Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Federation
Prepared for
11/9/2015
Prepared by
Microsoft Services
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Contents
1 Panoramica ..............................................................................................................................................4
1.1 Introduzione ad ADFS ...................................................................................................................................... 4
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Revision and Signoff Sheet
Change Record
Reviewers
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
1 Panoramica
Il presente documento intende illustrare le funzionalità del servizio ADFS. Nei paragrafi successivi
sono dettagliate le componenti tecnologiche del servizio, la descrizione dei passi d’installazione ed
eventuali note sull’implementazione della soluzione nell’infrastruttura di Ferrovie dello Stato Italiane.
Quando un'applicazione viene eseguita in una rete e gli account utente sono gestiti in un'altra rete,
è piuttosto frequente che agli utenti vengano richieste credenziali secondarie quando tentano di
accedere all'applicazione. Tali credenziali secondarie rappresentano l'identità degli utenti nell'area di
autenticazione a cui appartiene l'applicazione. Le credenziali sono in genere richieste dal server Web
che ospita l'applicazione, allo scopo di prendere le decisioni più appropriate in relazione alle
autorizzazioni.
Con ADFS gli account secondari e le relative credenziali non sono più necessari perché vengono rese
disponibili attraverso relazioni di trust utilizzabili per trasferire l'identità digitale e i diritti di accesso
di un utente ai partner trusted. In un ambiente federativo, ogni organizzazione continua a gestire le
proprie identità pur essendo in grado di distribuire e accettare in modo sicuro identità da altre
organizzazioni.
È inoltre possibile distribuire server federativi in più organizzazioni per facilitare le transazioni
business-to-business (B2B) tra organizzazioni di partner trusted. Nelle relazioni federative B2B i
partner trusted vengono identificati come uno dei tipi seguenti di organizzazione:
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
federativi nell'organizzazione che ospita le risorse per prendere decisioni in relazione alle
autorizzazioni.
Il processo che consente di eseguire l'autenticazione in una rete e accedere a risorse in un'altra rete
senza dover eseguire più volte le procedure di accesso è noto come Single Sign-On (SSO). ADFS
offre una soluzione SSO basata su Web che supporta l'autenticazione degli utenti in più applicazioni
Web per tutta la durata di una singola sessione del browser.
*N.B. : Nello specifico caso di Ferrovie dello Stato Italiane il servizio ADFS viene utilizzato al
momento solo per “federare” l’applicazione OFFICE 365
A seconda dei requisiti dell'organizzazione, è possibile distribuire server che eseguono uno dei servizi
seguenti del ruolo ADFS:
Servizio federativo: il servizio federativo comprende uno o più server federativi che
condividono un criterio di attendibilità comune. I server federativi vengono utilizzati per
indirizzare le richieste di autenticazione da account utente in altre organizzazioni o da client
in qualsiasi posizione su Internet.
Proxy servizio federativo (WAP: Web application Proxy): proxy del servizio federativo nella
rete perimetrale, nota anche come DMZ o subnet schermata. Il proxy servizio federativo
utilizza protocolli WS-F PRP (WS-Federation Passive Requestor Profile) per raccogliere le
informazioni relative alle credenziali utente da client browser e inviare tali informazioni al
servizio federativo.
Agente in grado di riconoscere attestazioni: è possibile utilizzare l'agente in grado di
riconoscere attestazioni in un server Web che ospita un'applicazione in grado di riconoscere
attestazioni per consentire query per le attestazioni nei token di sicurezza ADFS.
Un'applicazione in grado di riconoscere attestazioni è un'applicazione Microsoft ASP.NET che
utilizza le attestazioni presenti in un token di sicurezza ADFS per prendere decisioni in merito
alle autorizzazioni e personalizzare le applicazioni.
Agente basato su token Windows: l'agente basato su token Windows viene utilizzato in un
server Web che ospita un'applicazione basata su token Windows NT per supportare la
conversione da un token di sicurezza ADFS a un token di accesso di Windows NT con livello
di rappresentazione. Le applicazioni basate su token Windows NT sono applicazioni che
utilizzano meccanismi di autorizzazione di Windows.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
1.3 Gestione dei ruoli ADFS
È possibile gestire i ruoli del server con lo snap-in di MMC (Microsoft Management Console). Dopo
l'installazione di ADFS, è possibile utilizzare lo snap-in ADFS (Active Directory Federation Services)
per gestire sia il servizio federativo che il servizio proxy servizio federativo per il ruolo (Web
Application Proxy). Per aprire questo snap-in, fare clic sul pulsante Start, scegliere Strumenti di
amministrazione e quindi fare clic su ADFS (Active Directory Federation Services).
