Pianificare e distribuire ADFS 2.0 per l'utilizzo con Single Sign-On

La topologia predefinita per Office 365 è una server farm federativa di AD FS 2.0 costituita da server multipli che ospitano il servizio federativo dell'organizzazione. In questa topologia, AD FS 2.0 utilizza WID come database di configurazione di AD FS 2.0 per tutti i server federativi che sono connessi alla farm. La farm replica e mantiene i dati del servizio federativo nel database di configurazione di tutti i server della farm.

La creazione del primo server federativo in una farm crea anche un nuovo servizio federativo. Quando WID viene utilizzato come database di configurazione di AD FS 2.0, il primo server federativo che viene creato nella farm viene definito server federativo primario. Questo significa che il computer verrà configurato con una copia di lettura/scrittura del database di configurazione di AD FS 2.0.

Tutti gli altri server federativi configurati per questa farm sono definiti server federativi secondari, poiché devono replicare tutte le modifiche effettuate nel server federativo primario alle relative copie di sola lettura del database di configurazione di AD FS 2.0 che memorizzano localmente.

Nota:
Consigliamo di utilizzare almeno due server federativi in una configurazione con carico bilanciato.

La configurazione di questa topologia di base della server farm federativa costituisce la prima fase della distribuzione di AD FS 2.0. La seconda fase consiste nella determinazione di come fornire la funzionalità di controllo all'accesso per gli utenti esterni tramite la distribuzione di proxy server federativi.

Fase 1: distribuzione della server farm federativa

---

Per iniziare a distribuire la farm, è necessario pianificare la collocazione di tutti i server federativi della rete aziendale dietro un host di bilanciamento carico di rete (NLB) che può essere configurato per un cluster NLB con nome DNS del cluster e indirizzo IP del cluster dedicati.

Importante:
Questo nome DNS del cluster deve corrispondere al nome del servizio federativo (ad esempio, fs.fabrikam.com) ed essere instradabile su Internet per l'istanza di AD FS 2.0 distribuita. Se il nome non corrisponde, la richiesta di autenticazione non sarà instradata al server DNS o al server federativo corretto.

L'host NLB può utilizzare le impostazioni definite in questo cluster NLB per allocare le richieste client nei server federativi singoli. Il diagramma seguente illustra in che modo Fabrikam, Inc. potrebbe configurare la prima fase della loro distribuzione utilizzando una server farm federativa a due computer (fs1 e fs2) con WID e il collocamento di un server DNS e di un host singolo NLB collegato alla rete aziendale.

Nota:
Se si verifica un errore in questo host NLB singolo, gli utenti non saranno in grado di accedere ai servizi di Office 365. Se i propri requisiti aziendali non consentono un singolo punto di errore, aggiungere altri host NLB.

Fase 2: distribuzione dei proxy server federativi

---

In generale, i proxy server federativi vengono utilizzati per reindirizzare verso la server farm federativa le richieste di autenticazione del client provenienti dall'esterno della rete aziendale. Per i clienti enterprise di Office 365 la distribuzione dei proxy server federativi nell'infrastruttura esistente di AD FS 2.0 è necessaria per abilitare i seguenti scenari utente:

• Roaming con un computer di lavoro: gli utenti collegati a computer appartenenti a un dominio tramite le credenziali aziendali ma non connessi alla rete aziendale (ad esempio, un computer di lavoro a casa o in albergo) possono accedere ai servizi di Office 365.
  
• Computer di casa o pubblico: se l'utente utilizza un computer non appartenente al dominio aziendale, deve effettuare l'accesso ai servizi di Office 365 con le credenziali aziendali.
  
• Smartphone: con uno smartphone, per accedere ai servizi di Office 365, ad esempio a Microsoft Exchange Online utilizzando Microsoft Exchange ActiveSync, l'utente deve effettuare l'accesso con le credenziali aziendali.
  
• Microsoft Outlook o altri client di posta elettronica: se l'utente utilizza Outlook o un client di posta elettronica non incluso in Office, ad esempio IMAP o POP, deve effettuare l'accesso alla posta elettronica di Office 365 attraverso le credenziali aziendali.
  

Per supportare tali scenari utente, la seconda fase si basa sulla fase 1 di distribuzione precedentemente illustrata, aggiungendo due proxy server federativi, fornendo accesso a un server DNS nella rete perimetrale e accesso a un secondo host NLB nella rete perimetrale.

Il secondo host NLB deve essere configurato con un cluster NLB che utilizza un indirizzo IP del cluster accessibile su Internet e che deve utilizzare la medesima impostazione del nome DNS del cluster che è stata configurata nella rete aziendale per la fase 1 (fs.fabrikam.com). I proxy server federativi verranno configurati anche con indirizzi IP accessibili su Internet.

Il diagramma seguente illustra la distribuzione attuale della fase 1 e il modo in cui Fabrikam, Inc. potrebbe fornire accesso a un server DSN perimetrale, aggiungere un secondo host NLB con il medesimo nome DNS del cluster (fs.fabrikam.com) e aggiungere due proxy server federativi (fsp1 e fsp2) alla rete perimetrale.

