Damit ein ADFS-Server als Claim-Provider für Ihr Security Center-System eingesetzt werden kann, müssen Sie Security Center zu den Vertrauensstellungen der vertrauenden Seite des ADFS-Servers hinzufügen.
Bevor Sie beginnen
- Das AD FS Management-Fenster muss auf Ihrem ADFS-Server geöffnet sein.
- Wenn Directory-Failover in Ihrem System konfiguriert ist, müssen Sie die Hostnamen der einzelnen Directory Server kennen.
Was Sie noch wissen sollten
Diese Aufgabe ist Teil des Bereitstellungsprozesses für die Authentifizierung über ADFS, basierend auf einem einfachen Szenario. Die Anweisungen und Screenshots basieren auf Windows Server 2016. Wenn Sie eine andere Version verwenden, kann Ihr Verfahren anders sein.BEMERKUNG: Wenn Sie
webbasierte Authentifizierung nicht aktivieren, klicken Sie auf
Weiter, anstatt die Schritte auszuführen, die mit "(nur WbA)" gekennzeichnet sind.
Prozedur
-
Klicken Sie im AD FS Fenster auf .
Das Fenster Assistent – Vertrauensstellung der vertrauenden Seite hinzufügen öffnet sich
-
Klicken Sie auf der Seite Willkommen auf .
Sie können Claims unterstützend ausgewählt lassen.
-
Geben Sie auf der Seite Anzeigename angeben im Feld Anzeigename einen Namen ein, der Ihr Security Center-System repräsentiert und klicken Sie auf Weiter.
Zum Beispiel IhreFirma Security Center.
-
(Optional) Geben Sie auf der Seite Zertifikat konfigurieren ein Token-Verschlüsselungszertifikat an und klicken Sie auf Weiter.
-
(Nur WbA) Wählen Sie auf der Seite URL konfigurieren Support für passives Protokoll von WS-Federeation aktivieren, geben Sie den URL Ihres Security Center Hauptserver ein und klicken Sie dann auf Weiter.
Zum Beispiel:
https://Hauptserver.IhrUnternehmen.com
-
(Nur WbA) Geben Sie auf der Seite Bezeichner konfigurieren in dem Feld Vertrauensstellungs-ID der vertrauenden Seite eine Zeichenfolge ein, die Ihren Security Center-Hauptserver identifiziert und klicken Sie dann auf Hinzufügen.
WICHTIG: Sie können dafür z. B. den URL Ihres Hauptservers verwenden:
https://Hauptserver.IhrUnternehmen.com. Notieren Sie sich diesen Wert. Sie müssen diesen Bezeichner in einem nachfolgenden Schritt eingeben, wenn Sie die
Konfiguration der Authentication Service-Rolle auf dem
Security Center-Server vornehmen.
BEST-PRACTICE: Zur Vereinfachung empfehlen wir, den für die Authentication Service-Rolle konfigurierten Standardwert urn:federation:SecurityCenter zu verwenden.
-
(Nur WbA) Wählen Sie in der Liste Vertrauensstellungs-ID der vertrauenden Seite die Zeile aus, die der URL Ihres Hauptservers entspricht und klicken Sie dann auf .
-
Wählen Sie auf der Seite Zugriffssteuerungsrichtlinie auswählen den Eintrag Jedem Einzelnen gewähren und klicken Sie auf Weiter.
-
Klicken Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung auf Bezeichner und prüfen Sie die Bezeichner, die Sie eingegeben haben.
-
Klicken Sie auf Weiter, lassen Sie Konfigurieren von Richtlinien für die Ausstellung von Claims für diese Anwendung ausgewählt und klicken Sie auf Schließen.
Der Security Center Hauptserver wird der vertrauenden Seite Ihres ADFS-Servers hinzugefügt.
-
Bei konfiguriertem Directory-Failover in Ihrem System müssen Sie die URL aller Directory-Server als Endpunkte zur Security Center-Vertrauensstellung vertrauenden Seite Ihres ADFS-Servers hinzufügen.
BEMERKUNG: Die Authentication Service-Rolle läuft auf demselben Server wie die Directory-Rolle. Bei einem Failover der Directory-Rolle auf den nächsten Server in der Schlange, führt auch die Authentication Service-Rolle ein Failover auf den gleichen Server aus. Aus diesem Grund muss der ADFS-Server die URL jedes Directory-Servers in Ihrem System kennen. Geben Sie für den Server-URL https:// gefolgt von dem voll qualifizierten Hostnamen ein.
-
Wählen Sie im Fenster AD FS die Security Center vertrauende Seite und klicken Sie auf .
-
Klicken Sie WS-Federation hinzufügen, geben Sie die URL eines Directory-Servers ein und klicken Sie dann auf OK.
-
Wiederholen Sie den vorherigen Schritt für alle Directory-Server Ihres Systems.
-
Klicken Sie auf .