ADFS and AAD Sync - Installation Guide

Office 365 - Identity and
Federation
ADFS and AAD Sync - Installation Guide
Prepared for
Gruppo Ferrovie dello Stato Italiane
11/9/2015
Version 0.2 Draft
Prepared by
Microsoft Services
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Contents
1 Panoramica ..............................................................................................................................................4
1.1 Introduzione ad ADFS ...................................................................................................................................... 4
1.2 Servizi del ruolo ADFS ...................................................................................................................................... 5
1.3 Gestione dei ruoli ADFS ................................................................................................................................... 6
2 Installazione e Configurazione ADFS Server ................................................................................7

2.1 Configurazione DNS A Record .................................................................................................................... 18
2.2 Test ADFS ............................................................................................................................................................ 18
3 Installazione e Configurazione WAP Server .............................................................................. 21

3.1.1 Certificato SSL (WAP Server) ............................................................................................................... 27
3.2 Pubblicare l’Applicazione ............................................................................................................................. 40
3.3 TEST connessione esterna ADFS/WAP ..................................................................................................... 43
4 Federazione OFFICE 365 .................................................................................................................. 45

4.1 Prerequisiti .......................................................................................................................................................... 45
4.2 Installazione “Microsoft Online Services Sign-in Assistant” ............................................................. 46
4.3 Installazione “Windows Azure AD Module for PowerShell”............................................................. 47
4.4 Federare il dominio/domini Office 365.................................................................................................... 50
name. Draft
Revision and Signoff Sheet
Change Record
Date Author Version Change Reference
Reviewers
Name Version Approved Position Date
name. Draft
name. Draft
1 Panoramica
Il presente documento intende illustrare le funzionalità del servizio ADFS. Nei paragrafi successivi
sono dettagliate le componenti tecnologiche del servizio, la descrizione dei passi d’installazione ed
eventuali note sull’implementazione della soluzione nell’infrastruttura di Ferrovie dello Stato Italiane.
1.1 Introduzione ad ADFS

ADFS è una soluzione di accesso alle identità che consente ai client basati su browser (interni o
esterni alla rete) di utilizzare una singola procedura semplificata per accedere a una o più
applicazioni* aperte su Internet e protette, anche se gli account utente e le applicazioni si trovano in
reti o organizzazioni completamente diverse.
Quando un'applicazione viene eseguita in una rete e gli account utente sono gestiti in un'altra rete,
è piuttosto frequente che agli utenti vengano richieste credenziali secondarie quando tentano di
accedere all'applicazione. Tali credenziali secondarie rappresentano l'identità degli utenti nell'area di
autenticazione a cui appartiene l'applicazione. Le credenziali sono in genere richieste dal server Web
che ospita l'applicazione, allo scopo di prendere le decisioni più appropriate in relazione alle
autorizzazioni.
Con ADFS gli account secondari e le relative credenziali non sono più necessari perché vengono rese
disponibili attraverso relazioni di trust utilizzabili per trasferire l'identità digitale e i diritti di accesso
di un utente ai partner trusted. In un ambiente federativo, ogni organizzazione continua a gestire le
proprie identità pur essendo in grado di distribuire e accettare in modo sicuro identità da altre
organizzazioni.
È inoltre possibile distribuire server federativi in più organizzazioni per facilitare le transazioni
business-to-business (B2B) tra organizzazioni di partner trusted. Nelle relazioni federative B2B i
partner trusted vengono identificati come uno dei tipi seguenti di organizzazione:
 Organizzazione che ospita le risorse: le organizzazioni proprietarie e responsabili della

gestione delle risorse accessibili da Internet possono distribuire server federativi ADFS e
server Web abilitati per ADFS per gestire l'accesso alle risorse protette per i partner trusted.
Tali partner trusted possono includere terze parti esterne oppure altri reparti o filiali della
stessa organizzazione.
 Organizzazione che ospita gli account: le organizzazioni proprietarie e responsabili della
gestione degli account utente possono distribuire server federativi ADFS per gestire
l'autenticazione degli utenti locali e creare token di sicurezza utilizzati in seguito dai server
name. Draft
federativi nell'organizzazione che ospita le risorse per prendere decisioni in relazione alle
autorizzazioni.
Il processo che consente di eseguire l'autenticazione in una rete e accedere a risorse in un'altra rete
senza dover eseguire più volte le procedure di accesso è noto come Single Sign-On (SSO). ADFS
offre una soluzione SSO basata su Web che supporta l'autenticazione degli utenti in più applicazioni
Web per tutta la durata di una singola sessione del browser.
*N.B. : Nello specifico caso di Ferrovie dello Stato Italiane il servizio ADFS viene utilizzato al
momento solo per “federare” l’applicazione OFFICE 365
1.2 Servizi del ruolo ADFS