Nota:

Per pubblicare AD FS 2.0 nella extranet, è possibile ricorrere a soluzioni di proxy inverso HTTP di terze parti. Per ulteriori informazioni sulla procedura, vedere Configurazione delle opzioni avanzate per ADFS 2.0. L'intera comunicazione di AD FS 2.0 che passa attraverso il firewall è basata su HTTPS. In AD FS 2.0 è possibile creare regole di attestazione personalizzate che limiteranno l'accesso degli utenti ai servizi di Office 365 a seconda della posizione fisica del computer o del dispositivo client attraverso cui l'utente richiede l'accesso. Per ulteriori informazioni sulla creazione di queste regole, vedere Limitazione dell'accesso ai servizi di Office 365 in base alla posizione del client.

Questa è un'opzione di topologia di distribuzione di AD FS 2.0 che utilizza i proxy server proxy federativi e una configurazione SQL Server per abilitare tutti i server federativi della farm alla lettura e alla scrittura in un database comune SQL Server. L'utilizzo di un database SQL Server come database di configurazione di AD FS 2.0 fornisce i seguenti benefici tramite WID:

• Funzionalità di disponibilità elevata di SQL Server che possono essere utilizzate dagli amministratori.
  
• Ulteriori miglioramenti alle prestazioni, tra cui la capacità di eseguire una scalabilità orizzontale utilizzando più di cinque server federativi (WID è limitato a cinque server federativi per farm).
  
• Bilanciamento del carico geografico per facilitare gli incrementi in presenza di traffico elevato in base alla posizione.
  

Nota:
Poiché questa topologia rappresenta un'opzione avanzata di distribuzione di AD FS 2.0, i dettagli relativi al funzionamento e alla modalità di distribuzione non verranno trattati nel presente articolo.

Per ulteriori informazioni su questa opzione di topologia, vedere Configurazione delle opzioni avanzate per ADFS 2.0.

La tabella seguente può essere utilizzata per valutare più facilmente il numero minimo di server federativi di AD FS 2.0 e di proxy server federativi da collocare nella server farm federativa configurata con WID all'interno dell'infrastruttura di rete aziendale, sulla base del numero di utenti che richiedono l'accesso Single Sign-On, tra cui l'accesso remoto, a Office 365.

Nota:
Tutti i computer che verranno configurati per il ruolo del server federativo o del proxy server federativo dovranno eseguire il sistema operativo Windows Server 2008 o Windows Server 2008 R2.

Si consiglia di utilizzare un server federativo per rappresentare la ridondanza. La tabella seguente rispetta tale consiglio.

Numero di utenti che accedono a Office 365	Numero minimo di server da distribuire	Consiglio e passaggi da eseguire
Meno di 1000 utenti	0 server federativi dedicati 0 proxy server federativi dedicati 1 server NLB dedicato	Per i server federativi, utilizzare due controller di dominio esistenti di Active Directory e configurarli entrambi per il ruolo server federativo. Per eseguire questa operazione, selezionare prima i due controller di dominio esistenti e quindi: Installare AD FS 2.0 in entrambi i controller di dominio. Configurarne uno come primo server federativo in una nuova farm. Connettere il secondo alla server farm federativa. Per NLB, configurare un host NLB esistente oppure ottenere un server dedicato e quindi installare il ruolo server NLB su di esso, quindi configurare il server NLB. Per i proxy server federativi, utilizzare due server Web o proxy esistenti e configurarli entrambi per il ruolo proxy server federativo. Per eseguire questa operazione, selezionare due proxy server esistenti nella Extranet, quindi: Installare AD FS 2.0 su entrambi i server. Configurarli per il ruolo proxy server federativo. Installare il ruolo server NLB in uno dei proxy server federativi oppure configurare un host NLB esistente. Nota: Se non si dispone di due controller di dominio esistenti e due server Web o proxy oppure questi non eseguono né Windows Server 2008 né Windows Server 2008 R2, è preferibile distribuire due server dedicati, come illustrato nella riga successiva di questa tabella.
Da 1000 a 15.000 utenti	2 server federativi dedicati 2 proxy server federativi dedicati	Per i server federativi, ottenere due server dedicati, quindi: Installare AD FS 2.0 su entrambi i server. Configurarne uno come primo server federativo di una nuova farm. Connettere il secondo alla farm. Installare il ruolo server NLB in uno dei server federativi o configurare un host NLB esistente. Per i server federativi, ottenere due server dedicati che possono essere collocati nell'extranet: Installare AD FS 2.0 su entrambi i server. Configurarli per il ruolo proxy server federativo. Installare il ruolo server NLB in uno dei proxy server federativi oppure configurare un host NLB esistente.
Da 15.000 a 60.000 utenti	Tra 3 e 5 server federativi dedicati Almeno 2 proxy server federativi dedicati	Ciascun server federativo dedicato può supportare circa 15.000 utenti. Pertanto, per ogni 15.000 utenti che devono accedere a Office 365, aggiungere un server federativo dedicato aggiuntivo alla distribuzione di base di due server federativi descritta in precedenza, fino a un massimo di cinque server federativi in una farm o di 60.000 utenti. Nota: Una server farm federativa di AD FS 2.0 configurata per l'utilizzo di WID supporta un massimo di cinque server federativi. Se ne sono necessari più di cinque, dovrà essere configurato un database di SQL Server per l'archiviazione del database di configurazione di AD FS 2.0. Per ulteriori informazioni su questa opzione, vedere Configurazione delle opzioni avanzate per ADFS 2.0.

