
| 6 | Дождитесь завершения установки и убедитесь, что процесс прошел успешно. |
После установки ADFS можно приступить к его настройке и конфигурации в соответствии с требованиями вашей организации.
Создание сертификатов и настройка SSL
Шаг 1: Создайте запрос на сертификат (CSR)
1. Откройте консоль управления сервером ADFS, перейдя по пути «Start -> Administrative Tools -> AD FS Management».
2. В разделе «Service > Certificates» выберите «Create Certificate Request».
3. Заполните необходимые поля в форме, включая Common Name (CN), Organization (O), Organizational Unit (OU), City (L), State (ST) и Country (C).
4. Нажмите «Next» и выберите размер ключа, например, 2048.
5. Укажите имя файла, в котором будет сохранен запрос на сертификат (.req).
6. Завершите процесс создания запроса на сертификат.
Шаг 2: Получите и установите сертификат SSL
1. Отправьте созданный запрос на сертификат в удостоверяющий центр (CA).
2. Дождитесь получения файла сертификата в формате .cer.
3. Откройте консоль управления сервером ADFS и выберите «Complete Certificate Request».
4. Укажите путь к файлу сертификата .cer, полученному от CA.
5. Назначьте имени сертификата и выберите его хранилище.
6. Процесс установки сертификата завершен.
Шаг 3: Настройка SSL на сервере ADFS
1. Откройте PowerShell на сервере ADFS.
2. Введите следующий скрипт, чтобы проверить текущие настройки SSL:
Get-AdfsSslCertificate
3. Введите следующий скрипт, чтобы задать сертификат SSL для использования:
Set-AdfsSslCertificate -Thumbprint [Thumbprint]
Замените «[Thumbprint]» на отпечаток сертификата SSL, полученный на предыдущем шаге.
4. Проверьте настройки SSL с помощью следующего скрипта:
Get-AdfsSslCertificate
5. Перезапустите службу ADFS для применения изменений.
Теперь ваш сервер ADFS настроен для использования сертификата SSL, обеспечивая безопасную авторизацию и защищенное соединение с клиентами.
Настройка правил авторизации и атрибутов
Для обеспечения безопасного авторизации через ADFS необходимо правильно настроить правила авторизации и атрибуты. В данном разделе мы рассмотрим этот процесс подробнее.
1. Откройте ADFS-консоль и перейдите в раздел «Утверждения и правила».
2. Нажмите на кнопку «Добавить правило претензий» и выберите тип правила, который соответствует вашим требованиям. Например, если вы хотите передавать атрибут «Группа» вместе с утверждением, выберите тип «Утверждение по утверждению».
3. Установите соответствующие условия для выбранного типа правила. Например, если вы выбрали тип «Утверждение по утверждению», укажите имя атрибута и его значение.
4. Нажмите на кнопку «Добавить условие» и настройте другие условия, если необходимо.
5. Повторите шаги 2-4 для каждого требуемого правила авторизации.
6. Нажмите на кнопку «Добавить правило претензий» и выберите тип правила, который соответствует вашим требованиям. Например, если вы хотите передавать атрибут «Email» вместе с утверждением, выберите тип «Атрибут Active Directory».
7. Установите соответствующие условия для выбранного типа правила. Например, если вы выбрали тип «Атрибут Active Directory», укажите имя атрибута, которое вы хотите передать, и настройте его соответствующим образом.
8. Нажмите на кнопку «Добавить условие» и настройте другие условия, если необходимо.
9. Повторите шаги 6-8 для каждого требуемого правила атрибутов.
10. Сохраните настройки и перезагрузите сервер ADFS, чтобы изменения вступили в силу.
Теперь вы успешно настроили правила авторизации и атрибутов в ADFS! Это позволит вам осуществлять безопасную авторизацию и передавать необходимые атрибуты пользователя.
Проверка и тестирование настройки ADFS
После завершения настройки ADFS необходимо убедиться в правильности ее работы. Это можно сделать, выполнив ряд проверок и тестов.
1. Проверка работоспособности сервера ADFS:
Для проверки работоспособности сервера ADFS необходимо выполнить следующие шаги:
— Откройте веб-браузер и введите URL-адрес сервера ADFS, например, https://adfs.example.com/adfs/ls/idpinitiatedsignon.aspx;
— Должна появиться страница с формой авторизации ADFS;
— Введите учетные данные пользователя, зарегистрированного в Active Directory, и нажмите «Войти»;
— Если авторизация прошла успешно, должна отобразиться страница с успешным входом в систему.
2. Проверка корректности выдачи утверждений:
Проверка корректности выдачи утверждений позволяет убедиться в правильной работе правил токенизации и соответствии требованиям ресурса.
— Откройте веб-браузер и введите URL-адрес веб-ресурса, защищенного ADFS, например, https://example.com;
— Должна появиться страница авторизации ADFS;
— Введите учетные данные пользователя, зарегистрированного в Active Directory, и нажмите «Войти»;
— Если авторизация прошла успешно, должна отобразиться защищенная страница веб-ресурса.
3. Тестирование Single Sign-On (SSO):
Для проверки функционала Single Sign-On выполните следующие действия:
— Откройте веб-браузер и введите URL-адрес последующего веб-ресурса;
— Если SSO работает корректно, должна открыться страница предоставления доступа к ресурсу без дополнительной авторизации.
4. Тестирование Sign-Out:
Тестирование Sign-Out позволяет убедиться в корректной работе процесса выхода из системы.
— Откройте веб-браузер и введите URL-адрес сервера ADFS;
— Выполните действия для выхода из системы;
— Если процесс выхода прошел успешно, страница должна перенаправиться на страницу выхода из ADFS.
В случае возникновения проблем при любом из указанных выше шагов рекомендуется проверить настройки ADFS, а также логи событий для выяснения причин возникших проблем.