Il ruolo del server ADFS include servizi federativi, servizi proxy e servizi di agenti Web configurabili
per abilitare Web SSO, creare federazioni di risorse basate su Web, personalizzare l'esperienza di
accesso e gestire le autorizzazioni di accesso alle applicazioni per gli utenti esistenti.
A seconda dei requisiti dell'organizzazione, è possibile distribuire server che eseguono uno dei servizi
seguenti del ruolo ADFS:
 Servizio federativo: il servizio federativo comprende uno o più server federativi che
condividono un criterio di attendibilità comune. I server federativi vengono utilizzati per
indirizzare le richieste di autenticazione da account utente in altre organizzazioni o da client
in qualsiasi posizione su Internet.
 Proxy servizio federativo (WAP: Web application Proxy): proxy del servizio federativo nella
rete perimetrale, nota anche come DMZ o subnet schermata. Il proxy servizio federativo
utilizza protocolli WS-F PRP (WS-Federation Passive Requestor Profile) per raccogliere le
informazioni relative alle credenziali utente da client browser e inviare tali informazioni al
servizio federativo.
 Agente in grado di riconoscere attestazioni: è possibile utilizzare l'agente in grado di
riconoscere attestazioni in un server Web che ospita un'applicazione in grado di riconoscere
attestazioni per consentire query per le attestazioni nei token di sicurezza ADFS.
Un'applicazione in grado di riconoscere attestazioni è un'applicazione Microsoft ASP.NET che
utilizza le attestazioni presenti in un token di sicurezza ADFS per prendere decisioni in merito
alle autorizzazioni e personalizzare le applicazioni.
 Agente basato su token Windows: l'agente basato su token Windows viene utilizzato in un
server Web che ospita un'applicazione basata su token Windows NT per supportare la
conversione da un token di sicurezza ADFS a un token di accesso di Windows NT con livello
di rappresentazione. Le applicazioni basate su token Windows NT sono applicazioni che
utilizzano meccanismi di autorizzazione di Windows.
name. Draft
1.3 Gestione dei ruoli ADFS
È possibile gestire i ruoli del server con lo snap-in di MMC (Microsoft Management Console). Dopo
l'installazione di ADFS, è possibile utilizzare lo snap-in ADFS (Active Directory Federation Services)
per gestire sia il servizio federativo che il servizio proxy servizio federativo per il ruolo (Web
Application Proxy). Per aprire questo snap-in, fare clic sul pulsante Start, scegliere Strumenti di
amministrazione e quindi fare clic su ADFS (Active Directory Federation Services).
Per gestire l'agente basato su token Windows, fare clic sul pulsante Start, scegliere Strumenti di
amministrazione, Gestione Internet Information Services (IIS) e quindi fare clic su Connetti a localhost.
name. Draft
2 Installazione e Configurazione ADFS Server
Per l’installazione del server ADFS sono necessari alcuni prerequisiti di seguito elencati:
 Un server Windows 2012 R2 membro del dominio. Per ambienti più complessi sono richiesti
almeno due server federati in configurazione load-balanced per meglio distribuire il carico.
 Un account di servizio dedicato in Active Directory (nel nostro caso: adfs)
 Un certificato SSL firmato ricevuto dalla CA (nel nostro caso: sts.gruppofs.it)**
Per abilitare i Federation Services, è necessario installare nel server il ruolo ADFS. Dal Server
Manager cliccare sulla voce Add roles and features.
**N.B.: Il certificato SSL deve avere una chiave di tipo legacy; la MMC di Windows Server 2012
R2 in fase di richiesta certificato propone di default una chiave di tipo CNG, si prega di non usare
assolutamente questo tipo di chiave in quanto non supportata da ADFS.
name. Draft
Cliccare Next per avviare la configurazione.
Selezionare l’opzione Role-based or feature-based installation e cliccare su Next.
Selezionare l’opzione Select a server from the server pool ed evidenziare il server da installare.
Cliccare su Next per continuare.
name. Draft
Selezionare il ruolo Active Directory Federation Services e cliccare su Next.
Niente da selezionare in questa schermata, cliccare su Next.
name. Draft
Cliccare Next per continuare.
Spuntare la voce Restart the destination server automatically if required e cliccare su Yes per
confermare.
name. Draft
Quando si è pronti per procedere, cliccare sul bottone Install per avviare l’installazione del ruolo.
Il ruolo ADFS viene installato nel sistema.
name. Draft
Quando l’installazione viene correttamente completata, cliccare su Close per uscire dal Wizard.
Quando il ruolo è stato installato nel sistema, cliccare sull’icona di warning gialla e cliccare
successivamente sull’opzione Configure the federation service on this server.
name. Draft
Quando l’ADFS Wizard si avvia, verificare di aver selezionato l’opzione Create the first federation
server in a federation server farm quindi cliccare su Next.
name. Draft
Specificare un account con i permessi di domain administrator e cliccare su Next.
Nel campo SSL Certificate cliccare sul menu a tendina e selezionare il certificato (sts.gruppofs.it)
precedentemente creato e già importato nel server. Il campo Federation Service Name deve avere
lo stesso nome del certificato installato mentre Federation Service Display Name è il nome che gli
utenti vedranno durante l’operazione di sign in (nel caso specifico: Gruppo Ferrovie dello Stato
Italiane). Cliccare su Next per proseguire.
name. Draft
Ignorare l’errore relativo al “Group Managed Service Account”; poichè è previsto l’utilizzo di un
account di servizio dedicato (nel caso specifico adfs), selezionare l’opzione Use an existing domain
user account or group Managed Service Account e specificare la password. Cliccare
su Next per continuare.
Se la farm è configurata con meno di cinque server ADFS, WID (Windows Internal Database) può
essere utilizzato per salvare la configurazione dei dati. Selezionare la voce Create a database in this
server using Windows Internal Database e cliccare su Next.
name. Draft
Nella scheramta successiva è possibile rivedere le impostazioni della configurazione effettuata.
Cliccare su Next per eseguire il controllo dei pre-requisiti.
Se tutti i controlli dei pre-requisiti passano correttamente, cliccare sul bottone Configure per
configurare ADFS sul server.
Il sistema installa i componenti richiesti e configura il servizio.
name. Draft
Quando il server è correttamente configurato, cliccare su Close per uscire dal Wizard.
name. Draft
2.1 Configurazione DNS A Record
Per effettuare l’autenticazione in Active Directory sia dall’interno che dall’esterno della LAN, tutti i
device necessitano che il servizio ADFS sia correttamente configurato nell’infrastruttura DNS.
 DNS pubblici: Per risolvere il nome ADFS sts.gruppofs.it (è il nome configurato per il servizio)
dall’esterno, un record di tipo A deve essere creato nel DNS pubblico che punta all’IP pubblico
del server ADFS della zona DMZ.
 DNS interno: Per risolvere il nome ADFS dall’interno invece, il DNS deve essere configurato
in modo accurato (la configurazione di quest’ultimo non viene descritta in questo documento
in quanto effettuata direttamente da personale del cliente).
2.2 Test ADFS