Il numero minimo di utenti consigliati per i server indicati nella tabella precedente sono calcolati sulla base del seguente hardware:

Quando in una farm si configurano due o più server federativi mediante la tecnologia NLB, possono funzionare in modo indipendente per facilitare l'elaborazione del carico delle richieste in entrata degli utenti al servizio federativo di AD FS 2.0 senza impattare negativamente le prestazioni generali del servizio globale. Pertanto, al momento di aggiungere altri server federativi all'ambiente di produzione esistente dopo aver distribuito in modo strategico nella rete i server federativi iniziali, l'overhead sarà minimo.

Completare i seguenti passaggi

Il software AD FS 2.0 deve essere installato su tutti i computer che devono essere preparati per il ruolo server federativo o proxy server federativo. Il software può essere installato tramite l'installazione guidata di AD FS 2.0 oppure effettuando l'installazione non interattiva tramite il parametro adfssetup.exe /quiet della riga di comando.

Per una piattaforma di installazione di base, AD FS 2.0 richiede il sistema operativo Windows Server 2008 o Windows Server 2008 R2. AD FS 2.0 dispone di un pacchetto di installazione separato per ciascuna piattaforma del sistema operativo.

I certificati rivestono il ruolo più importante nel rendere sicure le comunicazioni tra server federativi, proxy server federativi, Office 365 e client Web. I requisiti per i certificati variano, a seconda se si imposta un server federativo o un computer proxy server federativo, come descritto nelle tabelle seguenti.

Certificati server federativi

---

I server federativi richiedono i certificati della tabella seguente.

 

Tipo di certificato	Descrizione	Informazioni importanti preliminari alla distribuzione
Certificato SSL (denominato anche Certificato di autenticazione server)	Questo è un certificato standard Secure Sockets Layer (SSL) che viene utilizzato per proteggere le comunicazioni tra server federativi, client e computer proxy server federativi.	AD FS 2.0 necessita di un certificato SSL per la configurazione delle impostazioni del server federativo. Per impostazione predefinita, AD FS 2.0 utilizza il certificato SSL configurato per il sito Web predefinito di Internet Information Services (IIS). Il nome soggetto del certificato SSL viene utilizzato per individuare il nome del servizio federativo di ciascuna istanza di AD FS 2.0 che viene distribuita. Per questo motivo, per ogni nuovo certificato rilasciato dall'autorità di certificazione (CA) è consigliabile scegliere un nome soggetto che rappresenti al meglio il nome della società o organizzazione all'interno di Office 365 e tale nome deve essere instradabile su Internet. Ad esempio, nel diagramma fornito nella parte precedente dell'articolo (vedere “Fase 2”), il nome soggetto del certificato sarebbe fs.fabrikam.com. Importante: AD FS 2.0 necessita che questo certificato SSL sia privo di un nome soggetto senza punto (abbreviato). Obbligatorio: poiché il certificato deve essere considerato attendibile dai client di AD FS 2.0 e dai servizi di Office 365, utilizzare un certificato SSL rilasciato da un'autorità di certificazione pubblica (di terze parti) o subordinata a una fonte pubblicamente attendibile, ad esempio VeriSign o Thawte.
Certificato per la firma di token	Questo è un certificato standard X.509 che viene utilizzato per firmare in modo sicuro tutti i token che il server federativo rilascia e che verranno accettati e convalidati da Office 365.	Il certificato per la firma di token deve contenere una chiave privata e deve essere collegato a una fonte attendibile nel servizio federativo. Per impostazione predefinita, AD FS 2.0 crea una certificato autofirmato. Tuttavia, a seconda delle esigenze della propria organizzazione, è possibile modificarlo in seguito con un certificato rilasciato da un'autorità di certificazione utilizzando lo snap-in di Gestione AD FS 2.0. Consiglio: utilizzare il certificato autofirmato per la firma di token generato da AD FS 2.0. In tal modo, AD FS 2.0 gestirà il certificato in modo predefinito. Ad esempio, nel caso il certificato stia per scadere, AD FS 2.0 genererà un nuovo certificato autofirmato da utilizzare in anticipo.

Attenzione:

Il certificato per la firma di token è essenziale per la stabilità del servizio federativo. Qualora venga modificato, sarà necessario avvisare Office 365 di tale cambiamento. Altrimenti, le richieste indirizzate ai servizi di Office 365 non verranno eseguite. Per questo motivo è consigliabile scaricare e configurare Microsoft Office 365 Federation Metadata Update Automation Installation Tool, che effettuerà automaticamente il monitoraggio e l'aggiornamento dei metadati di federazione di Office 365 a intervalli regolari, in modo che le modifiche apportate al certificato di firma dei token in ADFS 2.0 vengano replicate automaticamente in Office 365. Per informazioni generali sulla gestione dei certificati nella server farm federativa di AD FS 2.0 e in Office 365, vedere Aggiornare le proprietà di trust.

La configurazione dei seguenti servizi di rete è essenziale per la distribuzione corretta di AD FS 2.0 all'interno dell'organizzazione.

