Active Directory Federation Service (AD FS) cho phép Quản lý truy cập và nhận dạng liên kết bằng cách chia sẻ an toàn. ADFS cho phép chia sẻ thông tin nhận dạng một cách an toàn bên ngoài hệ thống của công ty, để truy cập các tài nguyên ứng dụng web được lưu trữ bởi các tổ chức đã thiết lập mối quan hệ.. AD FS mở rộng khả năng sử dụng chức năng đăng nhập một lần (single sign-on) có sẵn doanh nghiệp. ADFS cho phép các tổ chức tạo “mối quan hệ tin cậy” với nhau trên internet, cho phép AD mở rộng xác định danh tính được thiết lập trong môi trường tại chỗ (on-prem) sang môi trường trên đám mây.
Exercise 1: Cài Đặt AD FS và Cấu Hình Web Application
Exercise 1: DC1 và DC2 thực hiện giống nhau
Bài lab hướng dẫn thực hiện trên DC1, khi thực hiện trên DC2 bạn sử dụng các thông số phù hợp với DC2
3. Cửa sổ New Host, trong phần Name nhập vào adfs, trong phần IP address nhập vào 192.168.1.2, ấn Add Host. 4. Ấn Ok, ấn Done. Đóng DNS ManagerTask 1: Tạo DNS record cho AD FS
6. Màn hình Select features page, chọn Windows Identity Foundation 3.5, ấn next. 7. Màn hình Active DirectoryCertificate Services ấn Next 8. Màn hình Select role Services, check chọn Certification Authority và Certification Authority Web Enrollment, ấn Next 9. Màn hình Web Server Role (IIS), ấn Next 10. Màn hình Select Role Services, check chọn ASP.NET 4.6, ấn Add Features, ấn next, Next và ấn Install 11. Sau khi cài xong, chọn Configure Active Directory Certificate Services on the destination server. 12. Màn hình Credentials, ấn Next. 13. Màn hình Role Services, đánh dấu chọn Certification Authority và Certification Authority Web Enrollment, ấn Next 14. Tất cả các màn hình còn lại để các tùy chọn mạc định ấn next, cuối cùng ấn Configure và ấn Close 2 lần.Task 2: Cài và cấu hình Active Directory Certificate Services
Task 3: Tạo Web Application
2. Màn hình Server Certificates, bên phải chọn Create Domain Certificate 3. Cửa sổ Create Certificate, trong phần common name nhập vào dc1.ctl.vn (thay ctl.vn bằng tên domain của bạn), nhập đầy đủ các thông tin còn lại ấn Next 4. Màn hình Online Certification Authority, ấn Select chọn CA server của bạn (ctl-dc1-CA). trong phần Friendly name, nhập dc1.ctl.vn, ấn Finish 5. Thực hiện lại từ bước 2 đến bước 4 để yêu cầu certificate là adfs.ctl.vn. (thay ctl.vn bằng tên domain của bạn)Task 4: Yêu cầu certificate cho Web server và ADFS
3. Màn hình Add Site Binding, trong phần Type chọn https, trong phần SSL Certificate chọn dc1.ctl.vn, ấn OK, và ấn CloseTask 5. Cấu hình HTTPS
Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10)) 2. Tại máy DC1, Vào Server Manager, chọn Add roles and features 3. Màn hình Before You Begin ấn Next. 4. Màn hình Select installation type ấn Next 5. Màn hình Select destination server, chọn option Select a server from the server pool, ấn Next. 6. Màn hình Select server roles, check vào Active Directory Federation Services, ấn Next. 7. Các màn hình còn lại để mặc định ấn Next và Install. 8. Sau khi cài xong chọn Configure federation service on this server 8. Màn hình Welcome, ấn Next 9. Màn hình Connect to Active Directory Domain Services ấn Next. 10. Màn hình Specify Service Properties, trong phần SSL Certificate chọn adfs.ctl.vn, trong phần Federation Service Display Name nhập vàp ADFS Demo App, ấn Next 11. Màn hình Specify Service Account, chọn option Create a Group Managed Service Account, nhập user CTL\ADFSService, ấn Next. 12. Các màn hình còn lại ấn next, và ấn Configure, chờ cấu hình xong ấn Close và Close 13. Vào IE truy cập vào link sau, nếu truy cập được là bạn đã cài AD FS thành công. https://adfs.ctl.vn/federationmetadata/2007-06/federationmetadata.xml.Task 6. Cài AD FS
3. Màn hình Edit Claim rules for Active directory, ấn Add Rule 4. Màn hình Select rule template, trong phần Claim rule template chọn Send LDAP Attributes as Claims, ấn Next 5. Màn hình Configure Rule, trong phần Claim rule name nhập Outbound LDAP Attributes Rule, Trong phần Attribute store chọn Active Directory, trong phần Mapping of LDAP attributes to outgoing claim types chọn các thông tin sau ấn Finish, và OK:Task 7: Cấu Hình AD FS
4. Màn hình Token Service, chọn option Use an Existing STS, trong phần STS WS-Federation metadata document location, nhập vào https://adfs.ctl.vn/federationmetadata/2007-06/federationmetadata.xml, ấn Next 5. Các màn hình còn lại để mặc định ấn next, Finish, và OKTask 8: Cấu hình Web Application