Per testare se il servizio ADFS configurato funziona correttamente, aprire Internet Explorer in un
computer qualsiasi della LAN e digitare l’indirizzo
https://sts.gruppofs.it/adfs/ls/IdpInitiatedSignon.aspx
A solo scopo illustrativo e nell’ottica di rendere più fruibile il concetto, viene riportato di seguito
l’esempio in figura; nel browser è utilizzato
l’indirizzo https://sts.nolabnoparty.com/adfs/ls/IdpInitiatedSignon.aspx. Cliccare sul bottone Sign in.
name. Draft
Se vengono richieste le credenziali, significa che il dominio non è configurato in IE come Local
intranet zone.
Per risolvere il problema, da Internet Explorer selezionare il menu Tools > Internet Options ed
accedere alla sezione Security. Selezionare Local intranet zone e cliccare sui bottoni Sites
ed Advanced.
name. Draft
Cliccare su Add per aggiungere il nome ADFS nella zona selezionata. Il nome del sito (che nel nostro
caso specifico corrisponde a: sts.gruppofs.it) viene aggiunto nel campo Websites. Cliccare
successivamente su Close.
Cliccare nuovamente sul bottone Sign in. Questa volta il messaggio You are signed in conferma che
il servizio ADFS funziona correttamente. Utilizzando altri browser (Chrome, Firefox, etc.), le credenziali
verranno sempre richieste dal sistema.
name. Draft
3 Installazione e Configurazione WAP Server
Per effettuare il’SSO con Office 365 all’esterno della LAN, è necessario configurare il servizio ADFS
3.0 aggiungendo un WAP server collocato nella zona DMZ.
Le Best Practice Microsoft suggeriscono che il server Windows 2012 R2 con installato il ruolo WAP
deve essere configurato come server standalone e NON membro del dominio; nel caso specifico del
cliente visto loro policy, il server Windows su cui viene installato il ruolo WAP è membro di dominio.
Poichè il server WAP nella DMZ deve comunicare con il server ADFS interno per effettuare
l’autenticazione con Active Directory, una DNS entry deve essere configurata nel file hosts del
server.
Aprire il file hosts collocato nella directory C:\Windows\System32\drivers\etc ed aggiungere una