Per il funzionamento di AD FS 2.0, è necessario connettere a un dominio ogni computer che funge da server federativo. I proxy server federativi possono essere connessi a un dominio, ma non è un requisito.

1. Nel computer che si desidera connettere al dominio, fare clic su Start, click Pannello di controllo, quindi fare doppio clic su Sistema.

2. In Impostazioni relative a nome computer, dominio e gruppo di lavoro, fare clic su Cambia impostazioni.

3. Nella scheda Nome computer, fare clic su Cambia.

4. In Membro di, fare clic su Dominio, digitare il nome del dominio a cui verrà connesso il computer, quindi fare clic su OK.

5. Fare clic su OK, quindi riavviare il computer.

Per consentire ai client della rete aziendale di accedere al servizio federativo, è necessario creare prima un record di risorse host (A) nel Domain Name System (DNS) che risolve il nome DNS cluster del servizio federativo (ad esempio, fs.fabrikam.com) nell'indirizzo IP del cluster nella rete aziendale (ad esempio, 172.16.1.3). La procedura seguente può essere utilizzata per aggiungere un record di risorse host (A) al DNS aziendale per il cluster NLB.

1. In un server DNS per la rete aziendale, aprire lo snap-in DNS.

2. Nell'albero della console, fare clic con il pulsante destro del mouse sulla zona di ricerca diretta applicabile (ad esempio, fabrikam.com), quindi fare clic su Nuovo host (A o AAAA).

3. In Nome, digitare solo il nome computer del server federativo o del cluster del server federativo, ad esempio, per il nome di dominio completo (FQDN) fs.fabrikam.com, digitare fs.

4. In Indirizzo IP, digitare l'indirizzo IP del server federativo o del cluster del server federativo, ad esempio, 172.16.1.3.

5. Fare clic su Aggiungi host.

   Importante:
   Si presume che si utilizzi un server DNS, che si esegua Windows 2000 Server, Windows Server 2003, o Windows Server 2008 con il servizio Server DNS per il controllo della zona DNS.

Dopo aver ottenuto un certificato di autenticazione server da un'autorità di certificazione (CA), è necessario installare manualmente quel certificato nel sito Web predefinito per ciascun server federativo della farm.

Poiché il certificato deve essere considerato attendibile dai client di AD FS 2.0 e dai servizi di Office 365, utilizzare un certificato SSL rilasciato da un'autorità di certificazione pubblica (di terze parti) o subordinata a una fonte pubblicamente attendibile, ad esempio VeriSign o Thawte. Per informazioni sull'installazione di un certificato da un'autorità di certificazione pubblica, vedere IIS 7.0: richiedere un certificato del server Internet.

Nota:

Il nome soggetto di questo certificato di autenticazione deve corrispondere al FQDN del nome DNS del cluster (ad esempio, fs.fabrikam.com) che è stato creato in precedenza sull'host NLB. Se Internet Information Services (IIS) non è stato installato, è necessario installare prima IIS per completare questa operazione. Al momento di installare IIS per la prima volta, si consiglia di utilizzare le opzioni caratteristica predefinite quando richiesto durante l'installazione del ruolo server.

1. Fare clic su Start, quindi su Tutti i programmi, Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).

2. Nell'albero della console, fare clic su Nome computer.

3. Nel riquadro di sinistra, fare doppio clic su Certificati server.

4. Nel riquadro Azioni, fare clic su Importa.

5. Nella finestra di dialogo Importa certificato, fare clic sul pulsante … .

6. Andare al percorso del file di certificato pfx, selezionarlo e quindi fare clic su Apri.

7. Immettere una password per il certificato, quindi fare clic su OK.

Per configurare un ambiente di server farm federativa in AD FS 2.0, è necessario creare e configurare un account di servizio dedicato in Active Directory, dove risiederà la farm. Questo account di servizio dedicato è necessario a garantire che tutte le risorse necessarie alla farm di AD FS 2.0 abbiano accesso a ciascuno dei server federativi della farm farm.

Quindi, configurare ciascun server federativo della farm per l'utilizzo dello stesso account di servizio. Ad esempio, se l'account di servizio creato era fabrikam\ADFS2SVC, ciascun computer configurato per il ruolo server federativo e che parteciperà alla medesima farm dovrà indicare fabrikam\ADFS2SVC in questo passaggio della procedura guidata di configurazione del server federativo, affinché la farm sia operativa.

Nota:
Le operazioni di questa procedura devono essere effettuate solo una per volta per l'intera server farm federativa. In seguito, durante la creazione del server federativo tramite la procedura guidata di configurazione del server federativo di AD FS 2.0, sarà necessario indicare questo stesso account nella pagina della procedura guidata di Account servizio di ciascun server federativo della farm.

1. Creare un account utente/di servizio dedicato nella foresta di Active Directory utilizzata dalla propria organizzazione.

2. Modificare le proprietà dell'account utente, quindi selezionare la casella di controllo Nessuna scadenza password. Questa operazione assicura che la funzione dell'account di servizio non venga interrotta come conseguenza dei requisiti di modifica della password del dominio.

