L8-79
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
6.
7.
8.
9.
11. Clique duas vezes em Default Domain Policy. Na rvore de console, expanda Configurao
do Computador, expanda Polticas, Configuraes do Windows, Configuraes de segurana,
Polticas de chave pblica e clique em Autoridades de Certificao Raiz Confiveis.
AD FS
L8-80
12. Clique com o boto direito do mouse do mouse em Autoridades de Certificao Raiz Confiveis
e clique em Importar.
13. Na pgina Bem-vindo ao Assistente para Importao de Certificados, clique em Avanar.
14. Na pgina Arquivo a Ser Importado, clique em Procurar.
15. Na janela Abrir, clique em MUN-DC1.TreyResearch.net_TreyResearch-MUN-DC1-CA.crt, em Abrir
e clique em Avanar.
16. Na pgina Repositrio de Certificados, verifique se a opo Colocar todos os certificados
no repositrio a seguir est selecionada, verifique se o repositrio Autoridades de Certificao
Raiz Confiveis est na lista e clique em Avanar.
17. Na pgina Concluindo o Assistente para Importao de Certificados, clique em Concluir e OK.
18. Feche o Editor de Gerenciamento de Poltica de Grupo sem salvar alteraes.
19. Em MUN-DC1, acesse a pgina Pesquisar.
20. Na caixa Pesquisar, digite \\LON-DC1.adatum.com\certenroll e pressione Enter.
21. Na janela CertEnroll, clique com o boto direito do mouse no arquivo
LON-DC1.Adatum.com_Adatum-LON-DC1-CA.crt e clique em Copiar.
22. No painel esquerdo, expanda Bibliotecas, clique em Documentos e cole o arquivo
na pasta Documentos.
23. Abra um prompt de comando do Windows PowerShell, digite MMC, e pressione Enter.
24. Na janela Console1, clique em Arquivo e clique em Adicionar/remover snap-in.
25. Clique em Certificados e clique em Adicionar.
26. Clique em Conta de computador e clique em Avanar.
27. Verifique se a opo Computador local est selecionada, clique em Concluir e clique em OK.
28. Expanda Certificados e clique em Autoridades de Certificao Raiz Confiveis.
29. Clique com o boto direito do mouse do mouse em Autoridades de Certificao Raiz Confiveis,
aponte para Todas as tarefas e clique em Importar.
30. Na pgina Bem-vindo ao Assistente para Importao de Certificados, clique em Avanar.
31. Na pgina Arquivo a Ser Importado, clique em Procurar.
32. Na janela Abrir, clique em LON-DC1.Adatum.com_Adatum-LON-DC1-CA.crt,
em Abrir e clique em Avanar.
33. Na pgina Repositrio de Certificados, verifique se a opo Colocar todos os certificados
no repositrio a seguir est selecionada, verifique se o repositrio Autoridades de Certificao
Raiz Confiveis est na lista e clique em Avanar.
34. Na pgina Concluindo o Assistente para Importao de Certificados, clique em Concluir e OK.
35. Feche o Console1 sem salvar as alteraes.
2.
3.
4.
5.
Organizao: A. Datum
Unidade organizacional: TI
Cidade/localidade: Londres
Estado/provncia: Inglaterra
Pas/regio: GB
AD FS
L8-81
6.
7.
8.
2.
3.
Na caixa de dilogo Adicionar Associao do Site, em Tipo, selecione https e em Porta, verifique
se 443 est selecionado. Na lista suspensa Certificado SSL, clique em LON-SVR1.adatum.com
e clique em OK.
4.
5.
6.
7.
Verifique se voc consegue se conectar ao site, mas recebe um erro de acesso negado 401.
Isso esperado, pois voc ainda no tem o AD FS configurado para autenticao.
8.
Resultados: Depois de concluir este exerccio, voc ter configurado o encaminhamento de DNS para
permitir a resoluo de nomes entre a A. Datum e a Trey Research e dever ter trocado certificados raiz
entre as duas organizaes. Voc tambm dever ter instalado e configurado um certificado da Web
no servidor de aplicativos.
AD FS
L8-82
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
Na pgina Bem-vindo, verifique se a opo Criar um novo Servio de Federao est selecionada
e clique em Avanar.
4.
5.
6.
Na pgina Pronto para Aplicar Configuraes, verifique se as configuraes corretas esto listadas
e clique em Avanar.
7.
Faa logon na mquina virtual LON-CL1 como Adatum\Brad usando a senha Pa$$w0rd.
2.
3.
4.
5.
6.
7.
8.
9.
Conecte-se a https://lon-dc1.adatum.com/federationmetadata/2007-06/
federationmetadata.xml.
AD FS
L8-83
10. Verifique se o arquivo xml aberto com xito e role por seu contedo.
11. Feche o Internet Explorer.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado a funo de servidor
AD FS e verificado uma instalao bem-sucedida exibindo o contedo de FederationMetaData.xml.