Add-ADFSRelyingPartyTrust –Name ‘CTL Demo App’ –MetadataURL ‘https://dc1.ctl.vn/demoapp/federationmetadata/2007-06/federationmetadata.xml’ 2. Trở lại AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL demo App, chọn Edit Access Control Policy…, 3. Màn hình Edit access control policy, chọn Permit everyone, và ấn OKTask 9: Cấu hình relying party trust cho claims-aware application
3. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next 4. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through Windows Account Name, trong phần Incoming claim type chọn Windows account name, ấn Finish 5. Trở lại màn hình Edit Claim Issuance Policy, tiếp tục ấn Add Rule 6. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next 7. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through E-Mail Address, trong phần Incoming claim type chọn E-Mail Address, ấn Finish 8. Trở lại màn hình Edit Claim Issuance Policy, tiếp tục ấn Add Rule 9. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next 10. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through UPN, trong phần Incoming claim type chọn UPN, ấn Finish. 11. Trở lại màn hình Edit Claim Issuance Policy, tiếp tục ấn Add Rule 12. Màn hình Select Rule Template, Chọn Pass Through or Filter an Incoming Claim, ấn Next 13. Màn hình Configure Rule, Trong phần Claim rule name nhập vào Pass through Name, trong phần Incoming claim type chọn Name, ấn Finish, và OK.Task 10: Cấu hình claim rules cho relying party trust
2. Màn hình Advanced Settings, trong phần Load User Profile, chọn True, ấn OK 3. Tại máy DC1, vào IE truy cập vào https://dc1.ctl.vn/demoapp/, đăng nhập vào bằng user ctl\administrator, (thay ctl bằng tên domain của bạn) (lưu ý phải có dấu / ở cuối link https://dc1.ctl.vn/demoapp/)Task 11. Kiểm tra truy cập vào claims-aware application.
Exercise 2: Cấu hình ADFS với Partner
Lưu ý: Cả 2 máy DC1 và DC2 đã hoàn thành xong Exercise 1
Task 1. Cấu hình DNS Conditional Forwarder (Thực hiện cả 2 máy DC1 và DC2)
3. Màn hình Certificate ấn Install Certificate 4. Màn hình Welcome to the Certificate Import Wizard, chọn Option Local Machine 5. Màn hình Certificate Store, chọn option Place all certificates in the following store, ấn Browse, chọn Trusted Root Certification Authorities, chọn Next, Finish, và OK 6. Tại máy DC2 truy cập vào thư mục CertEnroll của máy DC1, thực hiện lại từ bước 2 đến bước 5.Task 2. Cấu hình Trust Root Certificate (Thực hiện cả 2 máy DC1 và DC2)
1. Tại máy DC1, vào PowerShell thực hiện lệnh sau (Thay vnseolab.com bằng domain của bạn): Add-AdfsClaimsProviderTrust –Name ‘VNseo App’ –MetadataUrl ‘https://dc2.vnseolab.com/federationmetadata/2007-06/federationmetadata.xml’ 2. Tiếp tục thực hiện lệnh sau: Set-AdfsProperties –IgnoreTokenBinding $true 3. Tại máy DC1, vào AD FS Management, bên trái chọn Claims Provider Trusts, phải chuột VNSeo App, chọn Edit Claim Rules. 4. Màn hình Edit Claim Rules for VNSEO App chọn Add Rule 5. Màn hình Select Rule template, chọn Pass Through or Filter an Incoming Claim, ấn Next 6. Màn hình Confiruge Rule, trong phần Claim rule name nhập vào Pass through Windows Account Name, trong phần Incoming claim type chọn Windows account name, chọn Finish, ấn Yes và OKTask 3. Cấu hình Claims Provider Trust với Partner (chỉ thực hiện trên DC1)
Add-ADFSRelyingPartyTrust –Name ‘CTL test App’ –MetadataURL ‘https://adfs.ctl.vn/federationmetadata/2007-06/federationmetadata.xml’ 2. Tại máy DC2, vào AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL test App, chọn Edit Claim Issuance Policy. 3. Màn hình Edit Claim Issuance Policy for CTL test App chọn Add Rule 4. Màn hình Select Rule template, chọn Pass Through or Filter an Incoming Claim, ấn Next 5. Màn hình Confiruge Rule, trong phần Claim rule name nhập vào Pass through Windows Account Name, trong phần Incoming claim type chọn Windows account name, ấn Finish, ấn OK 6. Tại máy DC2, vào AD FS Management, bên trái chọn Relying Party Trusts, phải chuột vào CTL test App, chọn Edit Access Control Policy 7. Màn hình Edit Access Control Policy for CTL test App, chọn Permit Everyone, sau đó chọn OK. Task 4. Cấu hình Relying Party Trusts (Thực hiện trên máy DC2)
3. Truy cập thành công vào application trên máy DC1 thành công. 4. Sử dụng user trên máy DC2 đăng nhập thành công vào App trên máy DC1, triển khai chứng thực liên kết thành công.Task 5. Kiểm Tra ADFS
Hoàn tất bài lab