ADFS adalah fitur baru di sistem operasi Windows Server 2008. ADFS menyediakan solusi akses terpadu untuk akses berbasis browser untuk pengguna internal dan eksternal. Fitur baru ini bahkan dapat memungkinkan komunikasi antar akun dan aplikasi antara dua jaringan atau organisasi yang benar-benar berbeda.
Untuk memahami cara kerja ADFS, pertama-tama Anda dapat mempertimbangkan cara kerja Direktori Aktif. Saat pengguna mengautentikasi melalui Direktori Aktif, pengontrol domain memeriksa sertifikat pengguna. Setelah terbukti sebagai pengguna yang sah, pengguna dapat dengan bebas mengakses sumber daya resmi apa pun di jaringan Windows tanpa harus mengautentikasi ulang setiap kali mengakses server yang berbeda. ADFS menerapkan konsep yang sama pada Internet. Kita semua tahu bahwa ketika aplikasi web perlu mengakses data back-end yang terletak di database atau jenis sumber daya back-end lainnya, masalah otentikasi keamanan untuk sumber daya back-end seringkali menjadi rumit. Ada banyak metode otentikasi berbeda yang tersedia saat ini untuk menyediakan otentikasi tersebut. Misalnya, pengguna mungkin menerapkan mekanisme otentikasi kepemilikan melalui server RADIUS (Layanan Pengguna Dial-in Otentikasi Jarak Jauh) atau melalui bagian dari kode aplikasi. Mekanisme autentikasi ini semuanya dapat mengimplementasikan fungsi autentikasi, namun juga memiliki beberapa kekurangan. Salah satu kelemahannya adalah manajemen akun. Pengelolaan akun bukan menjadi masalah besar ketika aplikasi hanya diakses oleh karyawan perusahaan itu sendiri. Namun, jika pemasok dan pelanggan perusahaan semuanya menggunakan aplikasi ini, pengguna tiba-tiba menyadari bahwa mereka perlu membuat akun pengguna baru untuk karyawan perusahaan lain. Kekurangan kedua adalah pemeliharaan. Ketika karyawan dari perusahaan lain keluar dan karyawan baru dipekerjakan, pengguna juga perlu menghapus akun lama dan membuat akun baru.
Apa yang dapat ADFS lakukan untuk Anda?
Bagaimana jadinya jika pengguna menyerahkan tugas pengelolaan akun kepada pelanggan, pemasok, atau pihak lain menggunakan aplikasi web? Bayangkan aplikasi web memberikan layanan kepada bisnis lain, dan pengguna tidak perlu lagi membuat pengguna untuk karyawan tersebut atau mengatur ulang kata sandi Anda. Jika itu belum cukup, pengguna tidak perlu lagi login ke aplikasi untuk menggunakannya. Itu akan menjadi hal yang menarik.
Apa yang dibutuhkan ADFS?
Tentu saja, layanan federasi Direktori Aktif juga memerlukan konfigurasi lain untuk digunakan, dan pengguna memerlukan beberapa server untuk menjalankan fungsi ini. Yang paling mendasar adalah server federasi, yang menjalankan komponen layanan federasi ADFS. Peran utama server federasi adalah mengirimkan permintaan dari pengguna eksternal yang berbeda. Server ini juga bertanggung jawab untuk mengeluarkan token kepada pengguna yang diautentikasi.
Selain itu, dalam banyak kasus, agen bersama diperlukan. Bayangkan saja, jika jaringan eksternal harus dapat membuat protokol federasi dengan jaringan internal pengguna, berarti server federasi pengguna harus dapat diakses melalui Internet. Namun federasi Direktori Aktif tidak terlalu bergantung pada Direktori Aktif, sehingga mengekspos server federasi secara langsung ke Internet akan membawa risiko yang besar. Oleh karena itu, server federasi tidak dapat terhubung langsung ke Internet, tetapi diakses melalui proxy federasi. Proksi federasi meneruskan permintaan federasi dari luar ke server federasi, sehingga server federasi tidak terekspos langsung ke dunia luar.