   Nota:
   Se è necessario modificare la password per l'account del servizio a intervalli regolari, vedere Configurazione delle opzioni avanzate per ADFS 2.0. L'utilizzo dell'account Servizio di rete per questo account dedicato porterà a guasti casuali nei tentativi di accesso tramite autenticazione integrata di Windows, come conseguenza dei ticket Kerberos che non si convalidano da un server all'altro.

Il software AD FS 2.0 deve essere installato su tutti i computer che devono essere preparati per il ruolo di server federativo. Il software può essere installato tramite l'installazione guidata di AD FS 2.0 oppure utilizzando un parametro della riga di comando. Per ulteriori informazioni su questo parametro, vedere Guida alla distribuzione di ADFS 2.0.

Assicurarsi di completare il processo di installazione effettuando l'installazione di tutti gli hotfix richiesti su ciascun computer server federativo, come indicato dall'ultimo passaggio di questa procedura.

1. Scaricare il pacchetto software di AD FS 2.0 specifico per la versione del sistema operativo in uso (Windows Server 2008 o Windows Server 2008 R2) effettuando il salvataggio del file di installazione AdfsSetup.exe sul computer. Per scaricare questo file, visitare Active Directory Federation Services 2.0 RTW.

2. Individuare il file di installazione AdfsSetup.exe scaricato sul computer, quindi fare doppio clic su di esso.

3. Nella pagina Benvenuti nell'installazione guidata di ADFS 2.0, fare clic su Avanti.

4. Nella pagina Contratto di licenza con l'utente finale, leggere le condizioni di licenza.

5. Per accettare i termini del contratto, selezionare la casella di controllo Accetto i termini del Contratto di Licenza, quindi fare clic su Avanti.

6. Nella pagina Ruolo del server, selezionare Server federativo, quindi fare clic su Avanti.

7. Nella pagina Installazione guidata di ADFS 2.0 completata, fare clic su Fine.

   Importante:
   In alcune situazioni, l'installazione di AD FS 2.0 potrebbe richiedere un riavvio (ad esempio se sono stati installati hotfix dipendenti).

8. Installare tutti gli hotfix indicati in Descrizione dell'aggiornamento cumulativo 2 per Active Directory Federation Services (ADFS) 2.0.

La seguente procedura può essere utilizzata per configurare il computer come primo server federativo di una nuova server farm federativa tramite la configurazione guidata del server federativo di AD FS 2.0.

L'appartenenza ai Domain Admins, oppure a un account di dominio delegato a cui è stato concesso l'accesso in scrittura al contenitore di dati del programma di Active Directory, costituisce il requisito di accesso minimo per completare questa procedura.

1. Una volta completata l'installazione del software AD FS 2.0, fare clic su Start, quindi su Strumenti di amministrazione e su Gestione di ADFS 2.0 per aprire lo snap-in di Gestione AD FS 2.0.

2. Nella pagina Panoramica fare clic su Configurazione guidata del server federativo di ADFS 2.0.

3. Nella pagina Benvenuto, verificare che l'opzione Crea un nuovo servizio federativo sia selezionata, quindi fare clic su Avanti.

4. Nella pagina Seleziona distribuzione indipendente o farm, fare clic su Nuova server farm federativa, quindi su Avanti.

5. Nella pagina Specificare il nome del servizio federativo, verificare che il Certificato SSL visualizzato corrisponda al nome del certificato importato precedentemente nel sito Web predefinito di IIS. Se non è il certificato corretto, selezionare quello giusto dall'elenco Certificato SSL.

   Nota:
   La procedura guidata non consentirà di sovrascrivere il certificato se è stato configurato un certificato SSL per IIS. Ciò assicura la conservazione di qualsiasi configurazione destinata ai certificati SSL precedente a IIS. Per risolvere il problema, tornare indietro e importare nuovamente il certificato nel sito Web predefinito di IIS.

6. Se ADFS è stato reinstallato in precedenza su questo computer, verrà visualizzata la pagina Rilevato database di configurazione di ADFS esistente. Se viene visualizzata questa pagina, fare clic su Elimina database, quindi su Avanti.

7. Nella pagina Specificare un account del servizio, fare clic su Sfoglia. Nella finestra di dialogo Sfoglia, individuare l'account di dominio che verrà utilizzato come account di servizio in questa nuova server farm federativa, quindi fare clic su OK. Digitare la password per questo account, confermarla e fare clic su Avanti.

   Nota:
   Per ulteriori informazioni sull'account di servizio creato nella parte precedente dell'articolo, vedere Creazione di un account di servizio dedicato per la server farm federativa.

8. Nella pagina È possibile applicare le impostazioni, rivedere i dettagli. Se le impostazioni sembrano corrette, fare clic su Avanti per iniziare la configurazione di AD FS 2.0 con queste impostazioni.

9. Nella pagina Risultati della configurazione, rivedere i risultati. Una volta completati tutti i passaggi di configurazione, fare clic su Chiudi per uscire dalla procedura guidata.

Nota:

Una volta completati i passaggi della procedura, lo snap-in di Gestione AD FS 2.0 si aprirà in automatico e verrà visualizzato un messaggio che indica Configurazione richiesta non completa e Aggiungi relying party attendibile. È possibile ignorare questo messaggio. In un passaggio successivo, verrà aggiunto un trust della relying party per Office 365. Per ulteriori informazioni, consultare Installare Windows PowerShell per Single Sign-On. Una volta completato il passaggio, il messaggio sparirà dallo snap-in di Gestione AD FS 2.0.