nuova entry specificando l’indirizzo IP del server ADFS e il nome assegnato al servizio (nel caso
specifico: sts.gruppofs.it).
Dal Server Manager cliccare su Add roles and features per installare il ruolo WAP nel server.
Cliccare su Next per avviare la configurazione del ruolo selezionato.
name. Draft
Selezionare l’opzione Role-based or feature-based installation e cliccare su Next.
name. Draft
Selezionare l’opzione Select a server from the server pool, evidenziare il server dalla lista e cliccare
su Next.
Selezionare il ruolo Remote Access e cliccare su Next.
Alla schermata successiva proposta non aggiungere altre funzioni, cliccare su Next.
name. Draft
Selezionare Web Application Proxy come role service.
name. Draft
Poichè il ruolo selezionato richiede dei tool addizionali da installare, cliccare su Add Features per
procedere.
name. Draft
Una volta installate le funzioni richieste e il ruolo Web Application Proxy è selezionato, cliccare su
Next.
name. Draft
Spuntare l’opzione Restart the destination server automatically if required e cliccare su Yes per
confermare.
Cliccare su Install per procedere con l’installazione del ruolo selezionato e attendere il termine della
stessa.
name. Draft
3.1 Certificato SSL (WAP Server)
Attenzione: Per procedere con la configurazione del servizio WAP è necessario disporre di un altro
certificato SSL con le stesse caratteristiche di quello utilizzato per la configurazione del server ADFS in
quanto lo stesso certificato SSL è richiesto per stabilire la corretta connessione https tra ADFS e il
server WAP (condizione questa applicata al nostro specifico caso); qualora non si disponga di un altro
certificato è possibile esportare il certificato SSL dal server ADFS ed importarlo nel server WAP, di
seguito vengono fornite indicazioni di esempio per la corretta procedura di export/import (i dati indicati
nelle figure sono quindi da considerare non validi per l’infrastruttura di Ferrovie dello Stato Italiane).
A. EXPORT CERTIFICATO SSL da ADFS Server:
Dalla console Certificates esportare il certificato includendo la private key. Da Personal >
Certificates effettuare un click con il tasto destro del mouse sul certificato emesso e selezionare
l’opzione All Tasks > Export.
Si apre l’Export Wizard. Cliccare su Next per procedere.
name. Draft
Selezionare l’opzione Yes, export the private key e cliccare su Next.
Lasciare le opzioni di default e cliccare su Next.
name. Draft
Per motivi di sicurezza, assegnare una Password per proteggere la private key.
Digitare un File name e cliccare su Next.
name. Draft
Cliccare su Finish per esportare il certificato.
Cliccare su OK per chiudere la finestra di conferma.
name. Draft
Il certificato .pfx è stato esportato correttamente.
name. Draft
B. IMPORT CERTIFICATO SSL in WAP Server
Aprire la snap-in console Certificates, effettuare un click con il stato destro del mouse sulla voce
Personal e selezionare le opzioni All Tasks > Import.
Cliccare su Next per continuare.
name. Draft
Nel campo File name selezionare il certificato SSL esportato precedentemente tramite il
pulsante Browse quindi cliccare su Next.
name. Draft
Digitare la Password della private key, selezionare l’opzione Include all extended properties e
cliccare su Next.
Selezionare l’opzione Place all certificates in the following store ed

utilizzare Personal come certificate store. Cliccare su Next per continuare.
name. Draft
Per completare l’operazione di importazione del certificato cliccare sul pulsante Finish.
Cliccare su OK per chiudere la finestra di conferma.
name. Draft
Selezionare Certificates > Personal per verificare il certificato importato.
Dopo aver installato il ruolo WAP, il servizio deve essere configurato. Cliccare su Open the Web
Application Proxy Wizard per cominciare il setup.
name. Draft
Cliccare su Next quando viene avviato il WAP Configuration Wizard
Digitare nel campo Federation service name il nome assegnato al servizio ADFS (nel nostro caso
specifico sts.gruppofs.it) ed inserire le credenziali del local administrator account del server.
Cliccare su Next quando completato.
Selezionare il certificato SSL che deve essere utilizzato dall’ADFS proxy.

