Implementação das soluções de federação e Azure AD Connect – Parte 3

A opção de filtrar usuários e device é adequada apenas para projetos pilotos, em ambiente de homologação ou desenvolvimento. Como boa pratica, a Microsoft não orienta a usar essa opção em ambiente de produção.

11

Temos algumas features que podemos habilitar no momento do Wizard, ou até mesmo pós-instalação. No meu caso, o cliente optou apenas pelo Password Writeback, e obviamente do Exchange Hybrid Deployment. Deixarei abaixo uma descrição de cada feature.

12

Faremos a criação de uma nova farm de ADFS, inserindo o certificado e o endereço sts.contoso.com

3

Adicione ambos os servidores de ADFS

4

Adicione ambos os servidores WAP

5

Use a opção de criar uma Menaged Service Account.

6

Selecione o domínio que será federado

78

Durante a instalação, houve erro para concluir a instalação de ambos os servidores WAP. Em testes, eu validei que as portas estavam abertas, e para ter certeza que não era nada relacionado ao WAP e nem ao ADFS, eu fiz um by-pass do balanceador de cargas. Simplesmente alterei o IP na entrada hosts de ambos os WAP. Removendo o IP do balanceador e colocando diretamente o IP de um dos ADFS, o wizard finalizou com sucesso. No final das contas, vimos que o BigIP estava requerendo certificado na conexão entre o WAP/ADFS, e isso não poderia ocorrer. A minha dica no caso de erro desse tipo é; tire de campo o balanceador e veja se a coisa flui.

Ao termino, obtive algumas mensagens – sendo elas erros e warning – e evidenciamos que a instalaçao no geral foi concluída com sucesso.

Um ponto falho no meu assessment, foi não ver que a Recycle Bin do AD estava desabilitada. A Microsoft recomenda que seja habilitada.

9

Após a instalação, acesse o ADFS e verifique as opções de autenticação. Caso a opção “Forms Authentication” não esteja habilitada para Intranet, habilite antes de prosseguir com os testes.

1

Para validarmos o funcionamento do ADFS, minha sugestão é que seja feito inúmeros testes, dentre eles:

Acesso a URL https://outlook.com/contoso.com – obviamente alterando o final para a URL da sua empresa – e validar que é feito um redirect para o ADFS ou WAP – dependera se está dentro ou fora da empresa, mas recomendo fazer ambos – da organização, a URL do redirect será algo como isso:

https://sts.contoso.com/adfs/ls/?client-request-id=ef1a4f9d-ade4-4ebd-9781-cf6264462033&username=&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect

Faça os devidos testes de autenticação e valide que não existe nenhum erro no ambiente.

Outro teste que deverá ser realizado é através da ferramenta TestExchangeConnectivity.com

2

OBS: Durante meus testes, notei que computadores fora do domínio que tentavam se autenticar diretamente no ADFS e com o IE – via WAP o erro não acontecia, e nem internamente com Chrome ou EDGE – não obtinham sucesso. Não aparecia nenhuma mensagem de erro, mas em compensação o prompt de senha era solicitado a todo momento, não autenticando a sessão do usuário. Relatei esse problema nesse post, e a solução de contorno que encontrei.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *