Implementare e gestire la federazione

  • 1 minuto

La federazione può usare una farm Active Directory locale nuova o esistente in Windows Server 2012 R2 (o versione successiva) e Microsoft Entra Connect consente agli utenti di accedere alle risorse di Microsoft Entra usando la password locale.

Diagramma della federazione tra le risorse locali e Microsoft Entra ID. Mostra utenti in grado di accedere sia alle risorse locali che a quelle cloud utilizzando un singolo login condiviso.

La federazione è una raccolta di domini che hanno stabilito una relazione di fiducia. Il livello di attendibilità varia, ma in genere include l'autenticazione e quasi sempre include l'autorizzazione. Una tipica federazione può includere una serie di organizzazioni che hanno stabilito un trust per l'accesso condiviso a un set di risorse.

È possibile federate l'ambiente locale con Microsoft Entra ID e usare questa federazione per l'autenticazione e l'autorizzazione. Questo metodo di accesso garantisce che tutte le autenticazioni utente si verifichino in locale. Questo metodo consente agli amministratori di implementare livelli più rigorosi di controllo di accesso. La federazione con AD FS e PingFederate è disponibile.

Con l'accesso federato, gli utenti possono accedere ai servizi basati su Microsoft Entra con le password locali. Anche se si trovano nella rete aziendale, non devono nemmeno immettere le password. Usando l'opzione di federazione con AD FS, è possibile distribuire una farm nuova o esistente con AD FS in Windows Server 2012 R2 o versione successiva. Se si sceglie di specificare una farm esistente, Microsoft Entra Connect configura l'attendibilità tra la farm e l'ID Microsoft Entra in modo che gli utenti possano accedere.

Requisito di distribuzione della federazione con AD FS e Microsoft Entra Connect

Per la distribuzione in una farm AD FS, è necessario quanto segue:

  • Credenziali di amministratore locale nei server federativi.
  • Credenziali di amministratore locale su qualsiasi server del gruppo di lavoro (non aggiunto a un dominio) sui quali si intende distribuire il ruolo di Proxy di applicazione Web.
  • Il computer su cui si esegue la procedura guidata per potersi connettere a qualsiasi altro computer su cui si desidera installare AD FS o il Proxy dell'applicazione Web tramite Gestione Remota di Windows.

Configurare la federazione usando Microsoft Entra Connect per connettersi a una farm AD FS

Screenshot dell'applicazione Microsoft Entra Connect che mostra la finestra di dialogo per la creazione e connessione a una farm AD FS.

Specificare i server AD FS : specificare i server in cui si vuole installare AD FS. È possibile aggiungere uno o più server, a seconda delle esigenze di capacità. Prima di definire la configurazione, aggiungere tutti i server AD FS ad Active Directory. Questo passaggio non è necessario per i server proxy applicazione Web. È consigliabile installare un singolo server AD FS per distribuzioni di test e pilota. Dopo la configurazione iniziale, è possibile aggiungere e distribuire altri server per soddisfare i requisiti di ridimensionamento, eseguendo di nuovo Microsoft Entra Connect.

Specificare i server proxy dell'applicazione Web: specificare i server proxy dell'applicazione Web. Il server proxy di applicazione Web viene distribuito nella rete perimetrale, davanti alla rete extranet. Supporta le richieste di autenticazione provenienti dalla Extranet. È possibile aggiungere uno o più server, a seconda delle esigenze di capacità. Dopo la configurazione iniziale, è possibile aggiungere e distribuire altri server per soddisfare i requisiti di ridimensionamento, eseguendo di nuovo Microsoft Entra Connect.

Specificare l'account del servizio AD FS: il servizio AD FS richiede un account del servizio di dominio per autenticare gli utenti e cercare le informazioni utente in Active Directory. Supporta due tipi di account di servizio:

  • Account del servizio gestito del gruppo
  • Account utente di dominio

Selezionare il dominio Microsoft Entra che si vuole federate : usare la pagina del dominio Microsoft Entra per configurare la relazione di federazione tra AD FS e Microsoft Entra ID. Qui si configura AD FS per fornire token di sicurezza per Microsoft Entra ID. È anche possibile configurare Microsoft Entra ID per considerare attendibili i token di questa istanza di AD FS. In questa pagina è possibile configurare solamente un singolo dominio nell'installazione iniziale. È possibile configurare più domini in un secondo momento eseguendo nuovamente Microsoft Entra Connect.

Strumenti di Microsoft Entra Connect per gestire la federazione

È possibile completare varie attività correlate ad AD FS in Microsoft Entra Connect con un intervento minimo dell'utente usando la procedura guidata microsoft Entra Connect. Anche dopo aver completato l'installazione di Microsoft Entra Connect eseguendo la procedura guidata, è possibile eseguire di nuovo la procedura guidata per eseguire altre attività. Ad esempio, è possibile usare la procedura guidata per ripristinare l'attendibilità con Microsoft 365, federarsi con Microsoft Entra ID usando un ID di accesso alternativo e aggiungere un server proxy applicazione web AD FS (WAP).

Ripristinare l'attendibilità : è possibile usare Microsoft Entra Connect per controllare l'integrità corrente dell'attendibilità di AD FS e Microsoft Entra ID e intraprendere azioni appropriate per ripristinare l'attendibilità.

È consigliabile federare con Microsoft Entra ID utilizzando AlternateID: è consigliato mantenere invariato il User Principal Name (UPN) locale e il User Principal Name (UPN) cloud. Se l'UPN locale usa un dominio non instradabile (ad esempio Contoso.local) o non può essere modificato a causa delle dipendenze dell'applicazione locale, è consigliabile configurare un ID di accesso alternativo. L'ID di accesso alternativo consente di configurare un'esperienza di accesso in cui gli utenti possono accedere con un attributo diverso dal relativo UPN, ad esempio la posta elettronica. La selezione del User Principal Name in Microsoft Entra ID Connect si imposta di default sull'attributo userPrincipalName in Active Directory. Se si sceglie un altro attributo per Nome principale utente e si esegue la federazione con AD FS, Microsoft Entra Connect configurerà AD FS per l'ID di accesso alternativo.

Aggiungere un dominio federato : è facile aggiungere un dominio da federato con Microsoft Entra ID usando Microsoft Entra Connect. Microsoft Entra Connect aggiunge il dominio per la federazione e modifica le regole di attestazione per riflettere correttamente l'emittente quando si dispone di più domini federati con Microsoft Entra ID.

Inoltre, aggiungere un server AD FS e aggiungere un server proxy applicazione Web AD FS.

Writeback dispositivi

Il "device writeback" viene usato per abilitare l'accesso condizionale basato su dispositivo per i dispositivi protetti da ADFS. Questo accesso condizionale garantisce maggiore sicurezza e garanzia che l'accesso alle applicazioni venga concesso solo ai dispositivi attendibili. La funzione di writeback dei dispositivi abilita questa sicurezza informatica sincronizzando nuovamente tutti i dispositivi registrati in Azure all'Active Directory locale. Quando configurata durante l'installazione, vengono eseguite le operazioni seguenti per preparare la foresta di Active Directory:

  • Se non esistono già, creare e configurare nuovi contenitori e oggetti in: CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest dn ].
  • Se non esistono già, creare e configurare nuovi contenitori e oggetti in: CN=RegisteredDevices,[domain-dn]. Gli oggetti dispositivo verranno creati in questo contenitore.
  • Impostare le autorizzazioni necessarie per l'account Microsoft Entra Connector per gestire i dispositivi in Active Directory.