name. Draft
Cliccare su Configure per avviare la configurazione dell’applicazione WAP.
name. Draft
Il servizio viene configurato nel sistema; quando il processo è stato completato, cliccare su Close per
uscire dal Wizard.
Quando si clicca su Close, la Remote Access Management Console viene aperta automaticamente.
name. Draft
3.2 Pubblicare l’Applicazione
Per abilitare il servizio WAP, l’applicazione deve essere pubblicata dalla Remote Access
Management Console. Nella sezione Tasks, cliccare su Publish.
La finestra Publish New Application Wizard si apre. Cliccare su Next per cominciare.
name. Draft
Selezionare l’opzione Pass-through e cliccare su Next.
Assegnare un Name all’applicazione web da pubblicare. Digitare nel campo External URL il nome
del DNS associato al servizio, selezionare l’External certificate e specificare il Backend server
URL. Cliccare su Next per proseguire.
name. Draft
Per pubblicare l’applicazione web cliccare sul pulsante Publish.
Quando l’applicazione è stata correttamente pubblicata, cliccare su Close per uscire dal Wizard.
L’applicazione viene mostrata nella lista Published Web Applications.
Chiudere la Remote Access Management Console.
name. Draft
3.3 Test connessione esterna ADFS/WAP
Per testare il processo di autenticazione, da un device esterno alla rete LAN digitare nel browser il
seguente indirizzo:
https://sts.gruppofs.it/adfs/ls/IdpInitiatedSignon.aspx
A solo scopo illustrativo e nell’ottica di rendere più fruibili i passi per testare il processo di
autenticazione, di seguito vengono riportati gli stessi; nel browser viene digitato
l’indirizzo https://sts.nolabnoparty.com/adfs/ls/IdpInitiatedSignon.aspx).
Cliccare sul bottone Sign in.
Inserire le credenziali di un account membro del dominio e cliccare su Sign in.
name. Draft
Se il sistema visualizza il messaggio You are signed in, il servizio funziona correttamente.
name. Draft
4 Federazione Office 365
Stabilito che per abilitare il Single Sign-On con Office 365, ADFS 3.0 è il servizio da configurare per
implementare il processo di federation con Office 365; il concetto di high availability diventa il punto
chiave in ADFS perchè una volta che si utilizza l’SSO con Office 365, il processo di autenticazione si
basa completamente sulla propria Active Directory locale***.
N.B.: Se il dominio utilizzato nella rete interna LAN non coincide con il dominio da federare con
Office 365, un UPN suffix dedicato deve essere aggiunto in Active Directory per farlo
coincidere con il nome esterno.
4.1 Prerequisiti
Installati i server ADFS e WAP, lo step successivo della configurazione di ADFS 3.0 consiste nel
processo di federation con Office 365. La procedura richiede due componenti da installare nel server
ADFS per effettuare i processi amministrativi utilizzando i comandi della PowerShell.
 Microsoft Online Services Sign-In Assistant for IT Professionals RTW
 Azure Active Directory Module for Windows PowerShell (64-bit version)
name. Draft
4.2 Installazione “Microsoft Online Services Sign-in Assistant”
Per consentire all’utente finale le funzionalità di sign-in ai Microsoft Online Services, come ad
esempio Office 365, il Microsoft Online Services Sign-In Assistant deve essere installato nel server
ADFS. Scaricare il tool ed eseguire l’installer.
Quando il wizard viene avviato, accettare l’EULA e cliccare su Install per procedere.
Il Microsoft Online Services Sign-In Assistant viene installato nel sistema.
name. Draft
Quando l’installazione viene correttamente completata, cliccare su Finish per uscire dal wizard.
4.3 Installazione “Windows Azure AD Module for PowerShell”

Per effettuare i task amministrativi, come la gestione degli utenti, la gestione del dominio e la
configurazione della funzione single sign-on, l’Azure Active Directory Module for Windows
PowerShell è un altro componente da installare nel server ADFS. Scaricare il modulo ed eseguire
l’installer.
Quando l’installation wizard si apre, cliccare su Next per avviare l’installazione.
name. Draft
Accettare l’EULA e cliccare su Next.
Lasciare la location di default e cliccare su Next.
name. Draft
Quando il tutto è pronto, cliccare sul pulsante Install per installare il modulo.
Il modulo viene installato nel sistema.
name. Draft
Quando l’installazione viene correttamente completata, cliccare su Finish per uscire dal Setup.
4.4 Federare il dominio/domini Office 365