Per gestire l'agente basato su token Windows, fare clic sul pulsante Start, scegliere Strumenti di
amministrazione, Gestione Internet Information Services (IIS) e quindi fare clic su Connetti a localhost.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
2 Installazione e Configurazione ADFS Server
Per l’installazione del server ADFS sono necessari alcuni prerequisiti di seguito elencati:
Un server Windows 2012 R2 membro del dominio. Per ambienti più complessi sono richiesti
almeno due server federati in configurazione load-balanced per meglio distribuire il carico.
Per abilitare i Federation Services, è necessario installare nel server il ruolo ADFS. Dal Server
Manager cliccare sulla voce Add roles and features.
**N.B.: Il certificato SSL deve avere una chiave di tipo legacy; la MMC di Windows Server 2012
R2 in fase di richiesta certificato propone di default una chiave di tipo CNG, si prega di non usare
assolutamente questo tipo di chiave in quanto non supportata da ADFS.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Cliccare Next per avviare la configurazione.
Selezionare l’opzione Select a server from the server pool ed evidenziare il server da installare.
Cliccare su Next per continuare.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Selezionare il ruolo Active Directory Federation Services e cliccare su Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Cliccare Next per continuare.
Spuntare la voce Restart the destination server automatically if required e cliccare su Yes per
confermare.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Quando si è pronti per procedere, cliccare sul bottone Install per avviare l’installazione del ruolo.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Quando l’installazione viene correttamente completata, cliccare su Close per uscire dal Wizard.
Quando il ruolo è stato installato nel sistema, cliccare sull’icona di warning gialla e cliccare
successivamente sull’opzione Configure the federation service on this server.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Quando l’ADFS Wizard si avvia, verificare di aver selezionato l’opzione Create the first federation
server in a federation server farm quindi cliccare su Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Specificare un account con i permessi di domain administrator e cliccare su Next.
Nel campo SSL Certificate cliccare sul menu a tendina e selezionare il certificato (sts.gruppofs.it)
precedentemente creato e già importato nel server. Il campo Federation Service Name deve avere
lo stesso nome del certificato installato mentre Federation Service Display Name è il nome che gli
utenti vedranno durante l’operazione di sign in (nel caso specifico: Gruppo Ferrovie dello Stato
Italiane). Cliccare su Next per proseguire.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Ignorare l’errore relativo al “Group Managed Service Account”; poichè è previsto l’utilizzo di un
account di servizio dedicato (nel caso specifico adfs), selezionare l’opzione Use an existing domain
user account or group Managed Service Account e specificare la password. Cliccare
su Next per continuare.
Se la farm è configurata con meno di cinque server ADFS, WID (Windows Internal Database) può
essere utilizzato per salvare la configurazione dei dati. Selezionare la voce Create a database in this
server using Windows Internal Database e cliccare su Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Nella scheramta successiva è possibile rivedere le impostazioni della configurazione effettuata.
Cliccare su Next per eseguire il controllo dei pre-requisiti.
Se tutti i controlli dei pre-requisiti passano correttamente, cliccare sul bottone Configure per
configurare ADFS sul server.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Quando il server è correttamente configurato, cliccare su Close per uscire dal Wizard.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
2.1 Configurazione DNS A Record
Per effettuare l’autenticazione in Active Directory sia dall’interno che dall’esterno della LAN, tutti i
device necessitano che il servizio ADFS sia correttamente configurato nell’infrastruttura DNS.
DNS pubblici: Per risolvere il nome ADFS sts.gruppofs.it (è il nome configurato per il servizio)
dall’esterno, un record di tipo A deve essere creato nel DNS pubblico che punta all’IP pubblico
del server ADFS della zona DMZ.
