Implementação das soluções de federação e Azure AD Connect – Parte 3
A opção de filtrar usuários e device é adequada apenas para projetos pilotos, em ambiente de homologação ou desenvolvimento. Como boa pratica, a Microsoft não orienta a usar essa opção em ambiente de produção.
Temos algumas features que podemos habilitar no momento do Wizard, ou até mesmo pós-instalação. No meu caso, o cliente optou apenas pelo Password Writeback, e obviamente do Exchange Hybrid Deployment. Deixarei abaixo uma descrição de cada feature.
Faremos a criação de uma nova farm de ADFS, inserindo o certificado e o endereço sts.contoso.com
Adicione ambos os servidores de ADFS
Adicione ambos os servidores WAP
Use a opção de criar uma Menaged Service Account.
Selecione o domínio que será federado
Durante a instalação, houve erro para concluir a instalação de ambos os servidores WAP. Em testes, eu validei que as portas estavam abertas, e para ter certeza que não era nada relacionado ao WAP e nem ao ADFS, eu fiz um by-pass do balanceador de cargas. Simplesmente alterei o IP na entrada hosts de ambos os WAP. Removendo o IP do balanceador e colocando diretamente o IP de um dos ADFS, o wizard finalizou com sucesso. No final das contas, vimos que o BigIP estava requerendo certificado na conexão entre o WAP/ADFS, e isso não poderia ocorrer. A minha dica no caso de erro desse tipo é; tire de campo o balanceador e veja se a coisa flui.
Ao termino, obtive algumas mensagens – sendo elas erros e warning – e evidenciamos que a instalaçao no geral foi concluída com sucesso.
Um ponto falho no meu assessment, foi não ver que a Recycle Bin do AD estava desabilitada. A Microsoft recomenda que seja habilitada.
Após a instalação, acesse o ADFS e verifique as opções de autenticação. Caso a opção “Forms Authentication” não esteja habilitada para Intranet, habilite antes de prosseguir com os testes.
Para validarmos o funcionamento do ADFS, minha sugestão é que seja feito inúmeros testes, dentre eles:
Acesso a URL https://outlook.com/contoso.com – obviamente alterando o final para a URL da sua empresa – e validar que é feito um redirect para o ADFS ou WAP – dependera se está dentro ou fora da empresa, mas recomendo fazer ambos – da organização, a URL do redirect será algo como isso:
https://sts.contoso.com/adfs/ls/?client-request-id=ef1a4f9d-ade4-4ebd-9781-cf6264462033&username=&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect
Faça os devidos testes de autenticação e valide que não existe nenhum erro no ambiente.
Outro teste que deverá ser realizado é através da ferramenta TestExchangeConnectivity.com
OBS: Durante meus testes, notei que computadores fora do domínio que tentavam se autenticar diretamente no ADFS e com o IE – via WAP o erro não acontecia, e nem internamente com Chrome ou EDGE – não obtinham sucesso. Não aparecia nenhuma mensagem de erro, mas em compensação o prompt de senha era solicitado a todo momento, não autenticando a sessão do usuário. Relatei esse problema nesse post, e a solução de contorno que encontrei.