ADFS 3.0 per la sua implementazione richiede un certificato SSL dedicato da installare nei server ADFS per fornire agli utenti l'accesso SSO alla piattaforma Office 365.
Se si sta pianificando l'implementazione di Office 365, ADFS è il servizio che andrebbe considerato per mantenere il processo di autenticazione sincronizzato tra i vari dispositivi. In alternativa è possibile configurare il solo DirSync tool ma con una gestione separata delle autenticazioni.
Blog serie
ADFS 3.0 setup UPN suffix per Office 365 SSO - pt. 1
ADFS 3.0 certificato SSL signing request - pt. 2
ADFS 3.0 installazione Server ADFS - pt. 3
ADFS 3.0 installazione Server WAP - pt. 4
ADFS 3.0 federare Office 365 - pt. 5
ADFS 3.0 installazione Directory Sync tool - pt. 6
ADFS 3.0 distribuire Office 365 - pt. 7
Prerequisiti
Per configurare l'infrastruttura ADFS sono richiesti seguenti prerequisisti:
- Almeno due server Windows 2012 R2 membri del dominio
- Un server Windows 2012 R2 standalone NON membro del dominio e residente nell'area DMZ
Richiesta del certificato SSL
Poichè ADFS 3.0 non richiede più la configurazione IIS come nella versione precedente ma necessita di un certificato SSL per il suo funzionamento, prima di cominciare con la vera e propria configurazione del servizio è necessario effettuare la richiesta del certificato SSL dalla macchina che sarà utilizzata per il setup del servizio ADFS.
Da Start > Search program and files digitare il comando mmc e premere il tasto Enter per avviare la Snap-in console.
Dal menu File selezionare l'opzione Add/remove Snap-in.
Selezionare la voce Certificates quindi cliccare sul bottone Add.
Poichè il certificato si riferisce alla macchina da cui è generato, selezionare l'opzione Computer account e cliccare su Next.
Selezionare poi Local computer e cliccare su Finish.
Quando il Certificates snap-in viene aggiunto nella parte destra della finestra, cliccare su OK per aprire la console.
Espandere la voce Certificates ed effettuare un click con il tasto destro del mouse su Personal. Selezionare All Tasks > Advanced Operations > Create Custom Request.
Si apre il Wizard del Certificate Enrollment. Cliccare su Next per procedere.
Selezionare l'opzione Proceed without enrollment policy e cliccare su Next.
Selezionare il valore (No template) CNG key dal menu a tendina Template e l'opzione PKCS #10 come Request format. Cliccare su Next.
Con il template precedentemente selezionato, comparirà un messaggio di errore indicato in figura durante la configurazione di ADFS poichè la CNG private key non è supportata. Tenere a mente questo passaggio nel caso in cui si presenti questo errore.
ADFS richiede una diversa tipologia di template per il certificato SSL. Dal Certificate Enrollment Wizard selezionare il valore (No template) Legacy key dal menu a tendina Template e l'opzione PKCS #10 come Request format. Cliccare su Next per continuare.
Cliccare su Details per mostrare informazioni aggiuntive quindi cliccare su Properties.
Nella sezione General digitare un Friendly name per meglio identificare il certificato e una Description. Selezionare successivamente la sezione Subject quando completato.
In questa sezione vengono configurate le proprietà del certificato SSL. Dal menu a tendina Type selezionare la voce Common name.
Nel campo Value digitare il nome assegnato al servizio ADFS (es. sts.nolabnoparty.com) e cliccare su Add. Questo è il nome che sarà configurato nei DNS pubblici. Cliccare su Add per aggiungere il Common Name al certificato.
Ora selezionare la voce Organization dal menu a tendina e digitare il Value, cliccare poi su Add.
Selezionare Organization unit, digitare il Value e cliccare su Add.
Selezionare Locality, assegnare il Value e cliccare su Add.
Selezionare State, digitare il Value e cliccare su Add.
Selezionare Country, digitare il Value e cliccare su Add.
Quando le proprietà del certificato sono state impostate, selezionare la sezione Private Key.
Cliccare sul simbolo ^ del campo Cryptographic Service Provider per espandere le proprietà e selezionare l'opzione Microsoft RSA SChannel Cryptographic Provider (Encryption).
Cliccare sul simbolo ^ del campo Key options per espandere le proprietà ed impostare il valore 2048 come Key size.
Abilitare l'opzione Make private key exportable. Cliccare su OK per salvare le proprietà del certificato.
Cliccare su Next per continuare con il processo di richiesta del certificato.
Assegnare il File Name e selezionare Base 64 come File format. Cliccare su Finish per completare la procedura.
Selezionare Certificate Enrollment > Certificates e verificare se la richiesta del certificato è presente nella parte destra.
Effettuare un copia e incolla del certificato nel campo Certificate Signing Request della CA selezionata.
Importare il certificato firmato
Quando la CA restituisce il certificato firmato, questo deve essere importato nel computer da cui è stato configurato. Dalla snap-in console Certificates, selezionare l'opzione Personal > All Tasks > Import.
Viene aperto il Certificate Import Wizard. Cliccare su Next per continuare.
Cliccando sul bottone Browse selezionare il file del certificato firmato e cliccare su Next.
Posizionare il certificato nel Personal Certificate store e cliccare su Next.
Cliccare su Finish per importare il certificato.
Cliccare su OK per chiudere la finestra di conferma.
Selezionare Personal > Certificates per verificare il certificato appena emesso. Il certificato è stato correttamente importato nel computer locale.
Esportare il certificato con la chiave privata
Come visto nella parte 1 del setup di ADFS, un altro componente dell'infrastruttura (ADFS-WAP) richiede l'importazione dello stesso certificato per la sua corretta funzionalità.
Dalla console Certificates esportare il certificato includendo la private key. Da Personal > Certificates effettuare un click con il tasto destro del mouse sul certificato emesso e selezionare l'opzione All Tasks > Export.
Si apre l'Export Wizard. Cliccare su Next per procedere.
Selezionare l'opzione Yes, export the private key e cliccare su Next.
Lasciare le opzioni di default e cliccare su Next.
Per motivi di sicurezza, assegnare una Password per proteggere la private key.
Digitare un File name e cliccare su Next.
Cliccare su Finish per esportare il certificato.
Cliccare su OK per chiudere la finestra di conferma.
Il certificato .pfx è stato esportato correttamente.
Nella parte 3 verrà effettuata l'installazione del servizio ADFS nel server come primo componente dell'infrastruttura.