DNS interno: Per risolvere il nome ADFS dall’interno invece, il DNS deve essere configurato
in modo accurato (la configurazione di quest’ultimo non viene descritta in questo documento
in quanto effettuata direttamente da personale del cliente).
A solo scopo illustrativo e nell’ottica di rendere più fruibile il concetto, viene riportato di seguito
l’esempio in figura; nel browser è utilizzato
l’indirizzo https://sts.nolabnoparty.com/adfs/ls/IdpInitiatedSignon.aspx. Cliccare sul bottone Sign in.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Se vengono richieste le credenziali, significa che il dominio non è configurato in IE come Local
intranet zone.
Per risolvere il problema, da Internet Explorer selezionare il menu Tools > Internet Options ed
accedere alla sezione Security. Selezionare Local intranet zone e cliccare sui bottoni Sites
ed Advanced.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Cliccare su Add per aggiungere il nome ADFS nella zona selezionata. Il nome del sito (che nel nostro
caso specifico corrisponde a: sts.gruppofs.it) viene aggiunto nel campo Websites. Cliccare
successivamente su Close.
Cliccare nuovamente sul bottone Sign in. Questa volta il messaggio You are signed in conferma che
il servizio ADFS funziona correttamente. Utilizzando altri browser (Chrome, Firefox, etc.), le credenziali
verranno sempre richieste dal sistema.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
3 Installazione e Configurazione WAP Server
Per effettuare il’SSO con Office 365 all’esterno della LAN, è necessario configurare il servizio ADFS
3.0 aggiungendo un WAP server collocato nella zona DMZ.
Le Best Practice Microsoft suggeriscono che il server Windows 2012 R2 con installato il ruolo WAP
deve essere configurato come server standalone e NON membro del dominio; nel caso specifico del
cliente visto loro policy, il server Windows su cui viene installato il ruolo WAP è membro di dominio.
Poichè il server WAP nella DMZ deve comunicare con il server ADFS interno per effettuare
l’autenticazione con Active Directory, una DNS entry deve essere configurata nel file hosts del
server.
Dal Server Manager cliccare su Add roles and features per installare il ruolo WAP nel server.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Selezionare l’opzione Role-based or feature-based installation e cliccare su Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Selezionare l’opzione Select a server from the server pool, evidenziare il server dalla lista e cliccare
su Next.
Alla schermata successiva proposta non aggiungere altre funzioni, cliccare su Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Selezionare Web Application Proxy come role service.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Poichè il ruolo selezionato richiede dei tool addizionali da installare, cliccare su Add Features per
procedere.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Una volta installate le funzioni richieste e il ruolo Web Application Proxy è selezionato, cliccare su
Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Spuntare l’opzione Restart the destination server automatically if required e cliccare su Yes per
confermare.
Cliccare su Install per procedere con l’installazione del ruolo selezionato e attendere il termine della
stessa.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
3.1 Certificato SSL (WAP Server)
Attenzione: Per procedere con la configurazione del servizio WAP è necessario disporre di un altro
certificato SSL con le stesse caratteristiche di quello utilizzato per la configurazione del server ADFS in
quanto lo stesso certificato SSL è richiesto per stabilire la corretta connessione https tra ADFS e il
server WAP (condizione questa applicata al nostro specifico caso); qualora non si disponga di un altro
certificato è possibile esportare il certificato SSL dal server ADFS ed importarlo nel server WAP, di
seguito vengono fornite indicazioni di esempio per la corretta procedura di export/import (i dati indicati
nelle figure sono quindi da considerare non validi per l’infrastruttura di Ferrovie dello Stato Italiane).
Dalla console Certificates esportare il certificato includendo la private key. Da Personal >
Certificates effettuare un click con il tasto destro del mouse sul certificato emesso e selezionare
l’opzione All Tasks > Export.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Selezionare l’opzione Yes, export the private key e cliccare su Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Per motivi di sicurezza, assegnare una Password per proteggere la private key.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Cliccare su Finish per esportare il certificato.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Il certificato .pfx è stato esportato correttamente.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
B. IMPORT CERTIFICATO SSL in WAP Server
Aprire la snap-in console Certificates, effettuare un click con il stato destro del mouse sulla voce
Personal e selezionare le opzioni All Tasks > Import.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Nel campo File name selezionare il certificato SSL esportato precedentemente tramite il
pulsante Browse quindi cliccare su Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Digitare la Password della private key, selezionare l’opzione Include all extended properties e
cliccare su Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Per completare l’operazione di importazione del certificato cliccare sul pulsante Finish.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Selezionare Certificates > Personal per verificare il certificato importato.