Quando l’installazione delle componenti descritte ai punti 4.2 e 4.3 sul server ADFS è completata,
aprire la shell PowerShell cliccando sull’icona posta nel desktop (icona creata durante la fase di
installazione dell’Azure Active Directory Module for Windows PowerShell).
Per connettersi con i propri servizi online (Office 365), utilizzare il cmdlet:
PS C:\> Connect-MsolService
Inserire le credenziali dell’Admin di Office 365 e cliccare su OK.
Viene stabilita la connessione con la piattaforma Office 365.
Per federare i domini, questi devono essere verificati nel portale di Office 365. Per controllare se il
dominio è verificato, eseguire il comando:
PS C:\> Get-MsolDomain
Confermato che il dominio è visualizzato come verificato, utilizzare il seguente comando per federare
un singolo dominio:
PS C:\> Convert-MsolDomainToFederated -DomainName <nomedominio/foresta>
name. Draft
Per utilizzare lo stesso server ADFS per federare altri domini nello stesso tenant, utilizzare il comando:
PS C:\> Convert-MsolDomainToFederated -DomainName nolabnoparty.com -

SupportMultipleDomain:$true
Per verificare i domini federati, eseguire il cmdlet:
PS C:\> Get-MsolDomain
name. Draft
5 Azure Active Directory Sync
5.1 Introduzione
Azure Active Directory Sync è il nuovo servizio di sincronizzazione che permette agli utenti di
effettuare le seguenti operazioni:
 Sincronizzare ambienti Active Directory a più foreste senza che sia necessario il set di
funzionalità completo di Forefront Identity Manager 2010 R2.
 Usare regole avanzate per provisioning, mapping e filtri per oggetti e attributi, incluso il
supporto per la sincronizzazione di un insieme ridottissimo di attributi utente (solo 7).
 Configurazione di più organizzazioni locali di Exchange per il mapping a un singolo tenant di
Azure Active Directory.
5.2 Installazione
5.2.1 Prerequisiti
1. Per installare AADSync, è necessario un computer che esegue il sistema operativo Windows
Server. Sono supportate le versioni seguenti:
 Windows Server 2008
 Windows Server 2008 R2
 Windows Server 2012
 Windows Server 2012 R2
Il computer può essere un computer autonomo, un server membro o un controller di dominio.
2. È necessario installare i componenti seguenti:

 .NET 4.5
 PowerShell (PS3 o versione successiva)
3. Per installare AADSync, è necessario un account con privilegi di amministratore locale nel
computer.
4. AADSync richiede un database SQL Server per archiviare i dati di identità. Per impostazione
predefinita, viene installato un database locale di SQL Express (una versione light di SQL
Server Express) e viene creato un account del servizio nel computer locale.
SQL Server Express prevede un limite di dimensioni pari a 10 GB che consente di gestire
approssimativamente 100.000 oggetti.
5. E’ necessario registrare i domini da sincronizzare sul tenant Office365. Seguire questa guida
per i dettagli della procedura: http://office365support.ca/adding-and-verifying-a-domain-
for-the-new-office-365/.
6. E’ necessaria un’utenza sul tenant Office365 con il ruolo di Global Administrator.
name. Draft
7. Prima di installare AADSync è necessario avere a disposizione gli account di connessione ai
domini da sincronizzare con i permessi opportuni come nella tabella riportata sotto:
Utenza Dominio Prodotto Diritti Necessari Descrizione

associato
ADFS Service FS.EU AD FS Nessuno Utenza di servizio con il

Account quale sarà eseguito il
componente di AD FS
AADSync utenti.trenitalia.it AADSync Replicate directory changes Utenza utilizzata per

Management (da assegnare a livello di interrogare il dominio
agent account dominio) remoto e recuperare le
informazioni sugli utenti
Read su tutti gli oggetti del
da sincronizzare
dominio
centostazioni.it AADSync Utenza utilizzata per

AADSync Replicate directory changes
interrogare il dominio
Management (da assegnare a livello di
remoto e recuperare le
agent account dominio)
Read su tutti gli oggetti del da sincronizzare
dominio
AADSync italferr.corp.local AADSync Replicate directory changes Utenza utilizzata per

