Triển khai mô hình Federated Identity – Survival Series (Part 2)


I) Chun b Active Directory

1) Máy ch Active Directory cp nht Windows Update đy đ

2) Kim tra DNS Record trong domain đy đ các máy ch trong mô hình Forward Lookup Zone và Reverse Lookup Zone

3) To tài khon Service Account trong AD Users & Computers đ làm tài khon chy dch v ADFS trong h thng

4) To thêm Forward Lookup Zone cho Public Domain bên ngoài t chc (hptvietnam.com) à Và to Record (A) vi đa ch “SSO.HPTVIETNAM.COM” tr v IP máy ch ADFS (10.0.18.9)

II) Import Public Certificate cho máy ch ADFS và ADFS Proxy

Trước khi cài đt role ADFS, người qun tr phi chun b sn Certificate Public đ import vào 2 máy ch ADFS và ADFS Proxy. Bài lab này tôi s dng Certificate Public dng Wild Card (*.hptvietnam.com), người dùng cũng có th s dng certificate vi SAN Name ging vi “Federation Service Name – sso.hptvietnam.com)

1) Chun b sn Certificate (đuôi .pfx) có nhúng sn “Private Key”

2) Trên máy ADFS, vào Run à Gõ “mmc”:

3) Chn tiếp File à Add/Remove Snap-in à Chn tiếp Certificate à Chn “Local Computer”

4) Chut phi “Personal” à chn All Tasks à Import Certificate:

5) Khai báo đường dn certificate vào:

6) Chn “Include All extended properties” và “Mark this key as exportable”:

7) Import thành công

Làm tương t cho máy ch Web Application Proxy (ADFS Proxy)

III) Cài đt và cu hình máy ch ADFS (Active Directory Federation Services)

1) Cài đt Role Active Directory Federation Services


2) Cài đt luôn feature “.Net Framework 3.5”


3) Hoàn tt quá trình cài đt Role à Chn vào du chm than màu vàng và tiếp tc cu hình ADFS


4) Chn người dùng có quyn Enterprise Admin + Domain Admin đ cu hình Federation vào Active Directory:


5) Khai báo Certificate va import vào bước trên, chn Federation Service Name cho dch v ADFS là “SSO.HPTVIETNAM.COM”:


6) Khai báo Service Account cho dch v ADFS đã to bước trên:


7) Chn Windows Internal Database nếu bn cài đt 1 máy ch ADFS (Standalone Server), nếu cài đt 2 ADFS Server thì nên cài SQL Server:


8) Hoàn tt cu hình à Chn “Configure” đ tiến hành cài đt:


9) Hoàn tt cu hình máy ch ADFS:


10) Vào Services.msc à Kim tra dch v ADFS đang “Running”


11) M Internet Explorer và kim tra dch v đã cu hình thành công hay chưa:

https://sso.hptvietnam.com/federationmetadata/2007-06/federationmetadata.xml


https://sso.hptvietnam.com/adfs/ls/idpinitiatedsignon.htm


Hoàn tt cu hình máy ch ADFS

IV) Cài đt và cu hình máy ch Web Application Proxy (Active Directory Federation Services Proxy)

1) Kim tra card mng ca máy ch WAP là 2 card mng:

  • Card Internal: ch khai báo IP (10.0.18.73/24), không tr Default Gateway
  • Card External: bài lab này tôi gn IP Public trc tiếp và có Gateway. Đi vi doanh nghip, nên NAT Port 443 t Firewall card này

2) Do máy ch này không có tham gia domain ni b, nên cn phi cu hình Host File DNS tr v ADFS server à Vào “C:\Windows\System32\Drivers\Etc\Host”

3) Khai báo “10.0.18.9 sso.hptvietnam.com” tr v ADFS vi Federation Service Name

4) Cài đt Role “Web Application Proxy”:

5) TIến hành cu hình Web Application Proxy:

6) Khai báo Federation Service Name + quyn Administrator Local máy ch “ADFS”:

7) Chn Certificate va khai báo bước trên:

8) Kim tra li cu hình và tiến hành cài đt à Chn Configure:

9) Cài đt và cu hình thành công:

10) Vào Server Manager à Web Application à chn Operation Status s thy trng thái ca Federation Service va cu hình

11) Chn Publish đ public dch v Federation Service ra ngoài t chc (External Access) à Chn Pass-through

12) Khai báo đường dn “External URL” và Certficiate Public à Backend Server URL s tr v Federation Service Name

13) Kim tra li cu hình và chn “Publish”

13) Hoàn tt Publish dch v

V) Kích hot Domain tr thành Federated Domain

Sau khi đã cu hình 2 máy ch ADFS, ADFS Proxy. Lúc này h thng đã sn sàng đ chy mô hình Federated Identity. Bước tiếp theo, người qun tr phi lên Azure Active Directory đ kích hot cho domain mình tr thành “Federated Domain” (trong bài lab tôi là hptvietnam.com).

Lưu ý: thc hin bước này trên máy ch ADFS Server

1. Ti v và cài đt Microsoft Online Services Sign-In Assistant for IT Professionals RTW ti đây: http://go.microsoft.com/fwlink/?LinkID=286152

2. Tiếp theo, ti v và cài đt Windows Azure Active Directory Powershell ti đây: http://go.microsoft.com/fwlink/?LinkID=286152

3. M Windows Azure Active Directory Powershell à gõ lnh “connect-msolservice” và đăng nhp tài khon Global Admin ca Office 365

4. Gõ lnh “Get-MsolDomain” đ xem loi hình chng thc ca tng domain

5) Nếu domain public ca bn đang là cơ chế “Authentication : Managed” có nghĩa là đang chng thc trc tiếp Office 365. Lúc này bn cn phi convert thành “Federated Domain” à gõ lnh “Conver-MsolDomainToFederated –DomainName hptvietnam.com”


V) Kim tra tính năng Single-Sign On (SSO)

Sau khi hoàn tt cu hình h tng, người dùng tìm mt máy trm trong mng ni b (Joined Domain) đ tiến hành kim tra tính năng SSO

1) M trình duyt và truy cp vào đường dn http://portal.office.com
à Khai báo tài khon đăng nhp (lưu ý tài khon này vi tài khon trên Office 365 là mt, vì đã đng b tài lên Office 365 công c Active Directory Synchronize Services)


2) Hình bên dưới s chuyn sang trang ADFS ca Federation Service thay vì chng thc t đng à Rt đơn gin, do bn chưa them http://sso.hptvietnam.com vào Intranet Zone ca Internet Explorer. Tiếp tc làm bước bên dưới


3) M IE (Internet Explorer) à Vào Option à Th Security à Local Intranet à chn “Advanced” à khai báo đường dn Federation Service Name ca bn vào ( bài lab này là : https://sso.hptvietnam.com”


4) Tiến hành truy cp li http://portal.office.com và khai báo li username đăng nhp. Lúc này h thng s t điu hướng và chng thc nh vào ADFS Role


5) Kết qu, bn đã vào thng Office 365 Portal thông qua tri nghim Single-Sign On


Hoàn thành vic cu hình mô hình Federated Identity. Hãy tiếp tc vi bài viết “Giám sát sc khe h thng vi Azure AD Connect Health”

Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

12 ÷ = 2

LinkedIn Auto Publish Powered By : XYZScripts.com