2.
3.
4.
5.
6.
Clique com o boto direito do mouse do mouse em Certificados e clique em Adicionar Certificado
de Autenticao de Token.
7.
8.
9.
2.
No painel intermedirio, clique com o boto direito do mouse em Active Directory e clique
em Editar Regras de Declarao.
3.
Na caixa de dilogo Editar Regras de Declarao para Active Directory, na guia Regras
de Transformao de Aceitao, clique em Adicionar Regra.
4.
5.
6.
7.
8.
User-Principal-Name = UPN
Display-Name = Nome
AD FS
L8-84
Em LON-SVR1, clique na tela Iniciar e clique em Windows Identity Foundation Federation Utility.
2.
3.
4.
Na pgina Security Token Service, selecione a opo Use an existing STS, digite
https://lon-dc1.adatum.com/federationmetadata/2007-06/federationmetadata.xml
para o local de documento de metadados do STS WS-Federation e clique em Next para continuar.
5.
6.
Na pgina Offered Claims, examine as declaraes que sero oferecidas pelo servidor de federao
e clique em Next.
7.
Na pgina Summary, examine as alteraes que sero feitas no aplicativo de exemplo pelo Assistente
de Utilitrio de Federao, percorra os itens para entender o que cada item est fazendo e clique
em Finish.
8.
Clique em OK.
AD FS
L8-85
2.
3.
No Assistente para Adicionar Terceira Parte Confivel, na pgina Bem-vindo, clique em Iniciar.
4.
5.
Para continuar, clique em Avanar. Esta ao solicita que o assistente procure Metadados
do aplicativo que a funo de servidor Web hospeda.
6.
Na pgina Especificar Nome para Exibio, na caixa Nome para exibio, digite
ADatum Test App e clique em Avanar.
7.
8.
9.
Na caixa de dilogo Editar Regras de Declarao para Adatum Test App, na guia Regras
de Transformao de Emisso, clique em Adicionar Regra.
2.
3.
Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Passagem
de Nome de Conta do Windows. Na lista suspensa Tipo de declarao de entrada, selecione
Nome de conta do Windows e clique em Concluir.
4.
5.
6.
Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Passagem
de Endereo de Email, na lista suspensa Tipo de declarao de entrada, selecione Endereo
de Email e clique em Concluir.
7.
8.
9.
Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Passagem
de UPN, na lista suspensa Tipo de declarao de entrada, selecione UPN e clique em Concluir.
11. Na pgina Selecionar Modelo de Regra, em Modelo de regra de declarao, clique em Passar
ou Filtrar uma Declarao de Entrada e clique em Avanar.
AD FS
L8-86
12. Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Passagem
de Nome, na lista suspensa Tipo de declarao de entrada, selecione Nome e clique em Concluir.
13. Clique em Aplicar e clique em OK.
2.
Conecte-se a https://lon-svr1.adatum.com/AdatumTestApp/
Observao: No se esquea de digitar a barra inicial (/) no fim do endereo.
3.
Se as credenciais forem solicitadas, digite Adatum\Brad com a senha Pa$$w0rd e pressione Enter.
A pgina renderizada e voc visualiza as declaraes que foram processadas para permitir acesso
ao site.
Resultados: Depois de concluir esse exerccio, voc ter configurado o AD FS para uma organizao
nica. Para fazer isso, voc deve ter configurado um certificado de assinatura de token e uma relao de
confiana de provedor de declaraes para Adatum.com. Voc tambm deve ter configurado o aplicativo
de exemplo para confiar em declaraes de entrada e configurado uma relao de confiana de terceira
parte confivel e regras de declarao associadas. Voc tambm deve ter testado o acesso ao aplicativo
de exemplo do Windows Identity Foundation em um cenrio de organizao nica.
2.
3.
4.
5.
6.
7.
8.
9.
AD FS
L8-87
10. Na lista Modelo de regra de declarao, clique em Passar ou Filtrar uma Declarao de Entrada
e clique em Avanar.
11. Na caixa de texto Nome da regra de declarao, digite Regra de Passagem de nome de conta
do Windows.
12. Na lista suspensa Tipo de declarao de entrada, selecione Nome de conta do Windows.
13. Selecione Passar todos os valores de declarao e clique em Concluir. Clique em Sim.
14. Clique em OK e feche o console do AD FS.
15. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e clique
em Windows PowerShell.
16. No prompt do Windows PowerShell, digite o comando a seguir e pressione Enter:
Set-ADFSClaimsProviderTrust TargetName mun-dc1.treyresearch.net
SigningCertificateRevocationCheck None
2.
No console do AD FS, na pgina Viso Geral, clique em Necessrio: Adicionar uma terceira parte
confivel.
3.
4.
