Публикация приложений через Web Application Proxy. ШАГ 1: Развертывание сервиса ADFS 3.0


Шаг 1. Развертывание ADFS.

Перед установкой роли предлагаю выполнить подготовительные действия, чтобы не делать их по ходу установки. В ходе установки и дальнейшей настройки ADFS понадобится сертификат и сервисная учетная запись от которой будет запускаться служба ADFS.


Подготовка сервисной учетной записи.

Начну с простого, с создания учетной записи в домене. Назову я её не оригинально adfssrv. Никакими доменными правами эта учетка не обладает, но на локальном сервере ADFS.lab.local добавлю её в группу локальных администраторов, чтобы от её имени могла запускаться служба.

adfs-2016-11-28-15_16_29-computer-management


Получение сертификата.

Теперь к сертификату. Сертификат надо запросить в доменном центре сертифкации, необходимо, чтобы он содержал в себе имя будущего сервиса adfs, в моем случае я его назову fs.alekssh.com. Для запроса и выдачи сертификата я воспользуюсь оснасткой MMC  на сервере ADFS.lab.local

Важно! не забудьте сделать соответсвующую запись fs.alekssh.com в DNS

adfs-2016-11-28-15_29_00-greenshot

Далее подтверждение политик выдачи и выбор сертификата. Стандартного шаблона WebServer4Y нету, в отдельной статье я описал как его добавить.

adfs-2016-11-30-12_36_17-certificate-enrollment

Теперь необходимо указать имя будущего сервиса ADFS, fs.alekssh.com. В данном случае ничего большего не потребуется.

adfs-2016-12-02-12_21_14-certificate-properties

Требуемая для выпуска сертификата инормация указана, сертификат может быть выпушен.

adfs-2016-11-28-15_33_05-certificate-enrollment

Да, сертификат выпущен, теперь его можно будет использовать в настройке ADFS.

adfs-2016-11-28-15_33_22-certificate-enrollment

Теперь этот сертификат нужно экспортировать в формате .pfx

adfs-2016-11-30-13_35_07-greenshot

Обязательно экспортировать закрытый ключ

adfs-2016-11-30-13_35_17-certificate-export-wizard

Экспортировать все расширенные свойства

adfs-2016-11-30-13_35_31-certificate-export-wizard

далее ввсети пароль с которым будет выгружен сертификат

adfs-2016-11-30-13_35_43-certificate-export-wizard

Указать путь куда сохранить файл сертификата.

adfs-2016-11-30-13_36_15-certificate-export-wizard

Полученный файл fs.pfx нужно будет скопировать и установить на сервере WAP.

adfs-2016-11-30-13_36_18-certificate-export-wizard


Установка и настройка ADFS.

Итак, установку ADFS 3.0 на платформе Windows Server 2016 можно осуществить или через графический интерфейсе Server Manager установить компоненту Active Directory Federation Services.

Или воспользоваться командлетом

Add-WindowsFeature ADFS-Federation

adfs-2016-11-28-14_57_16-administrator_-windows-powershell

Далее надо будет запустить оснастку по конфигурированию ADFS

adfs-2016-11-28-15_00_42-server-manager

Мастере настройки я выберу создать новый сервер в новой ферме федеративных серверов

adfs-2016-11-28-15_02_05-active-directory-federation-services-configuration-wizard

далее указать аккаунт, который будет использоваться для подключения к AD. Тут я использую учетную запись текущего пользователя, но лучше сделать отдельную учетную запись и назначить ей права администратора домена.

adfs-2016-11-28-15_02_14-active-directory-federation-services-configuration-wizard

Далее указать запрошенный нами сертификат и задать имя сервиса ADFS

adfs-2016-11-28-15_38_14-active-directory-federation-services-configuration-wizard

далее указать подготовленную заранее учетку lab\adfssrv

adfs-2016-11-28-15_38_36-active-directory-federation-services-configuration-wizard

теперь надо указать, где будет располагаться база данных, это может быть  отдельный sql сервер, но я буду использовать внутреннюю базу windows (WID)

adfs-2016-11-28-15_38_41-active-directory-federation-services-configuration-wizard

Собственно adfs сконфигурирован

adfs-2016-11-28-15_40_28-active-directory-federation-services-configuration-wizard

теперь надо бы проверить как это все работает. В Windows Server 2016 нужно включить IdpInitiatedSignOnPage, чтобы была возможность открыть соответствующую веб страницу

Set-AdfsProperties -EnableIdpInitiatedSignonPage $true

adfs-2016-11-28-16_12_42-administrator_-windows-powershell

ну и открыть соответствующую страницу в браузере

https://fs.alekssh.com/adfs/ls/IdpInitiatedSignon.aspx

Можно залогиниться, в общем работает вроде как 🙂

adfs-2016-12-02-12_45_51-sign-in-internet-explorer



Реклама

Об авторе Alexander Shestakov

MCITP, MCSE. Компания "Динамика"
Запись опубликована в рубрике Без рубрики с метками , . Добавьте в закладки постоянную ссылку.

2 комментария на «Публикация приложений через Web Application Proxy. ШАГ 1: Развертывание сервиса ADFS 3.0»

  1. Андрей:

    подскажите сервер на который указывает сертификат fs.alekssh.com, вы написали нужно сделать соответствующую запись в DNS, а на какой сервер должна быть запись ???

    Нравится

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s