Management (da assegnare a livello di interrogare il dominio
agent account dominio) remoto e recuperare le
Read su tutti gli oggetti del
da sincronizzare
dominio
busitalia.local AADSync Utenza utilizzata per

dominio
intranet.ferservizi.it AADSync Utenza utilizzata per
dominio
Utenza utilizzata per
AADSync fsutenti.ferroviedello AADSync Replicate directory changes
Management stato.it (da assegnare a livello di
dominio
name. Draft
Le procedure per riportare sotto descrivono in dettaglio i passi da seguire per creare le utenze e
assegnarvi correttamente i permessi richiesti.
 Creare un account Active Directory per il connettore di Servizi di dominio Active Directory
 Creare un account Active Directory per il connettore di Azure Active Directory
5.2.2 Guida installazione step-by-step

 Scaricare i binari del tool di sincronizzazione sul sito ufficiale http://www.microsoft.com/en-
us/download/details.aspx?id=44225. Salvarli nella cartella C:\Sw.
 Accedere alla macchina AADSync con l’utenza mscons@tsf.local. Si ricorda che tale utenza
deve avere diritti di amministratore di dominio su ADFS.
 Aspettare fino a quando non si presenta la schermata di benvenuto. Accettare le condizioni

e premere Install.
name. Draft
 Inserire le credenziali dell’utenza con i diritti di global administrator sul tenant Office 365:
 Inserire il nome della la foresta e l’utenza corrispondente creata per accedere all’Active
Directory dal tool e premere Add Forest. Ripetere questo passo per le seguenti foreste:
o Centostazioni.it
o Fsroot.ferroviedellostato.it
o Root.ferservizi.it
o Ti.top
 Una volta aggiunto tutti i domini desiderati premere next.
name. Draft
 Scegliere l’opzione Your users are only represented once in all forests e Mail attribute come
identificativo univoco dell’utente su Active Directory.
 Scegliere l’attributo ObjectGUID come source anchor e l’attributo mail come
UserPrincipalName su Azure Active Directory. Premere Next.
 Non selezionare nessuna delle opzioni aggiuntive nella seguente schermata. Premere next.
 Leggere il riassunto della configurazione e, se soddisfacente, premere next. Aspettare la fine

della fase di configurazione.
name. Draft
 Deselezionare l’opzione Synchronize now e premere finish. Prima di sincronizzare le Active
Directory bisogna modificare le regole di sincronia.
5.3 Configurazione
5.3.1 Premessa
La federazione selettiva implica la sincronizzazione dei soli utenti che avranno una licenza Office 365.
Per fare ciò, tali utenti devono essere segnalati con un attributo che funga da flag per le regole di
sincronizzazione. A tale proposito è stato creato uno script che cerca gli utenti desiderati tramite
l’attributo mail e scrive in un attributo destinazione il valore-flag “Office365:1”.
name. Draft
In seguito verranno create delle regole di sincronizzazione che leggono questo valore e
sincronizzano l’utente sul Azure Active Directory solo se il flag contiene il valore desiderato.
5.3.2 Modificare le regole di sincronizzazione create di default

Premere Start e cercare Synchronization Rule Editor.
Vi sono svariate regole di sincronizzazione create dal tool in fase di installazione. Cancellare tutte le
regole che non agiscono su oggetti di tipo User. Devono rimanere solamente le regole con nomi
conformi alla seguente convenzione:
 Inbound:
o In from AD – User Join
o In from AD – User AccountEnabled
o In from AD – User Common
 Outbound:
o Out to AAD – User Join
Queste regole devono esistere per tutte le foreste sincronizzate dal tool.
5.3.2.1 Escludere tutti gli utenti senza un campo mail popolato
Su tutte le regole di inbound synchronization fare le seguenti modifiche:
 Selezionare la regola, premere Edit

 Al secondo passo aggiungere un criterio di filtro: mail – is not null
 Salva
name. Draft
5.3.3 Creare nuove regole di sincronizzazione
Premere Add new rule e seguire i passi del wizard per impostare il connettore, la priorità della regola,
le regole di filtrazione, di join e i criteri di sincronizzazione a seconda dei requisiti definiti per la
sincronia stessa.
In allegato nell’ultimo capitolo di questo documento vengono riportati i file di testo contenenti la
configurazione finale di tutte le regole di sincronia esportate dal tool stesso.
name. Draft
6 Allegati
6.1.1 Script di abilitazione per sincronizzazione
set-SyncAttr.txt
6.1.2 Regole di sincronizzazione
6.1.2.1 Inbound
InboundRules.txt
6.1.2.2 Outbound
OutboundRules.txt
6.1.3 Script Abilitazione Licenze su tenant Office 365
name. Draft