Dopo aver installato il software AD FS 2.0 e configurato i certificati richiesti su un computer, è possibile configurare il computer come server federativo. Per connettere un computer a una nuova server farm federativa, utilizzare la procedura seguente.

Il computer viene connesso a una farm tramite la connfigurazione guidata server federativo di AD FS 2.0. Quando si utilizza questa procedura per connettere un computer a una farm esistente, il computer viene configurato con una copia di sola lettura del database di configurazione di AD FS 2.0 e deve ricevere gli aggiornamenti da un server federativo primario.

1. Una volta completata l'installazione del software AD FS 2.0, fare clic su Start, quindi su Strumenti di amministrazione e su Gestione di ADFS 2.0 per aprire lo snap-in di Gestione AD FS 2.0.

2. Nella pagina Panoramica o nel riquadro Azioni fare clic su Configurazione guidata del server federativo di ADFS 2.0.

3. Nella pagina Benvenuto, verificare che l'opzione Aggiunta di un server federativo a un servizio federativo esistente sia selezionata, quindi fare clic su Avanti.

4. Se il database selezionato di AD FS 2.0 esiste già, viene visualizzata la pagina Rilevato database di configurazione di ADFS esistente. Se ciò accade, fare clic su Elimina database, quindi su Avanti.

   Attenzione:
   Selezionare questa opzione solo quando si è certi che i dati nel database AD FS 2.0 non siano importanti o che non vengano utilizzati in una server farm federativa di produzione.

5. Nella pagina Specificare il server primario federativo e l'account di servizio, in Nome server federativo primario, digitare il nome computer del server federativo primario della farm, quindi fare clic su Sfoglia. Nella finestra di dialogo Sfoglia, individuare l'account di dominio che viene utilizzato come account di servizio da tutti gli altri server federativi della server farm federativa, quindi fare clic su OK. Digitare la password e confermarla, quindi fare clic su Avanti.

   Nota:
   Per ulteriori informazioni sull'account di servizio creato nella parte precedente dell'articolo, vedere Creazione di un account di servizio dedicato per la server farm federativa.

6. Nella pagina È possibile applicare le impostazioni, rivedere i dettagli. Se le impostazioni sembrano corrette, fare clic su Avanti per iniziare la configurazione di AD FS 2.0 con queste impostazioni.

7. Nella pagina Risultati della configurazione, rivedere i risultati. Una volta completati tutti i passaggi di configurazione, fare clic su Chiudi per uscire dalla procedura guidata.

Le procedure seguenti possono essere utilizzate per verificare che il server federativo è operativo, ovvero che qualsiasi client della stessa rete può raggiungere un nuovo server federativo.

1. Accedere a un computer collocato nella stessa foresta del server federativo.

2. Aprire una finestra del browser. Nella barra degli indirizzi, digitare il nome host DNS del server federativo, quindi aggiungere /FederationMetadata/2007-06/FederationMetadata.xml per il nuovo server federativo, ad esempio:

   https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

3. Premere INVIO, quindi completare la procedura successiva sul computer server federativo. Se viene visualizzato il messaggio Si è verificato un problema con il certificato di protezione del sito Web, fare clic su Continuare con il sito Web.

   L'output previsto è una visualizzazione XML con il documento di descrizione del servizio. Se viene visualizzata questa pagina, IIS è operativo sul server federativo e serve le pagine.

1. Accedere al nuovo server federativo come amministratore.

2. Fare clic su Start, selezionare Strumenti di amministrazione, quindi fare clic su Visualizzatore eventi.

3. Nel riquadro dei dettagli, fare doppio clic su Registri applicazioni e servizi, fare doppio clic su Gestione eventi ADFS 2.0, quindi fare clic su Amministratore.

4. Nella colonna ID evento, cercare l'evento ID 100. Se il server federativo è configurato correttamente, nel registro Applicazione di Visualizzatore eventi viene visualizzato un nuovo evento: event ID 100. Questo evento verifica che il server federativo è stato in grado di comunicare con il servizio federativo.

Completare i seguenti passaggi

Affinché il proxy server federativo funzioni correttamente nella rete perimetrale, è necessario aggiungere una voce al file degli host di ciascun computer proxy server federativo che punta al nome DNS del cluster ospitato da NLB nella rete aziendale (ad esempio, fs.fabrikam.com) e al relativo indirizzo IP (for example, 172.16.1.3). L'aggiunta di questa voce al file degli host consente al proxy server federativo di effettuare il routing di una chiamata inizializzata sul lato client a un server federativo all'interno o all'esterno della rete perimetrale.

1. Andare alla directory della cartella %systemroot%\Winnt\System32\Drivers e individuare il file degli host.

2. Avviare Blocco note, quindi aprire il file degli host.

3. Aggiungere l'indirizzo IP e il nome host di un server federativo al file degli host, come riportato nel seguente esempio:

   172.16.1.3             fs.fabrikam.com

4. Salvare e chiudere il file.

Importante:
Se l'indirizzo IP del cluster sull'host NLB della rete aziendale dovesse cambiare, sarà necessario aggiornare il file degli host di ciascun proxy server federativo.