Dopo aver installato il ruolo WAP, il servizio deve essere configurato. Cliccare su Open the Web
Application Proxy Wizard per cominciare il setup.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Cliccare su Next quando viene avviato il WAP Configuration Wizard
Digitare nel campo Federation service name il nome assegnato al servizio ADFS (nel nostro caso
specifico sts.gruppofs.it) ed inserire le credenziali del local administrator account del server.
Cliccare su Next quando completato.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Il servizio viene configurato nel sistema; quando il processo è stato completato, cliccare su Close per
uscire dal Wizard.
Quando si clicca su Close, la Remote Access Management Console viene aperta automaticamente.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
3.2 Pubblicare l’Applicazione
Per abilitare il servizio WAP, l’applicazione deve essere pubblicata dalla Remote Access
Management Console. Nella sezione Tasks, cliccare su Publish.
La finestra Publish New Application Wizard si apre. Cliccare su Next per cominciare.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Selezionare l’opzione Pass-through e cliccare su Next.
Assegnare un Name all’applicazione web da pubblicare. Digitare nel campo External URL il nome
del DNS associato al servizio, selezionare l’External certificate e specificare il Backend server
URL. Cliccare su Next per proseguire.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Per pubblicare l’applicazione web cliccare sul pulsante Publish.
Quando l’applicazione è stata correttamente pubblicata, cliccare su Close per uscire dal Wizard.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
3.3 Test connessione esterna ADFS/WAP
Per testare il processo di autenticazione, da un device esterno alla rete LAN digitare nel browser il
seguente indirizzo:
https://sts.gruppofs.it/adfs/ls/IdpInitiatedSignon.aspx
A solo scopo illustrativo e nell’ottica di rendere più fruibili i passi per testare il processo di
autenticazione, di seguito vengono riportati gli stessi; nel browser viene digitato
l’indirizzo https://sts.nolabnoparty.com/adfs/ls/IdpInitiatedSignon.aspx).
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Se il sistema visualizza il messaggio You are signed in, il servizio funziona correttamente.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
4 Federazione Office 365
Stabilito che per abilitare il Single Sign-On con Office 365, ADFS 3.0 è il servizio da configurare per
implementare il processo di federation con Office 365; il concetto di high availability diventa il punto
chiave in ADFS perchè una volta che si utilizza l’SSO con Office 365, il processo di autenticazione si
basa completamente sulla propria Active Directory locale***.
N.B.: Se il dominio utilizzato nella rete interna LAN non coincide con il dominio da federare con
Office 365, un UPN suffix dedicato deve essere aggiunto in Active Directory per farlo
coincidere con il nome esterno.
4.1 Prerequisiti
Installati i server ADFS e WAP, lo step successivo della configurazione di ADFS 3.0 consiste nel
processo di federation con Office 365. La procedura richiede due componenti da installare nel server
ADFS per effettuare i processi amministrativi utilizzando i comandi della PowerShell.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
4.2 Installazione “Microsoft Online Services Sign-in Assistant”
Per consentire all’utente finale le funzionalità di sign-in ai Microsoft Online Services, come ad
esempio Office 365, il Microsoft Online Services Sign-In Assistant deve essere installato nel server
ADFS. Scaricare il tool ed eseguire l’installer.
Quando il wizard viene avviato, accettare l’EULA e cliccare su Install per procedere.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Quando l’installazione viene correttamente completata, cliccare su Finish per uscire dal wizard.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Accettare l’EULA e cliccare su Next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Quando il tutto è pronto, cliccare sul pulsante Install per installare il modulo.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Quando l’installazione viene correttamente completata, cliccare su Finish per uscire dal Setup.