ADFS and AAD Sync - Installation Guide

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

ADFS and AAD Sync - Installation Guide

Caricato da

Copyright:

Formati disponibili

Office 365 - Identity and

ADFS and AAD Sync - Installation Guide

Gruppo Ferrovie dello Stato Italiane

Version 0.2 Draft

1.2 Servizi del ruolo ADFS ...................................................................................................................................... 5

1.3 Gestione dei ruoli ADFS ................................................................................................................................... 6

2 Installazione e Configurazione ADFS Server ................................................................................7

2.2 Test ADFS ............................................................................................................................................................ 18

3 Installazione e Configurazione WAP Server .............................................................................. 21

3.2 Pubblicare l’Applicazione ............................................................................................................................. 40

3.3 TEST connessione esterna ADFS/WAP ..................................................................................................... 43

4 Federazione OFFICE 365 .................................................................................................................. 45

4.2 Installazione “Microsoft Online Services Sign-in Assistant” ............................................................. 46

4.3 Installazione “Windows Azure AD Module for PowerShell”............................................................. 47

4.4 Federare il dominio/domini Office 365.................................................................................................... 50

Date Author Version Change Reference

Name Version Approved Position Date

1.1 Introduzione ad ADFS

 Organizzazione che ospita le risorse: le organizzazioni proprietarie e responsabili della

1.2 Servizi del ruolo ADFS

 Un account di servizio dedicato in Active Directory (nel nostro caso: adfs)

 Un certificato SSL firmato ricevuto dalla CA (nel nostro caso: sts.gruppofs.it)**

Selezionare l’opzione Role-based or feature-based installation e cliccare su Next.

Niente da selezionare in questa schermata, cliccare su Next.

Il ruolo ADFS viene installato nel sistema.

Il sistema installa i componenti richiesti e configura il servizio.

2.2 Test ADFS

Aprire il file hosts collocato nella directory C:\Windows\System32\drivers\etc ed aggiungere una

Cliccare su Next per avviare la configurazione del ruolo selezionato.

Selezionare il ruolo Remote Access e cliccare su Next.

A. EXPORT CERTIFICATO SSL da ADFS Server:

Si apre l’Export Wizard. Cliccare su Next per procedere.

Lasciare le opzioni di default e cliccare su Next.

Digitare un File name e cliccare su Next.

Cliccare su OK per chiudere la finestra di conferma.

Cliccare su Next per continuare.

Selezionare l’opzione Place all certificates in the following store ed

Cliccare su OK per chiudere la finestra di conferma.

Selezionare il certificato SSL che deve essere utilizzato dall’ADFS proxy.

L’applicazione viene mostrata nella lista Published Web Applications.

Chiudere la Remote Access Management Console.

Cliccare sul bottone Sign in.

Inserire le credenziali di un account membro del dominio e cliccare su Sign in.

 Microsoft Online Services Sign-In Assistant for IT Professionals RTW

 Azure Active Directory Module for Windows PowerShell (64-bit version)

Il Microsoft Online Services Sign-In Assistant viene installato nel sistema.

4.3 Installazione “Windows Azure AD Module for PowerShell”

Quando l’installation wizard si apre, cliccare su Next per avviare l’installazione.

Lasciare la location di default e cliccare su Next.

Il modulo viene installato nel sistema.

4.4 Federare il dominio/domini Office 365

Inserire le credenziali dell’Admin di Office 365 e cliccare su OK.

Viene stabilita la connessione con la piattaforma Office 365.

PS C:\> Convert-MsolDomainToFederated -DomainName <nomedominio/foresta>

PS C:\> Convert-MsolDomainToFederated -DomainName nolabnoparty.com -

Per verificare i domini federati, eseguire il cmdlet:

Il computer può essere un computer autonomo, un server membro o un controller di dominio.

2. È necessario installare i componenti seguenti:

Utenza Dominio Prodotto Diritti Necessari Descrizione

ADFS Service FS.EU AD FS Nessuno Utenza di servizio con il

AADSync utenti.trenitalia.it AADSync Replicate directory changes Utenza utilizzata per

centostazioni.it AADSync Utenza utilizzata per

AADSync italferr.corp.local AADSync Replicate directory changes Utenza utilizzata per

busitalia.local AADSync Utenza utilizzata per