Microsoft Official

Course

Mdulo 8

Implementao dos Servios

deFederao do Active
Directory

Viso geral do mdulo

Viso geral do AD FS
Implantao do AD FS
Implementao do AD FS para uma nica
organizao
Implantao do AD FS em um cenrio

defederao B2B

Lio 1: Viso geral do AD FS

O que Federao de Identidade?
O que a identidade baseada em
declaraes?
Viso geral de servios Web
O que o AD FS?
Como o AD FS habilita o SSO em uma
organizao nica
Como o AD FS habilita o SSO em uma
federaoB2B
Como o AD FS habilita o SSO com servios

online

O que Federao de Identidade?

Federao de identidade
Permite a distribuio de identificao,
autenticao eautorizao dentro dos limites
organizacionais edeplataforma
Requer uma relao de confiana federada entre
duasorganizaes ou entidades
Permite que as organizaes mantenham o
controle emrelao a quem pode acessar recursos
Permite que as organizaes mantenham o
controle desuas contas de usurio e grupo
Pode ser usado em uma nica organizao

O que a identidade baseada em

declaraes?

a (D Toke

n
ra da) ecl n d
u
g

ar a e
e
e s de sa
seg
d
n
s
es
e
u ra
Tok rae
d
e e na
a
l
c
ntr
(De
ad
a)

Identidade
Provedor
Segurana
Token
Servio

As declaraes fornecem
informaes sobre
usurios. As informaes
so fornecidas pelo
provedor de identidade do
usurio e aceitas pelo
provedor de aplicativo

Aplicativo
Provedor
Aplicativo

Viso geral de servios Web

Os servios Web usam um conjunto de
especificaes abertas para desenvolver
aplicativos que podem interoperar entre limites
Servios Web
So desenvolvidos com o uso de padres do setor,
comoXML, SOAP, WSDL e UDDI
Definem as especificaes de segurana usadas
porsistemas de federao de identidade
Definem o padro SAML para trocar declaraes
entreparceiros de federao

O que o AD FS?
ADFS a soluo de federao de identidade que
pode usarautenticao baseada em declaraes
O AD FS inclui os seguintes recursos
SSO da Web
Interoperabilidade de servios Web
Suporte a cliente passivo e inteligente
Arquitetura extensvel
Maior segurana
A verso do Windows Server 2012 do AD FS inclui
Integrao com Controle de Acesso Dinmico
Integrao com o sistema operacional Windows
Server 2012
Novos cmdlets do Windows PowerShell

AD FS e SSO em uma nica organizao

Rede de
permetro

Rede
corporativa
Controlado
r de
Domnio do
AD DS
7

Federao
Servio
Proxy

7
TT
3

Servidor
de Federao

Cliente externo

Servidor Web

AD FS e SSO em uma federao B2B

Trey Research

A. Datum
Confiana
deFedera
o

7
6

Active Directory

Conta Servidor
de Federao

Recurso
Servidor de Federao

8
5
4

10
3

Computador
cliente
interno

Servidor Web
11

AD FS e SSO com servios online

No local

Exchange Online
Confiana
deFederao

7
6

Active Directory

Servidor
de
Federa
o

Microsoft Online
Servidor de Federao
8
4

10

5
3

Computador
cliente

11

Servidor do
Outlook Web
App

Lio 2: Implantao do AD FS
Componentes do AD FS
Pr-requisitos do AD FS
Requisitos de PKI e certificado
Funes do Servidor de Federao
Demonstrao: Instalao da funo de

servidor do AD FS

Componentes do AD FS
Componentes do AD FS
Servidor de federao
Proxy do servidor

defederao
Declaraes
Regras de declarao
Repositrio de
atributos
Provedores de
declaraes

Terceiras partes

confiveis
Relao de confiana
do provedor de
declaraes
Relao de confiana
de terceira parte
confivel
Certificados
Pontos de extremidade

Pr-requisitos do AD FS
A infraestrutura crtica para uma implantao
bem-sucedida do AD FS inclui
Conectividade de rede TCP/IP
AD DS
Repositrios de atributos
DNS
Sistemas operacionais compatveis