Per connettersi con i propri servizi online (Office 365), utilizzare il cmdlet:
PS C:\> Connect-MsolService
Per federare i domini, questi devono essere verificati nel portale di Office 365. Per controllare se il
dominio è verificato, eseguire il comando:
PS C:\> Get-MsolDomain
Confermato che il dominio è visualizzato come verificato, utilizzare il seguente comando per federare
un singolo dominio:
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Per utilizzare lo stesso server ADFS per federare altri domini nello stesso tenant, utilizzare il comando:
PS C:\> Get-MsolDomain
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
5 Azure Active Directory Sync
5.1 Introduzione
Azure Active Directory Sync è il nuovo servizio di sincronizzazione che permette agli utenti di
effettuare le seguenti operazioni:
Sincronizzare ambienti Active Directory a più foreste senza che sia necessario il set di
funzionalità completo di Forefront Identity Manager 2010 R2.
Usare regole avanzate per provisioning, mapping e filtri per oggetti e attributi, incluso il
supporto per la sincronizzazione di un insieme ridottissimo di attributi utente (solo 7).
Configurazione di più organizzazioni locali di Exchange per il mapping a un singolo tenant di
Azure Active Directory.
5.2 Installazione
5.2.1 Prerequisiti
1. Per installare AADSync, è necessario un computer che esegue il sistema operativo Windows
Server. Sono supportate le versioni seguenti:
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Le procedure per riportare sotto descrivono in dettaglio i passi da seguire per creare le utenze e
assegnarvi correttamente i permessi richiesti.
Creare un account Active Directory per il connettore di Servizi di dominio Active Directory
Creare un account Active Directory per il connettore di Azure Active Directory
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Inserire le credenziali dell’utenza con i diritti di global administrator sul tenant Office 365:
Inserire il nome della la foresta e l’utenza corrispondente creata per accedere all’Active
Directory dal tool e premere Add Forest. Ripetere questo passo per le seguenti foreste:
o Centostazioni.it
o Fsroot.ferroviedellostato.it
o Root.ferservizi.it
o Ti.top
Una volta aggiunto tutti i domini desiderati premere next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Scegliere l’opzione Your users are only represented once in all forests e Mail attribute come
identificativo univoco dell’utente su Active Directory.
Scegliere l’attributo ObjectGUID come source anchor e l’attributo mail come
UserPrincipalName su Azure Active Directory. Premere Next.
Non selezionare nessuna delle opzioni aggiuntive nella seguente schermata. Premere next.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
Deselezionare l’opzione Synchronize now e premere finish. Prima di sincronizzare le Active
Directory bisogna modificare le regole di sincronia.
5.3 Configurazione
5.3.1 Premessa
La federazione selettiva implica la sincronizzazione dei soli utenti che avranno una licenza Office 365.
Per fare ciò, tali utenti devono essere segnalati con un attributo che funga da flag per le regole di
sincronizzazione. A tale proposito è stato creato uno script che cerca gli utenti desiderati tramite
l’attributo mail e scrive in un attributo destinazione il valore-flag “Office365:1”.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
In seguito verranno create delle regole di sincronizzazione che leggono questo valore e
sincronizzano l’utente sul Azure Active Directory solo se il flag contiene il valore desiderato.
Vi sono svariate regole di sincronizzazione create dal tool in fase di installazione. Cancellare tutte le
regole che non agiscono su oggetti di tipo User. Devono rimanere solamente le regole con nomi
conformi alla seguente convenzione:
Inbound:
o In from AD – User Join
o In from AD – User AccountEnabled
o In from AD – User Common
Outbound:
o Out to AAD – User Join
Queste regole devono esistere per tutte le foreste sincronizzate dal tool.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
5.3.3 Creare nuove regole di sincronizzazione
Premere Add new rule e seguire i passi del wizard per impostare il connettore, la priorità della regola,
le regole di filtrazione, di join e i criteri di sincronizzazione a seconda dei requisiti definiti per la
sincronia stessa.
In allegato nell’ultimo capitolo di questo documento vengono riportati i file di testo contenenti la
configurazione finale di tutte le regole di sincronia esportate dal tool stesso.
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services
6 Allegati
set-SyncAttr.txt
6.1.2.1 Inbound
InboundRules.txt
6.1.2.2 Outbound
OutboundRules.txt
Office 365 - Identity and Federation, ADFS and AAD Sync - Installation Guide, Version Error! Unknown document property
name. Draft
Prepared by Microsoft Services