ADFS (3) – Instalace ADFS

  • Article

ADFS (3) – Instalace ADFS

1 Úvod

V minulém díle jsme si vysvětlili, jak ADFS pracuje. V tomto díle se budeme věnovat instalaci ADFS serverů.

2 Teoretický základ

Teoretický základ shrnuje základy, které je potřeba zvážit před samotnou instalací a konfigurací ADFS v prostředí zákazníka.

2.1 Vysoká dostupnost ADFS

ADFS můžeme nainstalovat v několika scénářích a variantách, jejichž hlavní výhody a nevýhody jsou popsány v tabulce.

WAP ADFSBE Výhody Nevýhody
0 1 · serverově nenáročné řešení· snadná implementace · chybí vysoká dostupnost· nedoporučovaná varianta pro autentizaci uživatelů z jiné než podnikové sítě· není možnost preautentizace
1 1 · bezpečná varianta s možností preautentizace a výhod spojených s WAP proxy · chybí vysoká dostupnost· potřeba DMZ
2+ 2+ · nejrobustnější varianta nasazení ADFS· vysoká dostupnost řešení· bezvýpadkové restarty a patchování serverů · potřeba DMZ· potřeba řešit Load Balancer

 

Instalace ADFS je relativně snadná záležitost, je potřeba mít připravené:

· Servery v doméně pro ADFS backendy (požadavky pro ADFS)

· Servisní účet pro ADFS (https://msdn.microsoft.com/en-us/library/azure/dn528860.aspx)

o Je možné použít doménový účet, nebo gMSA (group Managed Service Account)

· Důvěryhodný certifikát třetí strany pro (service communication certificate)

· Token Signing a Token Decrypting certificate dle best practice (doporučení zde)

· DNS záznamy na servisní jméno ADFS (například ADFS.doména.suffix)

· Prostupy na firewallu port 443 a 80 z Internetu na WAP proxy a z WAP proxy na ADFS BE

· WAP proxy servery v DMZ zóně dle (plánování nasazení WAP proxy)

2.2 ADFS a SQL databáze

Podle zvoleného scénáře nasazení ADFS lze při instalaci využít buď existující SQL farmy, nebo použít Windows Internal Database (dříve SQL Express) s následujícími výhodami a nevýhodami.

· ADFS lze nainstalovat s Microsoft SQL, kdy si ADFS při instalaci vytvoří SQL databázi na již existující farmě (výhody nasazení ADFS s plnohodnotným SQL) a každý server v ADFS farmě lze použít k zápisu konfiguračních změn. Konfigurace s plným SQL je vhodná pro velké společnosti, které mají více než 100 relaying party trustů.

· ADFS s Windows Internal Database se hodí pro menší společnosti, které nepotřebují, nebo nemají možnost utilizovat plné SQL. ADFS s WID je plně funkční s omezeními viz (https://technet.microsoft.com/en-us/library/dn554248.aspx). Hlavní omezení z hlediska funkčnosti je nemožnost nastavit více než 100 relaying party trustů, z hlediska administrace pak lze provádět konfigurační změny pouze na prvním serveru nové ADFS farmy.

3 Instalace ADFS

Instalaci ADFS je potřeba rozdělit na několik kroků. ADFS se nejdříve nainstaluje na Windows Server 2012 R2 v interní síti. Funkčnost ADFS testujeme z interní sítě. Po ověření funkčnosti ADFS je možné nainstalovat WAP Proxy a vytvořit trust mezi WAP proxy a ADFS backendem. ADFS lze instalovat přes PowerShell nebo GUI.

3.1 Instalace ADFS backendu

· V prvním kroku je potřeba připravit Service Communication certifikát do Certificate Store pod účtem serveru.

ad1

· ADFS 3.0 je součástí Windows Server 2012 R2. Instaluje se přes PowerShell

ad2

· ADFS farmu konfigurujeme příkazem

ad3

· Po instalaci ADFS je potřeba server restartovat. Po restartu je potřeba ověřit funkčnost ADFS. DNS jméno ADFS.DOMAIN.COM by v tuto chvíli mělo směřovat na IP adresu load balanceru, nebo IP adresu jediného ADFS backendu. DNS jméno musí být přeložitelné i v DMZ.

· Funkčnost ADFS ověříme přes URL: https://adfsservicename.domain.suffix/adfs/ls/IDPinitiatedsignon.aspx ad4

· Pro ADFS ve vysoké dostupnosti je možné přidat další ADFS server příkazem

ad5

· Po přidání dalšího ADFS serveru, je potřeba ověřit funkčnost. Funkčnost ověříme analogicky z předchozího postupu, ale místo ADFS.domain.com dáváme do URL FQDN nově přidaného ADFS serveru. https://ADFSBE2.domain.suffix/adfs/ls/IDPinitiatedsignon.aspx

· Aby bylo možné využít ADFS i pro jiné než http protokoly (WS-Trust, Windows Communication Foundation...), je potřeba zaregistrovat SPN záznam pro servisní účet, pod kterým ADFS běží. Tento servisní účet byl vytvořen, jako prerekvizita před instalací ADFS. SPN záznam se vytváří již při instalaci ADFS, pokud by bylo ADFS instalováno do prostředí, ve kterém se ADFS se stejnými parametry nacházelo již dříve, je možné narazit na problém se špatným nastavením SPN a tím na nefunkčnost ADFS pro některé protokoly. Ověření SPN může být provedeno příkazem

ad6

Příkaz zobrazí SPN záznam pro daný servisní účet, pokud SPN existuje.

ad7

· Přidání SPN záznamu pro servisní účet je možné příkazem

ad8

3.2 Instalace WAP Proxy

Dalším krokem je instalace WAP Proxy serveru. WAP proxy umožní využívat ADFS i pro externí klienty.

· Instalace se provádí příkazem

ad10

· Konfigurace příkazem, který bude chtít zadat uživatelské jméno a heslo lokálního administrátora na ADFS backend serverech

ad11

· Funkčnost WAP proxy je možné otestovat například otevřením https://adfsservicename.domain.suffix/adfs/ls/IDPinitiatedsignon.aspx, nebo kontrolou Event logu na ADFS proxy serveru. V Event logu musí být vidět, Event ID: 245, se zprávou, že WAP Proxy úspěšně získal informace z ADFS backendu. Tato zpráva v Event logu také dokládá, že trust mezi WAP Proxy a ADFS backendem funguje správně. Nefunkční trust mezi WAP Proxy a ADFS backendem je také nejčastější příčinou problémů s autentizací uživatelů z externích sítí.

ad12

V příštím díle si projdeme základní nastavení ADFS a WAP Proxy po instalaci.

- Zbyněk Saloň, KPCS CZ

Mohlo by vás také zajímat:

Basic Overview of ADFS & Azure Identity