如何构建Azure AD和ADFS的一体化身份环境?
重定向到ADFS服务时可以找到AD。在实际环境中,您可以使用ADFS代理或Windows应用程序。
代理,或其他反向代理,发布ADFS。在测试环境中,我们会介绍Azure的虚拟机,因为Azure的虚拟机所在的云。
服务提供了一个公共网络地址。
2.由客户端传递的公共网络证书。我用了子域corp1.jashuang.cn作为我的域,你也可以用一级域名。
然后一路进行下一步直到安装。
9.安装后重新启动DC。
10.然后,我们在DC上安装我们的证书服务,然后一直进行安装。
11.安装完成后,选择配置,在角色服务上,选择证书颁发机构,然后一直进行到下一步,然后选择配置。
12.完成后,我们需要创建一个新的SSL证书,这是用户ADFS的HTTPS通信。运行命令certsrv.msc,右键单击证书模板并选择管理。
13.在新窗口中招募web服务器证书,右键单击并选择复制模板。在常规选项卡中,将其命名为ADFS SSL。
进入安全选项卡,添加域用户,域计算机,注册并选择权限读取。
进入用户名页签,用户名格式变为:公共名,勾选DNS名称。
14.返回证书颁发机构,右键单击证书模板,单击要颁发的新证书模板,并选择ADFS SSL。
15.然后,运行domain.msc命令打开域和信任管理窗口。我们需要增加UPN的名字。右键单击Active Directory域和信任关系,然后选择属性。在UPN选项卡中填写我们的域名,然后单击添加–>申请–>完成。
15.至此,我们已经完成了DC配置。现在登录Azure的门户,打开我们之前创建的虚拟网络。在配置选项中,我们需要指定虚拟网络的DNS,指向DC,添加一条指向Azure公共DNS的记录(否则外网无法解析),然后点击保存。
16.重启ADFS。然后将ADFS添加到域中。重新启动后,以域管理员身份登录。
17.现在我们在ADFS的主机文件中添加两条DNS记录(路径C:Windows System 32 drivers etc hosts),并根据我们自己的域名、DC名和IP地址添加这两条记录,主要是为了防止DNS解析出现问题时找不到DC。
corp 1 . jas Huang . cn 10 . 0 . 0 . 6
corp-DC . corp 1 . jas Huang . cn 10 . 0 . 0 . 6
18.之后,我们需要安装我们以前的证书。打开MMC,点击文件-添加/删除管理单元,选择计算机帐户,选择本地计算机,点击确定,右键个人,点击所有任务-申请新证书,一直点击下一步,在证书注册中选择ADFS SSL。然后选择注册。
19安装证书后,在DC服务器上打开Powershell并运行以下命令。
add-kdsrootKey–effective time(get-date)。添加小时数(-10)
new-adserviceaccount fs gmsa–DNS hostname corp-adfs . corp 1 . jas Huang . cn–serviceprincipalnames
20.然后回到ADFS,在ADFS身上安装ADFS的角色。
21.完成后,单击配置ADFS。在指定的服务属性中,选择我们之前导入的证书,在服务账号中选择fsgmsa,然后继续下一步,直到配置完成。
23.配置完成后,安装Web服务器角色,主要是安装IIS Manager。
24.安装完成后,打开IIS管理器,右键单击默认网站,选择编辑绑定,单击添加,然后添加HTTPS。选择我们之前导入的证书。
22.配置完成后,可以打开IE,输入以下网址,尝试登录,简单测试ADFS是否正常。