Komponen utama ADFS lainnya adalah Agen Web ADFS. Aplikasi web harus memiliki mekanisme untuk mengautentikasi pengguna eksternal. Mekanisme ini adalah proksi web ADFS. Proksi web ADFS mengelola token keamanan dan cookie autentikasi yang dikeluarkan ke server web.
Pada artikel berikut, kami akan memandu Anda melalui lingkungan pengujian simulasi untuk merasakan pengalaman baru yang dihadirkan layanan ADFS ke perusahaan. Tanpa basa-basi lagi, mari kita mulai pengujian konfigurasi ADFS.
Langkah 1: Tugas pra-instalasi
Untuk menyelesaikan percobaan berikut, pengguna harus menyiapkan setidaknya empat komputer sebelum menginstal ADFS.
1) Konfigurasikan sistem operasi komputer dan lingkungan jaringan
Gunakan tabel berikut untuk mengonfigurasi sistem komputer dan lingkungan jaringan Anda untuk pengujian.
2) Instal IKLAN DS
Pengguna menggunakan alat Dcpromo untuk membuat hutan Direktori Aktif baru untuk setiap server federasi (FS).
3) Buat akun pengguna dan akun sumber daya
Setelah menyiapkan dua hutan, pengguna dapat menggunakan alat "Akun Pengguna dan Komputer" (Pengguna Direktori Aktif dan Komputer) untuk membuat beberapa akun sebagai persiapan untuk eksperimen berikut. Daftar berikut memberikan beberapa contoh untuk referensi pengguna:
4) Gabungkan komputer uji ke domain yang sesuai
Ikuti tabel di bawah ini untuk menambahkan komputer terkait ke domain yang sesuai. Perlu diperhatikan bahwa sebelum menambahkan komputer ini ke domain, pengguna harus menonaktifkan firewall pada pengontrol domain terkait.
Langkah 2: Instal layanan peran AD FS dan konfigurasikan sertifikat
Sekarang kami telah mengkonfigurasi komputer dan menambahkannya ke domain, kami juga telah menginstal komponen ADFS di setiap server.
1) Instal layanan aliansi
Instal layanan aliansi pada dua komputer. Setelah instalasi selesai, kedua komputer menjadi server aliansi. Langkah-langkah berikut akan memandu kita dalam membuat file kebijakan kepercayaan baru, SSL, dan sertifikat:
Klik Mulai, pilih Alat Administratif, dan klik Manajer Server. Klik kanan Kelola Peran dan pilih Tambahkan peran untuk memulai Panduan Tambahkan Peran. Klik Berikutnya di halaman Sebelum Anda Mulai. Pada halaman Pilih Peran Server, pilih Layanan Federasi Direktori Aktif dan klik Berikutnya. Pilih kotak centang Layanan Federasi di Pilih Layanan Peran. Jika sistem meminta pengguna untuk menginstal layanan peran Server Web (IIS) atau Layanan Aktivasi Windows (WAS), klik Tambahkan Layanan Peran yang Diperlukan untuk menambahkannya, dan klik Berikutnya setelah selesai. Pada halaman Pilih Sertifikat untuk Enkripsi SSL, klik Buat sertifikat yang ditandatangani sendiri untuk enkripsi SSL, klik Berikutnya untuk melanjutkan, pada halaman Pilih Sertifikat Penandatanganan Token, klik Buat sertifikat penandatanganan token yang ditandatangani sendiri, klik Berikutnya Pilih Kebijakan Kepercayaan Pada halaman tersebut, pilih Buat kebijakan kepercayaan baru. Selanjutnya, masuk ke halaman Pilih Layanan Peran dan klik Berikutnya untuk mengonfirmasi nilai default. Setelah memverifikasi informasi di Konfirmasi Opsi Instalasi, Anda dapat mengklik Instal untuk memulai instalasi.
