Windows Server Active Directory Federation Services (ADFS) dağıtma

Okuma süresi - 3 dk.


ADFS (Active Directory Federation Services), web uygulamaları için bir kimlik doğrulama sağlayıcısının işlevselliğini sağlayan Windows Server bileşenidir. Federation Services, farklı uygulamalardaki external kullanıcıların kimliğini doğrulamak için kullanılır.

Peki zaten bir Active Directory ortamı varsa neden ADFS’ye ihtiyacım var? Gerçek şu ki, Active Directory’de kullanılan kimlik doğrulama protokolleri internette çalışmak üzere tasarlanmamıştır. Kerberos, bir web sunucusunun ve AD etki alanındaki bir istemcinin üyeliğini gerektirdiğinden tam olarak çalışmayacaktır. NTLM ve LM de yeterince güvenli kimlik doğrulama protokolleri değildir.

ADFS, bir access token service olarak işlev görür. Active Directory kimlik doğrulamasına dayalı olarak verilen bu kimlik bilgileri, web uygulamasında başarılı kimlik doğrulama ve yetkilendirme için yeterli olacaktır.

Federasyon hizmetleri iki bileşenden oluşur.

Active Directory Federation Services (ADFS) ve Web Application Proxy (WAP). WAP, internet’ten gelen istekleri kabul eder ve daha fazla işlem için bunları ADFS sunucularına yeniden yönlendirir. ADFS sunucularından gelen yanıtlar WAP’a ve internet istemcisine iletilir. WAP ayrıca internette web uygulamalarını yayınlamak için bir reverse proxy sunucusu görevi görebilir. Örneğin, Exchange Web Access (OWA) ya da SharePoint’i kolayca yayınlamak için WAP kullanabilirsiniz. Ağ üzerinden iletilen veriler, SSL 3.0 protokolü kullanılarak şifrelenir.

Active Directory Federation Services (ADFS) dağıtma

Bu makalede, Windows Server 2016’da ADFS rolünün nasıl yüklenip yapılandırılacağını göstereceğiz. AD FS’yi özel bir sunucuya yüklemeniz ve bunu RDS, RADIUS rolleriyle birleştirmemeniz önerilir.

ADFS’yi yüklerken, bir domain service account (ADFS servislerinin çalışacağı) ve bir SSL sertifikası belirtmeniz gerekecektir.

Group Managed Service Accounts (gMSA) gibi bir etki alanı hesabı oluşturmanız ve kullanmanız önerilir. PowerShell kullanarak AD’de bir gMSA hesabı oluşturmak için aşağıdaki komutu kullanabilirsiniz.

New-ADServiceAccount -Name “gMSAADFS” -DNSHostName gMSAADFS.test.com -Enabled $True -ManagedPasswordIntervalInDays 30 -PrincipalsAllowedToRetrieveManagedPassword $server1

Varsayılan olarak, gMSA hesapları özel bir OU’da oluşturulur.

Ardından, internal CA’nızdan veya public sertifika yetkilinizden SSL sertifika almanız gerekiyor.. Konu adı ve Konu alternatif adındaki sertifika , yayınlanan FQDN’lerin tam listesini içermelidir. Sertifika .pfx sertifika biçiminde dışa aktarılmalıdır. Alacağınız sertifika wildcard değilse ADFS hizmeti için kullanacağınız sub domaini SAN (Subject Alternative Name) olarak sertifikaya eklemeyi unutmayın.

ADFS 3.0 rolünü Windows Server 2016’ya Server Manager’i kullanarak veya PowerShell komutuyla yükleyebilirsiniz.

Add-WindowsFeature ADFS-Federation

ADFS’yi yükledikten sonra, Server Manager snap-in aracılığıyla “Configure the federation services on this server” seçeneğine tıklayarak ADFS post-deployment görevini çalıştırın.

“Create the first federation server in a federation farm” seçeneğini seçin.

Import butonuna butonuna basarak pfx sertifika dosyanızı seçin.

Sonraki adımda, daha önce oluşturulan gMSA hesabının (gMSAADFS) adını belirtin.

Ayrı bir MS SQL Sunucusu mu yoksa dahili bir Windows veritabanı (WID) mı kullanmak istediğinizi seçin.

Ardından Next → Next → Configure‘yi tıklayın. Hepsi bu kadar, ADFS sunucunuz dağıtıldı.

Windows Server 2016’da özel bir web sayfası aracılığıyla ADFS’nin kullanılabilirliğini kontrol etmek için, IdpInitiatedSignOnPage seçeneğini etkinleştirin. PowerShell komutuyla bu seçeneği test sayfası için etkinleştirebilirsiniz.

Set-AdfsProperties -EnableIdpInitiatedSignonPage $true

Diğer ADFS seçeneklerini yapılandırmak için AD FS Management konsolunu kullanabilirsiniz.