Requisitos de PKI e certificado

Os Servios de Federao do AD FS Servios
requerem
Certificado SSL
Certificados de comunicao de servio
Certificados de assinatura de token
Certificados de descriptografia de token
Ao escolher certificados, verifique se
O certificado SSL e o certificado de comunicao
deservio so confiveis para todos os parceiros
defederao e clientes
A assinatura de token e os certificados de
descriptografia de token so confiveis para os
parceiros de federao

Funes do Servidor de Federao

Servidor de federao do provedor de
declaraes
Autentica os usurios internos
Emite tokens assinados que contm
declaraes de usurio
Servidor de federao de terceira parte
confivel
Consome tokens do provedor de
declaraes
Emite tokens para acesso de aplicativo
Proxy do servidor de federao
Deve ser implantado em uma rede de

Demonstrao: Instalao da funo de

servidor doAD FS
Nesta demonstrao, voc ver como

Instalar a funo de servidor do ADFS

Configurar a funo de servidor do AD FS

Lio 3: Implementao do AD FS para uma

nicaorganizao

O que so declaraes do AD FS?

O que so regras de declarao do AD FS?
O que uma relao de confiana de
provedor dedeclaraes?
O que uma relao de confiana de
terceira parte confivel?
Demonstrao: Configurao de relaes

deconfiana do provedor de declaraes

edeterceira parte confivel

O que so declaraes do AD FS?

As declaraes fornecem informaes sobre
usurios doprovedor de declaraes para o parceiro
confivel
AD FS
Fornece um conjunto padro de declaraes
internas
Permite a criao de declaraes personalizadas
Requer que cada declarao tenha um URI
exclusivo
As declaraes podem ser
Recuperadas de um repositrio de atributos
Calculadas com base em valores recuperados

O que so regras de declarao do AD FS?

As regras de declarao definem como as

declaraes soenviadas e consumidas pelos

servidores do AD FS
As regras de provedor de declaraes so regras

detransformao de aceitao
As regras de terceira parte confivel podem ser

Regras de transformao de emisso

Regras de autorizao de emisso
Regras de autorizao de delegao

Os servidores do AD FS fornecem regras de

declarao padro, modelos e uma sintaxe para a

O que uma relao de confiana de provedor

dedeclaraes?
As relaes de confiana do provedor de declaraes

So configuradas no servidor de federao de terceira

parteconfivel
Identificam o provedor de declaraes
Configuram as regras de declarao para o provedor
dedeclaraes
Em um cenrio de organizao nica, uma relao
deconfiana de provedor de declaraes chamada
ActiveDirectory define como as credenciais do usurio
doAD DS so processadas
As relaes de confiana de provedor de declaraes
adicionais podem ser configuradas
Pela importao dos metadados de federao
Pela importao de um arquivo de configurao
Pela configurao de uma relao de confiana

O que uma relao de confiana de terceira

parteconfivel?
As relaes de confiana de terceira parte confivel

So configuradas no servidor de federao do

provedor dedeclaraes
Identificam a terceira parte confivel
Configuram as regras de declarao para a terceira
parte confivel

Em um cenrio de organizao nica, uma relao de

terceira parte confivel define a conexo com

aplicativos internos
As relaes de confiana de terceira parte confivel

adicionais podem ser configuradas

Pela importao dos metadados de federao
Pela importao de um arquivo de configurao
Pela configurao de uma relao de confiana

Demonstrao: Configurao de relaes de

confiana do provedor de declaraes e de
terceira parte confivel
Nesta demonstrao, voc ver como

Configurar uma relao de confiana de provedor

dedeclaraes
Configure um aplicativo do Windows Identity
Foundation para AD FS
Configure uma relao de confiana de terceira
parteconfivel

Lio 4: Implantao do AD FS em um cenrio

defederao B2B

Configurao de um parceiro de conta

Configurao de um parceiro de recurso
Configurao regras de declaraes para
cenriosB2B
Como a descoberta de realm inicial funciona
Demonstrao: Configurao de regras

dedeclaraes

Configurao de um parceiro de conta

Um parceiro de conta um provedor de declaraes
emumcenrio de federao B2B
Para configurar um parceiro de conta
1. Implemente a topologia fsica
2. Adicione um repositrio de atributos
3. Configure uma relao de confiana de terceira
parteconfivel
4. Adicione uma descrio de declarao
5. Prepare computadores cliente para federao