Na pgina Selecionar Fonte de Dados, selecione a opo Importar dados sobre a terceira
parte confivel publicados online ou em uma rede local e digite https://lon-dc1.adatum.com
e clique em Avanar.
5.
Na pgina Especificar Nome para Exibio, na caixa de texto Nome para exibio,
digite Adatum TestApp e clique em Avanar.
6.
Na pgina Escolher Regras de Autorizao de Emisso, selecione a opo Permitir que todos
os usurios acessem esta terceira parte confivel e clique em Avanar.
7.
8.
Na pgina Concluir, clique em Fechar. A caixa de dilogo Editar Regras de Declarao para Adatum
TestApp aberta.
9.
Na caixa de dilogo Editar Regras de Declarao para Adatum TestApp, na guia Regras
de Transformao de Emisso, clique em Adicionar Regra.
10. Na lista Modelo de regra de declarao, clique em Passar ou Filtrar uma Declarao
de Entrada e clique em Avanar.
11. Na caixa Nome da regra de declarao, digite Regra de Passagem de nome de conta
do Windows, na lista suspensa Tipo de Declarao de Entrada, selecione Windows account name.
12. Selecione Passar todos os valores de declarao e clique em Concluir.
13. Clique em OK e feche o console do AD FS.
AD FS
L8-88
Observao: O processo de logon foi alterado e voc deve selecionar uma autoridade
que possa autorizar e validar a solicitao de acesso agora. A pgina Descoberta de Realm Inicial
(a pgina Entrar) exibida e voc deve selecionar uma autoridade.
2.
3.
4.
5.
6.
7.
Observao: Voc no recebe uma solicitao para informar novamente um realm inicial. Depois
que os usurios selecionarem um realm inicial e forem autenticados por uma autoridade de realm, eles
recebero um cookie _LSRealm emitido pelo servidor de federao de terceira parte confivel. O tempo
de vida padro do cookie 30 dias. Portanto, para fazer logon vrias vezes, voc deve excluir esse cookie
depois de cada tentativa de logon para voltar a um estado limpo.
8.
2.
3.
Na caixa de dilogo Editar Regras de Declarao para Adatum TestApp, na guia Regras de
Transformao de Emisso, clique em Adicionar Regra.
4.
Na pgina Selecionar Modelo de Regra, digite Modelo de regra de declarao, selecione Enviar
Associao de Grupo como uma Declarao e clique em Avanar.
5.
Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Permisso
de Grupo de Produtos.
6.
7.
8.
9.
AD FS
L8-89
AD FS
L8-90
30. Na caixa de dilogo Editar Regra Temp, clique em Exibir Idioma da Regra.
31. Pressione Ctrl + C para copiar o idioma da regra para a rea de transferncia e clique em OK.
32. Clique em Cancelar.
33. Clique na regra Temp, clique em Remover Regra, e clique em Sim.
34. Na guia Regras de Autorizao de Emisso, clique em Adicionar Regra.
35. Na pgina Selecionar Modelo de Regra, digite Modelo de regra de declarao,
selecione Enviar Declaraes Usando uma Regra Personalizada e clique em Avanar.
36. Na pgina Configurar Regra, na caixa Nome da regra de declarao, digite Regra de Acesso
de Usurio da ADatum.
37. Clique na caixa Regra personalizada e pressione Crtl + V para colar o contedo da rea de
transferncia na caixa. Edite a primeira URL para corresponder ao texto a seguir e clique em Concluir.
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", Value =~
"^(?i).+@adatum\.com$"]=> issue(Type =
http://schemas.microsoft.com/authorization/claims/permit, Value =
PermitUsersWithClaim);
Observao: Essa regra permite o acesso a todos que apresentam uma declarao que
inclui o nome UPN de@adatum.com. A linha Value na primeira URL define o atributo que deve
ser correspondido na declarao. Nessa linha, ^ indica o incio da cadeia de caracteres para
correspondncia, (?i) significa que o texto no diferencia maisculas e minsculas, .+ significa
que um ou mais caracteres sero adicionados e $ significa o fim da cadeia de caracteres.
38. Clique em OK para fechar a pgina de propriedades e salvar as alteraes para a relao
de confiana de terceira parte confivel.
2.
3.
4.
Reabra o Internet Explorer, clique no cone Ferramentas no canto superior direito e clique
em Opes da Internet.
5.
6.
Conecte-se a https://lon-svr1.adatum.com/adatumtestapp/.
7.
8.
9.
Resultados: Depois de concluir este exerccio, voc ter configurado uma relao de confiana
do provedor de declaraes para TreyResearch na Adatum.com e uma relao de confiana de
terceira parte confivel para Adatum em TreyResearch.net. Voc verificou acesso ao aplicativo
com reconhecimento de declaraes da A. Datum. Em seguida, voc configurou o aplicativo
para restringir o acesso de TreyResearch para grupos especficos e verificou o acesso apropriado.
2.
3.
4.
AD FS
L8-91