I forrige artikkel, har vi satt opp en enkel web-applikasjon som kan brukes til testformål. I denne artikkelen vil jeg vise deg hvordan du kan koble denne web-applikasjon til Active Directory Federation Service. Etter den tid at du kommer til slutten av denne artikkelen, vil alle av infrastrukturen være på plass, og du vil være i stand til å betjene BYOD arbeidsplassen bli med forespørsler.

Jeg viste også hvordan du kan sette opp en enkel web app som du kan bruke for testformål. Selv om programmet er fullt funksjonell på dette punktet, vi fortsatt trenger å gjøre Active Directory Federation Services klar over app.

Konfigurer Web App til å arbeide med Federation Server

For å konfigurere Web-app for å arbeide med federation server, åpne File Explorer på webserveren og navigere til C: \\ Program Files (x86) \\ Windows Identity Foundation SDK \\ 3.5. Ved å gjøre det, dobbeltklikk på FedUtil.exe filen. Windows vil da starte Federation Utility.

Dette verktøyet krever at du oppgir et program konfigurasjon beliggenhet og et program URI. Søknaden konfigurasjon stedet bør settes til C: \\ inetpub \\ claimapp] Web.cfg. Søknaden URI må samsvare med URL som du setter opp i den forrige artikkelen. For eksempel, på min server URI er https://web.byod-lab.com/Claimapp/. Du kan se hvordan dette ser ut som i figur A.

Figur A: Du må skrive inn en søknad konfigurasjon beliggenhet og et program URI

Klikk på Neste og Windows vil spørre deg om du ønsker. å bruke Security Token service. Velg Bruk en eksisterende STS alternativ. Du vil også måtte oppgi Active Directory Federation Server ’ s metadata plassering. URL-adressen du må skrive inn vil variere avhengig av hvordan du har konfigurert miljø. Hvis du bruker samme navnekonvensjon som jeg er så kommer du inn https://adfs.byod-lab.com/federationmetadata/2007-06/federationmetadata.xml. Du kan se hvordan dette ser ut som i figur B.

Figur B: Du må angi en plassering for Active Directory Federation Service ’ s metadata

Klikk på Neste, og vil du bli bedt om å velge. om du ønsker å bruke sertifikatkjede validering. Velg Deaktiver Certificate Chain Validering og klikk på Neste.

Du vil nå bli bedt om å konfigurere token-kryptering. Velg Ingen kryptering og klikk på Neste.

På dette punktet, bør du se Tilbys Krav siden. Klikk på Neste for å godta standardinnstillingene. Når du gjør det, vil du bli ført til et oppsummeringsskjerm. Kryss av i boksen merket planlegge en oppgave å utføre daglige WS-Federation Metadata Oppdateringer og klikk deretter Fullfør.

Testing av omadressering Process

På dette stadiet i prosessen, er det en god idé å åpne Internet Explorer og skriver inn URL for nett app. Som du kanskje husker, konfigurert jeg mine demo servere for å bruke følgende URL: https://web.byod-lab.com/Claimapp/

Når du skriver inn denne URL, bør du bli omdirigert til Active Directory Federation Service server. Du kan bekrefte omdirigering ved å se på nettadressen. Selv om omdirigering prosessen skal fungere, bør Active Directory Federation Service forårsake nettleseren din for å vise en feilmelding som vist i figur C. Denne feilen oppstår fordi vi ennå ikke har konfigurert en videresending parti tillit.

Figur C : Active Directory Federation Service-serveren skal produsere en feil

Prosjektering av en stafett Partiet Trust

Det siste trinnet i server side konfigurasjon prosessen er å skape en videresending parti tillit på Active Directory Federation. Server. For å gjøre dette, må du logge inn på din Active Directory Federation Service-serveren og deretter velge AD FS Ledelse kommandoen fra Server Manager ’ s Verktøy-menyen. . Dette vil føre til Windows for å åpne AD FS ledelse konsollen

Naviger gjennom konsolltreet til AD FS | Trust relasjoner | Videresending Fest klareringer. Nå, klikk på Legg til Videresending Partiet Trust kommando, som finnes i Handlinger-ruten. Dette vil føre til Windows for å starte Add Videresending Partiet Trust Wizard

Klikk på Start for å omgå veiviseren ’ s. Velkomstskjermen. Når du gjør det, vil du bli tatt til Velg datakilde skjermen. Velg alternativet for å importere data om videresending Partiet publisert online eller på et lokalt nettverk. Ved å gjøre det, må du skrive inn metadata URL for nett app. Dette er en lignende URL til den som du brukte tidligere, bortsett fra at du må henvise til en XML-fil som ble opprettet av FedUtil.exe verktøyet. Hvis du bruker de samme navnekonvensjoner som jeg er, vil URL være https://Web.byod-lab.com/claimapp/federationmetadata/2007-06/federationmetadata.xml. Du kan se hvordan dette ser ut som i figur D.

Figur D: Du må angi plasseringen av federationmetadata.xml filen

Klikk neste, og vil du bli bedt om å gi en skjerm. navn. Klikk på Neste for å godta standardinnstillingene.

Du vil nå bli tatt til multifaktor autentisering siden. Velg Jeg ønsker ikke å konfigurere Multi-faktor autentisering innstillinger for videresending Partiet Trust på denne tiden og klikk på Neste.

Den neste skjermen som du vil se er alt bygd opp velge Utstedelse Authorization Regler skjermen. Velg Tillat alle brukere å få tilgang til denne videresending Parti og klikk på Neste. Klikk på Neste gang på klar til å legge Trust skjermen. Klikk Lukk for å fullføre veiviseren.

Når Add Videresending Partiet Trust Wizard stenger, Rediger krav Regelveiviser skal åpne. Klikk på Legg til regel knappen. Du vil nå bli bedt om å velge en regel type. Velg Send Krav bruke en tilpasset regel alternativ, og deretter klikker du Neste. Du vil nå bli bedt om å angi en egendefinert regel. Du må ringe regelen alle krav og regelen skal se slik ut:

C: []

= > problemet (krav = c);

Du kan se hvordan dette ser ut som i figur E. Klikk Fullfør, etterfulgt av OK for å fullføre prosessen

Figur E:. Du er nødt til å skape en definert regel.

En annen Test

På dette punktet, anbefaler jeg å gå tilbake til din webserver og forsøker å få tilgang til web app URL igjen. Denne gangen skal du bli spurt om et sett med legitimasjon. Når du oppgi legitimasjon, bør du bli tatt til krav app, som du kan se i figur F.

Figur F:. Dette er hva kravet app skal se ut

Konklusjon

Som du kan se i forrige figur, var vi i stand til å omdirigere en forespørsel som var ment for vår webserver til Active Directory Federation Server. Active Directory Federation Server gitt den nødvendige krav og deretter videresendt forespørselen tilbake til webserveren. Web-programmet vist på figuren fungerer som bevis på at prosessen fungerer.

Per akkurat nå, har vi alt av nødvendig infrastruktur på plass for å legge til rette for sluttbruker forespørsler fra personlige enheter. I neste artikkel vil jeg konkludere serien ved å vise deg hvordan du importerer et sertifikat til en sluttbruker enhet, og hvordan du utfører en arbeidsplass delta på enheten. Arbeidsplassen delta vil tillate sluttbrukeren ’ s enhet for å få tilgang til web-applikasjon som vi har satt opp på tross av det faktum at enheten ikke er faktisk koblet til Active Directory-domene
.