[Potong Halaman]
2) Tetapkan akun sistem lokal ke identitas ADFSAppPool
Klik Mulai, di Manajer Layanan Informasi Internet (IIS) di Alat Administratif, klik dua kali ADFSRESOURCE atau ADFSACCOUNT, pilih Kumpulan Aplikasi, klik kanan ADFSAppPool di panel tengah, pilih Tetapkan Default Kumpulan Aplikasi pilih oke.
3) Instal Agen Web AD FS
Di Manajer Server di Alat Administratif, klik kanan Kelola Peran, pilih Tambahkan peran, pilih Layanan Federasi Direktori Aktif di halaman Pilih Peran Server sesuai dengan wizard, klik Berikutnya dan pilih kotak centang Agen Sadar Klaim di jendela Pilih Layanan Peran . Jika wizard meminta pengguna untuk menginstal layanan peran Web Server (IIS) atau Windows Activation Service (WAS), klik Tambahkan Layanan Peran yang Diperlukan untuk menyelesaikan instalasi. Setelah selesai, pada halaman Pilih Layanan Peran, pilih kotak centang Otentikasi Pemetaan Sertifikat Klien (Untuk mencapai langkah ini, IIS perlu membuat otentikasi layanan yang ditandatangani sendiri.) Setelah memverifikasi informasi, Anda dapat memulai instalasi.
Agar berhasil menyiapkan server web dan server aliansi, langkah penting lainnya adalah pembuatan, impor dan ekspor sertifikat. Kami sebelumnya telah menggunakan wizard penambahan peran untuk membuat sertifikat otorisasi server antar server aliansi. Yang perlu dilakukan hanyalah membuat sertifikat otorisasi yang sesuai untuk komputer adfsweb. Karena keterbatasan ruang, saya tidak akan memperkenalkannya secara detail di sini. Untuk konten terkait, Anda dapat memeriksa artikel terkait sertifikat di seri ini.
Langkah 3: Konfigurasikan Server Web
Pada langkah ini, hal utama yang ingin kami selesaikan adalah cara menyiapkan aplikasi sadar klaim di server Web (adfsweb).
Pertama kita konfigurasikan IIS. Yang perlu kita lakukan hanyalah mengaktifkan pengaturan SSL situs web default adfsweb. Setelah selesai, kita klik dua kali Situs Web di ADFSWEB IIS, klik kanan Situs Web Default, pilih Tambah Aplikasi, dan ketik klaimapp di dalamnya. Alias dari kotak dialog Tambah Aplikasi, klik tombol..., buat folder baru bernamaclaimapp, lalu konfirmasi. Perlu dicatat bahwa yang terbaik adalah tidak menggunakan huruf kapital saat memberi nama folder baru, jika tidak, Anda harus menggunakan huruf kapital yang sesuai saat menggunakannya nanti.
Langkah 4: Konfigurasikan Server Aliansi
Sekarang kita telah menginstal layanan ADFS dan mengkonfigurasi server web untuk mengakses aplikasi yang peka terhadap klaim, mari kita konfigurasikan layanan aliansi kedua perusahaan (Trey Research dan A. Datum Corporation) di lingkungan pengujian.
Mari kita konfigurasikan kebijakan kepercayaan terlebih dahulu. Klik Layanan Federasi Direktori Aktif di Alat Administratif, klik dua kali Layanan Federasi, klik kanan dan pilih Kebijakan Kepercayaan, lalu pilih Properti. Ketik urn:federation:adatum di opsi URI Layanan Federasi pada tab Umum. Kemudian verifikasi bahwa URL berikut ini benar di kotak teks URL titik akhir Layanan Federasi https://adfsaccount.adatum.com/adfs/ls/ Terakhir, ketik A. Datum di Nama tampilan untuk kebijakan kepercayaan ini di tab Nama Tampilan dan pilih OK Tentu. Setelah selesai, kita masuk lagi ke Active Directory Federation Services, klik dua kali Federation Service, Trust Policy, My Organization, klik kanan Organization Claims, klik New, lalu klik Organization Claim. Ketik Trey ClaimApp Claim pada Claim name di Create a Kotak dialog Klaim Organisasi Baru. Pastikan Klaim grup dipilih dan klik OK. Konfigurasi perusahaan lain pada dasarnya mirip dengan operasi di atas, jadi saya tidak akan membahas detailnya lagi.