Configurao de um parceiro de recurso

Um parceiro de recurso uma terceira parte
confivel emum cenrio de federao B2B
Para configurar uma terceira parte confivel
1. Implemente a topologia fsica
2. Adicione um repositrio de atributos
3. Configurar uma relao de confiana de
provedor dedeclaraes
4. Crie conjuntos de regras de declarao para a
relaode confiana de provedor de
declaraes

Configurao regras de declaraes para

cenrios B2B
Cenrios B2B podem exigir regras de declaraes

mais complexas
Voc pode criar regras de declaraes usando os

modelos seguintes
Enviar Atributos LDAP como Declaraes
Enviar associao a grupo como uma declarao
Passar ou filtrar uma declarao de entrada
Transformar uma declarao de entrada
Permitir ou negar usurios com base em uma
declarao de entrada
Voc tambm pode criar regras personalizadas

usando oidioma da regra de declarao do AD FS

Como a descoberta de realm inicial

funciona
A descoberta de realm inicial necessria em

parceiros derecurso quando federaes do ADFS

so configuradas com parceiros de conta
Para habilitar a descoberta de realm inicial, voc

pode
Solicitar informaes de realm inicial ao usurio
Modificar a URL para o aplicativo Web para
especificar orealm inicial

Demonstrao: Configurao de regras de

declaraes
Nesta demonstrao, voc ver como configurar

regras dedeclaraes

Laboratrio: Implementao dos Servios de

Federao do Active Directory
Exerccio 1: Configurao dos pr-requisitos dos
Servios de Federao do Active Directory
Exerccio 2: Instalao e configurao do AD FS
Exerccio 3: Configurao do AD FS para uma
organizaonica
Exerccio 4: Configurao do AD FS para parceiros

comerciaisde
federados
Informaes
logon
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-MUN-DC1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Tempo previsto: 90 minutos

Cenrio do laboratrio
A A. Datum Corporation configurou vrias relaes de confiana com outras
empresas eclientes. Algumas dessas empresas de parceiro e clientes devem
acessar aplicativos denegcios que esto sendo executados na rede da A.
Datum. Os grupos comerciais naA. Datum desejam fornecer um nvel
mximo de funcionalidade e acesso a essas empresas. Os departamentos de
Segurana e Operaes desejam assegurar que os parceiros e clientes
possam acessar apenas os recursos para os quais requerem acesso, eque a
implementao da soluo no aumenta a carga de trabalho
significativamente para a equipe de Operaes. A A. Datum tambm est
trabalhando na migrao de algumas partes da infraestrutura de para
servios online, inclusive o Windows Azure eOffice 365
Para satisfazer esses requisitos comerciais, a A. Datum planeja implementar
o ADFS. Naimplantao inicial, a empresa planeja usar o ADFS para
implementar SSO para usurios internos que acessam um aplicativo em um
servidor Web. A A. Datum tambmentrou em uma parceria com outra
empresa, a Trey Research. Os usurios daTrey Research devem poder
acessar o mesmo aplicativo
Como um dos administradores de rede snior da A. Datum, sua
responsabilidade implementar a soluo ADFS. Como uma prova de
conceito, voc planeja implantar umaplicativo de exemplo com

Reviso do laboratrio
Neste laboratrio, voc implementou o

acesso a um aplicativo com reconhecimento

de declaraes para usurios internos e
externos. Que etapas adicionais voc teve
que executar na terceira parteconfivel
para permitir o acesso para usurios
externos?
Como voc pode identificar quais
declaraes foram usadas para fornecer
acesso de usurio aoaplicativo de exemplo
do Windows Identity Foundation usado no
laboratrio?

Reviso e informaes complementares do

mdulo

Perguntas de reviso
Problemas e cenrios reais
Prtica recomendada
Problemas comuns e dicas de soluo

deproblemas