Встановлення ADFS (Active Directory Federation Services)

1. Підготовка до інсталяції ADFS

1.1 Створення шаблону сертифіката

ADFS вимагає довірених сертифікатів для забезпечення захищеного зв’язку. Ці сертифікати можна створити за допомогою внутрішнього центру сертифікації (CA). Виконайте наступні кроки для створення шаблону сертифіката:

Доступ до управління шаблонами сертифікатів

  1. Відкрийте консоль Certification Authority.

  2. Перейдіть до Certificate Templates → Клацніть правою кнопкою миші та виберіть Manage.

Дублювання існуючого шаблону

  1. Знайдіть шаблон Web Server, клацніть правою кнопкою миші та виберіть Duplicate Template.

Зміна шаблону

  1. Перейдіть на вкладку General:

    • У полі Template display name введіть назву, наприклад, "SSL Certificates".

  2. Перейдіть на вкладку Security:

    • Виберіть Authenticated Users та відмітьте Enroll у колонці Allow. Натисніть OK.

Публікація нового шаблону

  1. Закрийте консоль Certificate Templates.

  2. У консолі Certification Authority клацніть правою кнопкою миші на Certificate TemplatesNew → Certificate Template to Issue.

  3. Виберіть створений шаблон (наприклад, "SSL Certificates") і натисніть OK.

Тепер шаблон з’явиться у розділі Certificate Templates у консолі Certification Authority.


1.2 Генерація сертифіката для ADFS

Після створення шаблону сертифіката згенеруйте сертифікат для сервера ADFS:

Відкрийте MMC (Microsoft Management Console)

  1. Натисніть Win + R, введіть mmc.exe і натисніть Enter.

  2. Перейдіть до File → Add/Remove Snap-in… → Виберіть Certificates і натисніть Add.

  3. Виберіть Computer account і натисніть Finish.

Запит нового сертифіката

  1. Розгорніть Certificates (Local Computer) → Клацніть правою кнопкою миші на PersonalAll Tasks → Request New Certificate.

  2. Пройдіть майстер до моменту вибору шаблону.

  3. Виберіть створений шаблон (наприклад, "SSL Certificates") і натисніть More information is required to enroll for this certificate.

Зазначення деталей сертифіката

  1. У групі Subject name:

    • Встановіть Type як Common Name і введіть повне доменне ім'я (FQDN) вашого сервера ADFS (наприклад, adfs.ad.contoso.com). Натисніть Add.

  2. У групі Alternative name:

    • Встановіть Type як DNS і введіть FQDN ще раз (наприклад, adfs.ad.contoso.com). Якщо сервер ADFS використовуватиме кілька імен, додайте їх усі.

Генерація сертифіката

  1. Після заповнення всіх полів натисніть OK, а потім Enroll для генерації сертифіката.

  2. Новий сертифікат з’явиться у розділі Certificates (Local Computer) → Personal.


1.3 Створення облікового запису служби для ADFS

Microsoft рекомендує використовувати Group Managed Service Account (gMSA) для запуску служби ADFS. Щоб створити обліковий запис, виконайте такі дії:

Підготовка служби розподілу ключів (KDS)

  1. Виконайте наступну команду PowerShell на контролері домену:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

Створення gMSA

  1. Використовуйте наступний синтаксис для створення облікового запису:

    New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
  2. Приклад:

    New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com

2. Інсталяція ролі ADFS

2.1 Додавання ролі ADFS

  1. Відкрийте Server Manager.

  2. Натисніть Manage → Add Roles and Features.

  3. Пройдіть майстер і виберіть Active Directory Federation Services на етапі вибору ролі.


2.2 Налаштування ADFS

  1. Після завершення інсталяції відкрийте панель Server Manager.

  2. Натисніть Configure the federation service on this server.

  3. Виконайте кроки майстра налаштування ADFS:

    • Specify the Certificate: Виберіть SSL-сертифікат, створений раніше.

    • Federation Service Name: Це поле автоматично заповниться на основі сертифіката (наприклад, adfs.contoso.com).

    • Federation Service Display Name: Введіть назву вашої організації.

    • Specify the Service Account: Використовуйте раніше створений gMSA (наприклад, FSgMSA).

  4. Залиште всі інші параметри за замовчуванням і завершіть налаштування.

Наступні кроки

Після налаштування ADFS інтегруйте його з Microsoft Exchange, налаштувавши аутентифікацію на основі заяв для OWA (Outlook Web App) і EAC (Exchange Admin Center).

Для отримання додаткової інформації зверніться до офіційної документації Microsoft щодо ADFS.

Last updated