Langkah 5: Akses aplikasi percontohan melalui komputer klien
Konfigurasikan pengaturan browser untuk layanan federasi adfsaccount
Masuk ke adfsclient sebagai pengguna alansh, mulai IE, klik Opsi Internet di menu Alat, klik Intranet lokal pada tab Keamanan, lalu klik Situs. Lalu klik Lanjutan. Ketik https://adfsaccount di Tambahkan situs Web ini ke zona .adatum.com, klik Tambah. Kemudian ketik https://adfsweb.treyresearch.net/claimapp/ di browser IE. Namun saat diminta home realm, klik A. Datum lalu klik Submit. Dengan cara ini Aplikasi Contoh Claims-aware muncul di browser dan pengguna dapat melihat klaim aplikasi yang dipilih di SingleSignOnIdentity.SecurityPropertyCollection. Jika terjadi masalah pada saat akses, pengguna dapat menjalankan iisreset atau restart komputer adfsweb, lalu mencoba mengakses kembali.
Pada titik ini, model pengujian ADFS dasar telah dibangun. Tentu saja, ADFS masih merupakan teknologi baru yang komprehensif dan kompleks. Dalam lingkungan produksi nyata, kami masih memiliki banyak operasi dan konfigurasi yang harus dilakukan. seperti disebutkan di atas, ADFS akan sangat memperluas kemampuan aplikasi Web dan memperluas tingkat informasi bisnis eksternal perusahaan. Mari kita tunggu dan lihat bagaimana teknologi ADFS di Windows Server 2008 digunakan dalam aplikasi praktis.
[Potong Halaman]2) Tetapkan akun sistem lokal ke identitas ADFSAppPool
Klik Mulai, di Manajer Layanan Informasi Internet (IIS) di Alat Administratif, klik dua kali ADFSRESOURCE atau ADFSACCOUNT, pilih Kumpulan Aplikasi, klik kanan ADFSAppPool di panel tengah, pilih Tetapkan Default Kumpulan Aplikasi pilih oke.
3) Instal Agen Web AD FS
Di Manajer Server di Alat Administratif, klik kanan Kelola Peran, pilih Tambahkan peran, pilih Layanan Federasi Direktori Aktif di halaman Pilih Peran Server sesuai dengan wizard, klik Berikutnya dan pilih kotak centang Agen Sadar Klaim di jendela Pilih Layanan Peran . Jika wizard meminta pengguna untuk menginstal layanan peran Web Server (IIS) atau Windows Activation Service (WAS), klik Tambahkan Layanan Peran yang Diperlukan untuk menyelesaikan instalasi. Setelah selesai, pada halaman Pilih Layanan Peran, pilih kotak centang Otentikasi Pemetaan Sertifikat Klien (Untuk mencapai langkah ini, IIS perlu membuat otentikasi layanan yang ditandatangani sendiri.) Setelah memverifikasi informasi, Anda dapat memulai instalasi.
Agar berhasil menyiapkan server web dan server aliansi, langkah penting lainnya adalah pembuatan, impor dan ekspor sertifikat. Kami sebelumnya telah menggunakan wizard penambahan peran untuk membuat sertifikat otorisasi server antar server aliansi. Yang perlu dilakukan hanyalah membuat sertifikat otorisasi yang sesuai untuk komputer adfsweb. Karena keterbatasan ruang, saya tidak akan memperkenalkannya secara detail di sini. Untuk konten terkait, Anda dapat memeriksa artikel terkait sertifikat di seri ini.
