AD FS 2.0: Home Realm Discovery Authentifizierungsarten

Beispiel URL’s von verschiedenen Login Methoden bei Benutzung eines AD FS Servers:

  • Integrated Windows Authentication (IWA)
    https://contosoadfs2.contoso.com/adfs/ls/auth/integrated/?
    wa=wsignin1.0&wtrealm=https%3a%2f%2fclaimsweb.contoso.com&wctx=rm%3d0%26id%3dpassive%26ru%3d%252f&wct=2012-09-27T22%3a54%3a57Z
  • Forms Based Authentication (FBA)
    https://contosoadfs2.contoso.com/adfs/ls/FormsSignIn.aspx/?
    wa=wsignin1.0&wtrealm=https%3a%2f%2fclaimsweb.contoso.com&wctx=rm%3d0%26id%3dpassive%26ru%3d%252f&wct=2012-09-27T22%3a54%3a57Z
  • Transport Layer Security Client Authentication (TLSClient)
    https://contosoadfs2.contoso.com/adfs/ls/auth/sslclient/?wa=wsignin1.0&wtrealm=https%3a%2f%2fclaimsweb.contoso.com&wctx=rm%3d0%26id%3dpassive%26ru%3d%252f&wct=2012-09-27T22%3a54%3a57Z
  • Basic Authentication
    https://contosoadfs2.contoso.com/adfs/ls/auth/basic/?
    wa=wsignin1.0&wtrealm=https%3a%2f%2fclaimsweb.contoso.com&wctx=rm%3d0%26id%3dpassive%26ru%3d%252f&wct=2012-09-27T22%3a54%3a57Z

Bei Nutzung eines ADFS 2.0 Proxy-Servers kann die “Integrated Windows Authentication” nicht angewandt werden, da ein solcher Proxy-Server unter normalen Umständen nicht Mitglied einer Domäne ist.

AD FS 2.0 – Schritt 2: Installation

Die Installation von AD FS 2.0 ist relativ einfach. Die eigentliche Herausforderung besteht anschliessend bei der Konfiguration.

Bevor die Installation durchgeführt werden kann müssen die Vorarbeiten (siehe dazu Schritt 1: Vorarbeiten) durchgeführt werden.

Installation Binaries

AD FS kann entweder mittels GUI oder mit Hilfe der Command Line  durchgeführt werden. Der Befehl dafür lautet z.B.: start /w C:\ADFSSetup.exe /quiet

Installation Zertifikate

Bei der Installation/Konfiguration der Zertfikate müssen folgende Schritte durchgeführt werden:

  • Installation Service SSL Zertfikat im Zertifkats-Store
  • Installation Token Signing SSL Zertfikat im Zertifkats-Store
  • Konfiguration von IIS (Anpassung Binding (https) und Zuweisung SSL Zertifikat)

Konfiguration ADFS

Wie die Installation kann auch die Konfiguration von ADFS mittels GUI (mit Hilfe eines Wizards) oder über die Command Line durchgeführt werden (Befehl: FsConfig.exe StandAlone /AutoCertRolloverEnabled)

AD FS 2.0 – Schritt 1: Vorbereitungsarbeiten

Damit mit der eigentlichen Installation von AD FS 2.0 begonnen werden kann müssen folgende Schritte vorher durchgeführt werden:

  • Installation Certificate Authority (sofern nicht schon vorhanden)
  • Import Root Certifcate des Partners mit Hilfe des Group Policy Management Editors (entsprechende Group Policy auswählen z.B. Default Domain Policy) und anschliessend Root Zertfikat unter dem folgenden Pfad einfügen: 
    Computer Configuration, Policies > Windows Settings > Security Settings >Public Key Policies > Trusted Root Certification Authorities
  • Hinzufügen von CDP (CRL Distribution Point) und AIA (Authority Information Access) Extensions
  • Konfiguration der Zertifikats-Vorlagen (Web Server und AD FS Token-Signing). Als Basis dient jeweils das Template “Web Server” (Kopie erstellen mittels der Option “Duplicate Template”)

Nach Abschluss dieser Schritte kann dann mit der Installation von ADFS begonnen werden.