Per soddisfare le richieste di autenticazione dai clienti interni o esterni alla rete perimetrale, AD FS 2.0 richiede che la risoluzione dei nome sia configurata su server DNS con accesso all'esterno che ospitano la zona dell'organizzazione (ad esempio, fabrikam.com).

Per eseguire questa operazione, aggiungere un record di risorse host (A) al server DNS con accesso all'esterno che serve solo la rete perimetrale per il nome DNS del cluster (ad esempio, “fs.fabrikam.com”) che punti all'indirizzo IP del cluster esterno che è stato appena configurato.

1. In un server DNS per la rete perimetrale, aprire lo snap-in DNS. Fare clic su Start, selezionare Strumenti di amministrazione, quindi fare clic su DNS.

2. Nell'albero della console, fare clic con il pulsante destro del mouse sulla zona di ricerca diretta applicabile (ad esempio, fabrikam.com), quindi fare clic su Nuovo host (A o AAAA).

3. In Nome, immettere solo il nome del DNS del cluster specificato nell'host NLB della rete perimetrale (deve essere lo stesso nome DNS del nome del servizio federativo). Ad esempio, per il FQDN fs.fabrikam.com, digitare fs.

4. In Indirizzo IP, digitare l'indirizzo IP del nuovo indirizzo IP del cluster specificato sull'host NLB della rete perimetrale. Ad esempio, 192.0.2.3.

5. Fare clic su Aggiungi host.

Dopo aver ottenuto un certificato di autenticazione server utilizzato da uno dei server federativi della rete aziendale, è necessario installare manualmente il certificato sul sito Web predefinito di ciascun proxy server dell'organizzazione.

Poiché il certificato deve essere considerato attendibile dai client di AD FS 2.0 e dai servizi di Office 365, utilizzare un certificato SSL rilasciato da un'autorità di certificazione pubblica (di terze parti) o subordinata a una fonte pubblicamente attendibile, ad esempio VeriSign o Thawte. Per informazioni sull'installazione di un certificato da un'autorità di certificazione pubblica, vedere IIS 7.0: richiedere un certificato del server Internet.

Nota:

Il nome soggetto di questo certificato di autenticazione deve corrispondere al FQDN del nome DNS del cluster (ad esempio, fs.fabrikam.com) che è stato creato in precedenza sull'host NLB. Se Internet Information Services (IIS) non è stato installato, è necessario installare prima IIS per completare questa operazione. Al momento di installare IIS per la prima volta, si consiglia di utilizzare le opzioni caratteristica predefinite quando richiesto durante l'installazione del ruolo server.

1. Fare clic su Start, quindi su Tutti i programmi, Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).

2. Nell'albero della console, fare clic su Nome computer.

3. Nel riquadro di sinistra, fare doppio clic su Certificati server.

4. Nel riquadro Azioni, fare clic su Importa.

5. Nella finestra di dialogo Importa certificato, fare clic sul pulsante … .

6. Andare al percorso del file di certificato pfx, selezionarlo e quindi fare clic su Apri.

7. Immettere una password per il certificato, quindi fare clic su OK.

Il software AD FS 2.0 deve essere installato su tutti i computer che devono essere preparati per il ruolo di server federativo. Il software può essere installato tramite l'installazione guidata di AD FS 2.0 oppure utilizzando un parametro della riga di comando. Per ulteriori informazioni su questo parametro, vedere Guida alla distribuzione di ADFS 2.0.

Assicurarsi di completare il processo di installazione effettuando l'installazione di tutti gli hotfix richiesti su ciascun computer proxy server federativo, come indicato dall'ultimo passaggio di questa procedura.

1. Scaricare il pacchetto software di AD FS 2.0 specifico per la versione del sistema operativo in uso (Windows Server 2008 o Windows Server 2008 R2) effettuando il salvataggio del file di installazione AdfsSetup.exe sul computer. Per scaricare questo file, visitare Active Directory Federation Services 2.0 RTW.

2. Individuare il file di installazione AdfsSetup.exe scaricato sul computer, quindi fare doppio clic su di esso.

3. Nella pagina Benvenuti nell'installazione guidata di ADFS 2.0, fare clic su Avanti.

4. Nella pagina Contratto di licenza con l'utente finale, leggere le condizioni di licenza.

5. Per accettare i termini del contratto, selezionare la casella di controllo Accetto i termini del Contratto di Licenza, quindi fare clic su Avanti.

6. Nella pagina Ruolo del server, selezionare Proxy server federativo, quindi fare clic su Avanti.

7. Nella pagina Installazione guidata di ADFS 2.0 completata, verificare che la casella di controllo Avvia la configurazione guidata del proxy server federativo di ADFS 2.0 alla chiusura di questa procedura guidata sia selezionata, quindi fare clic su Fine per riavviare il computer.

   Importante:
   In alcune situazioni, l'installazione di AD FS 2.0 potrebbe richiedere un riavvio (ad esempio se sono stati installati hotfix dipendenti). In tal caso, assicurarsi di selezionare la casella di controllo Riavvia ora della pagina Installazione guidata di ADFS 2.0 completata, quindi fare clic su Fine per riavviare il computer.