Langkah 3: Konfigurasikan Server Web
Pada langkah ini, hal utama yang ingin kami selesaikan adalah cara menyiapkan aplikasi sadar klaim di server Web (adfsweb).
Pertama kita konfigurasikan IIS. Yang perlu kita lakukan hanyalah mengaktifkan pengaturan SSL situs web default adfsweb. Setelah selesai, kita klik dua kali Situs Web di ADFSWEB IIS, klik kanan Situs Web Default, pilih Tambah Aplikasi, dan ketik klaimapp di dalamnya. Alias dari kotak dialog Tambah Aplikasi, klik tombol..., buat folder baru bernamaclaimapp, lalu konfirmasi. Perlu dicatat bahwa yang terbaik adalah tidak menggunakan huruf kapital saat memberi nama folder baru, jika tidak, Anda harus menggunakan huruf kapital yang sesuai saat menggunakannya nanti.
Langkah 4: Konfigurasikan Server Aliansi
Sekarang kita telah menginstal layanan ADFS dan mengkonfigurasi server web untuk mengakses aplikasi yang peka terhadap klaim, mari kita konfigurasikan layanan aliansi kedua perusahaan (Trey Research dan A. Datum Corporation) di lingkungan pengujian.
Mari kita konfigurasikan kebijakan kepercayaan terlebih dahulu. Klik Layanan Federasi Direktori Aktif di Alat Administratif, klik dua kali Layanan Federasi, klik kanan dan pilih Kebijakan Kepercayaan, lalu pilih Properti. Ketik urn:federation:adatum di opsi URI Layanan Federasi pada tab Umum. Kemudian verifikasi bahwa URL berikut ini benar di kotak teks URL titik akhir Layanan Federasi https://adfsaccount.adatum.com/adfs/ls/ Terakhir, ketik A. Datum di Nama tampilan untuk kebijakan kepercayaan ini di tab Nama Tampilan dan pilih OK Tentu. Setelah selesai, kita masuk lagi ke Active Directory Federation Services, klik dua kali Federation Service, Trust Policy, My Organization, klik kanan Organization Claims, klik New, lalu klik Organization Claim. Ketik Trey ClaimApp Claim pada Claim name di Create a Kotak dialog Klaim Organisasi Baru. Pastikan Klaim grup dipilih dan klik OK. Konfigurasi perusahaan lain pada dasarnya mirip dengan operasi di atas, jadi saya tidak akan membahas detailnya lagi.
Langkah 5: Akses aplikasi percontohan melalui komputer klien
Konfigurasikan pengaturan browser untuk layanan federasi adfsaccount
Masuk ke adfsclient sebagai pengguna alansh, mulai IE, klik Opsi Internet di menu Alat, klik Intranet lokal pada tab Keamanan, lalu klik Situs. Lalu klik Lanjutan. Ketik https://adfsaccount di Tambahkan situs Web ini ke zona .adatum.com, klik Tambah. Kemudian ketik https://adfsweb.treyresearch.net/claimapp/ di browser IE. Namun saat diminta home realm, klik A. Datum lalu klik Submit. Dengan cara ini Aplikasi Contoh Claims-aware muncul di browser dan pengguna dapat melihat klaim aplikasi yang dipilih di SingleSignOnIdentity.SecurityPropertyCollection. Jika terjadi masalah pada saat akses, pengguna dapat menjalankan iisreset atau restart komputer adfsweb, lalu mencoba mengakses kembali.
Pada titik ini, model pengujian ADFS dasar telah dibangun. Tentu saja, ADFS masih merupakan teknologi baru yang komprehensif dan kompleks. Dalam lingkungan produksi nyata, kami masih memiliki banyak operasi dan konfigurasi yang harus dilakukan. seperti disebutkan di atas, ADFS akan sangat memperluas kemampuan aplikasi Web dan memperluas tingkat informasi bisnis eksternal perusahaan. Mari kita tunggu dan lihat bagaimana teknologi ADFS di Windows Server 2008 digunakan dalam aplikasi praktis.