Cómo crear un entorno de identidad integrando Azure AD y ADFS
1. Una dirección IP pública. Esta dirección IP pública debe publicar el servicio ADFS para que se pueda encontrar al redirigir AD desde Azure
AD al servicio ADFS. En un entorno real, puede utilizar el proxy ADFS o el
proxy de aplicación de Windows u otros servidores proxy inversos para publicar ADFS. En el entorno de prueba, utilizamos máquinas virtuales de Azure porque el servicio
en la nube donde se encuentran las máquinas virtuales de Azure proporciona una dirección de red pública.
2. Un certificado de red pública, que pasa el cliente. Utilizo el nombre de subdominio corp1.jashuang.cn como mi dominio.
Luego continúa con el siguiente paso hasta la instalación.
9. Reinicie el DC una vez completada la instalación.
10. Luego instalamos nuestro servicio de certificado en el DC y procedemos hasta la instalación.
11. Una vez completada la instalación, seleccione Configurar y, en el servicio de rol, seleccione Autoridad de certificación, luego vaya al siguiente paso y luego seleccione Configurar.
12. Una vez completado, necesitamos crear un nuevo certificado SSL para la comunicación HTTPS del usuario ADFS. Ejecute el comando certsrv.msc, haga clic derecho en la plantilla de certificado y seleccione Administrar
13. Reclute el certificado del servidor web en la nueva ventana, haga clic derecho y seleccione Copiar plantilla. En la pestaña General, nombre ADFS SSL.
Ingrese a la pestaña Seguridad, agregue usuarios del dominio, computadoras del dominio y seleccione Registrar y permisos de lectura.
Ingrese a la pestaña Nombre de usuario, el formato del nombre de usuario cambia a: Nombre común, Marque Seleccionar un nombre DNS
14. Regrese a la autoridad de certificación, haga clic con el botón derecho en la plantilla de certificado, haga clic en Nueva plantilla de certificado para emitir y seleccione ADFS SSL.
15. comando domain.msc, abra la ventana de administración de confianza y dominio, debemos agregar el nombre de UPN. Haga clic con el botón derecho en Dominios y confianzas de Active Directory y seleccione Propiedades. Complete nuestro nombre de dominio en la pestaña UPN, haga clic en Agregar – gt; Aplicar – gt;
15. En este punto, hemos completado la configuración de DC. Ahora inicie sesión en Azure Portal y abra la red virtual que creamos antes. En las opciones de configuración, debemos especificar el DNS de la red virtual, apuntarlo al DC y luego agregar un registro que apunte al DNS público de Azure (. de lo contrario, la red externa no podrá resolverlo) y luego haga clic en Guardar.
16. Reinicie ADFS. Luego agregue ADFS al dominio. Después del reinicio, inicie sesión como administrador de dominio.
17. Ahora agregamos 2 registros DNS al archivo HOST de ADFS (ruta C: windowssystem32driversetcHosts) y agregamos estos dos registros de acuerdo con nuestro propio nombre de dominio, nombre de DC y dirección IP, principalmente para evitar DNS. El DC se puede encontrar cuando hay un problema con el análisis.
corp1.jashuang.cn 10.0.0.6
corp-dc.corp1.jashuang.cn 10.0.0.6
18. Necesitamos instalar nuestro certificado anterior. más tarde . Abra MMC, haga clic en Archivo-Agregar, Quitar complementos, seleccione Cuenta de computadora, seleccione Computadora local, haga clic en Aceptar, haga clic con el botón derecho en Personal, haga clic en Todas las tareas: solicitar un nuevo certificado, siga haciendo clic en Siguiente y seleccione ADFS SSL en Registro de certificado . Luego seleccione Registrarse
19 Una vez completada la instalación del certificado, abra Powershell en el servidor DC y ejecute el siguiente comando.
Add-kdsrootKey – Effectivetime (get-date).addhours(-10)
Nueva cuenta de servicio publicitario fsgmsa –dnshostname corp-adfs.corp1.jashuang.cn –serviceprincipalnames
20. Luego regrese a ADFS e instale la función ADFS en ADFS
21 Una vez completado, haga clic en Configurar ADFS. En las propiedades del servicio especificadas, seleccione el certificado que importamos antes, seleccione fsgmsa en la cuenta de servicio y luego continúe con el siguiente paso hasta que se complete la configuración.
23. Una vez completada la configuración, instale la función del servidor web, que consiste principalmente en instalar el administrador de IIS.
24. Una vez completada la instalación, abra el Administrador de IIS, haga clic con el botón derecho en Sitio web predeterminado, seleccione Editar enlace, haga clic en Agregar, luego agregue HTTPS y seleccione el certificado que importamos antes.
22. Una vez completada la configuración, puede abrir IE, ingresar la siguiente URL, intentar iniciar sesión y simplemente probar si ADFS es normal.