8. Installare tutti gli hotfix indicati in Descrizione dell'aggiornamento cumulativo 2 per Active Directory Federation Services (ADFS) 2.0.

Dopo aver configurato un computer con i certificati richiesti e aver installato il software AD FS 2.0, è possibile configurare il computer come proxy server federativo. Affinché il computer possa essere utilizzato nel ruolo proxy server federativo, utilizzare la procedura seguente.

Importante:

Prima di utilizzare questa procedura per configurare il computer proxy server federativo, assicurarsi di aver seguito tutti i passaggi degli elenchi di controllo di Distribuzione della server farm federativa nell'ordine di elenco. Assicurarsi che sia distribuito almeno un server federativo e che siano implementate tutte le credenziali necessarie per l'autorizzazione di una configurazione proxy server federativo. È inoltre necessario configurare le associazioni di Secure Sockets Layer (SSL) sul sito Web predefinito, altrimenti questa procedura guidata non verrà avviata. Prima di poter utilizzare il proxy server federativo, tutte queste operazioni devono essere completate.

1. Nella pagina Installazione guidata di ADFS 2.0 completata dell'installazione guidata di AD FS 2.0, la casella di controllo Avvia la configurazione guidata di proxy server federativo di ADFS 2.0 alla chiusura di questa procedura guidata viene selezionata per impostazione predefinita. Avviare la procedura guidata, quindi, nella pagina Benvenuto, fare clic su Avanti.

2. Nella pagina Nome servizio federativo, selezionare la voceSpecifica nome servizio federativo, quindi digitare il nome che rappresenta il servizio federativo per cui il computer verrà utilizzato nel ruolo proxy (ad esempio, fs.fabrikam.com).

3. Sulla base dei requisiti specifici di rete, determinare se è necessario un server proxy HTTP per inoltrare le richieste al servizio federativo. In tal caso, selezionare la casella di controllo Usa un server proxy HTTP per l'invio di richieste a questo servizio federativo, in Indirizzo server proxy HTTP digitare l'indirizzo del server proxy, fare clic su Verifica connessione per verificare la connettività e infine fare clic su Avanti.

4. Quando viene richiesto, specificare le credenziali necessarie a stabilire un trust tra il proxy server federativo e il servizio federativo.

   Per impostazione predefinita, il proxy server federativo può essere autorizzato solo dall'account di servizio utilizzato dal servizio federativo o da un membro del gruppo locale BUILTIN\Administrators.

5. Nella pagina È possibile applicare le impostazioni, rivedere i dettagli. Se le impostazioni sembrano corrette, fare clic su Avanti per iniziare la configurazione del computer con queste impostazioni proxy.

6. Nella pagina Risultati della configurazione, rivedere i risultati. Una volta completati tutti i passaggi di configurazione, fare clic su Chiudi per uscire dalla procedura guidata.

Una volta terminata la configurazione del computer, verificare che il proxy server federativo funzioni come previsto.

Per verificare che il server federativo possa comunicare con il servizio federativo di AD FS 2.0, è possibile utilizzare la seguente procedura. La procedura viene eseguita dopo aver lanciato Configurazione guidata di server proxy federativo di ADFS 2.0 per la configurazione del computer a essere eseguito nel ruolo proxy server federativo. Per ulteriori informazioni su come eseguire questa procedura guidata, vedere Configurazione di un computer il ruolo proxy server federativo.

Nota:
Il risultato di questa verifica è la generazione di un evento specifico nel Visualizzatore eventi del computer proxy server federativo.

1. Accedere al proxy server federativo come amministratore.

2. Fare clic su Start, selezionare Strumenti di amministrazione, quindi fare clic su Visualizzatore eventi.

3. Nel riquadro dei dettagli, fare doppio clic su Registri applicazioni e servizi, fare doppio clic su Gestione eventi ADFS 2.0, quindi fare clic su Amministratore.

4. Nella colonna ID evento, cercare l'evento ID 198.

   Se il proxy server federativo è configurato correttamente, verrà visualizzato un nuovo evento nel registro Applicazione di Visualizzatore eventi: ID 198. Tale evento verifica che il servizio proxy server federativo è stato avviato e adesso è in linea.

Completare i seguenti passaggi

Per informazioni di panoramica generale, di valutazione o di risoluzione avanzata di problemi relative a AD FS 2.0, utilizzare i seguenti collegamenti di riferimento applicabili:

• Guida di ADFS 2.0
  
• Guide dettagliate e di utilizzo di ADFS 2.0
  
• Guida alla risoluzione dei problemi di ADFS 2.0
  

Se si sta valutando la distribuzione di un'infrastruttura più complessa di AD FS 2.0 rispetto a quanto esposto nel presente articolo, considerare la revisione delle informazioni di distribuzione e pianificazione più avanzate presenti nei collegamenti di riferimento seguenti.

• Guida alla progettazione di ADFS 2.0
  
• Guida alla distribuzione di ADFS 2.0
  
• Descrizione dell'aggiornamento cumulativo 2 per Active Directory Federation Services (ADFS) 2.0
  
• Pianificazione della capacità del server ADFS 2.0
  
• Configurazione delle opzioni avanzate per ADFS 2.0
  

Completare i seguenti passaggi