Versions Compared

Old Version 59

changes.mady.by.user Unknown User (urn:collab:person:surfnet.nl:eefje)

Saved on

compared with

New Version 60

changes.mady.by.user Unknown User (urn:collab:person:surfnet.nl:eefje)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Om de ADFS-server minder kwetsbaar te maken voor aanvallen van buitenaf, moet je naast een ADFS 2.0-server ook een ADFS-proxy inrichten buiten het Windows-domein. De ADFS-server moet namelijk bij voorkeur niet bereikbaar zijn van buitenaf. Je doet dit door een ADFS-proxy in te richten en deze ‘voor’ de ADFS-server te plaatsen Dit houdt in dat je 2 twee verschillende Windows Server 2008 machines moet configureren in deze setup.

Bijkomend voordeel is dat je een proxy zo kunt configureren dat je een login-pagina met De proxy zorgt ervoor dat gebruikers die niet zijn ingelogd op het domain, via een username/ password formulier kunnen inloggen. Dit formulier kan aan de look-and-feel van jouw organisatie kunt tonen aan de gebruiker (de ADFS-server laat namelijk alleen een popup-promt zien). Zo kun je de herkenbaarheid van de login voor de eindgebruiker verbeteren en kun je de gebruiker extra informatie tonenorganisatie worden aangepast.

ADFS 2.0-Server inrichten

...

  1. Volg de stappen in de wizard.
  2. Nadat de software is geïnstalleerd, verschijnt het volgende venster:
  3. Als de optie ‘Restart now’ aanwezig is, vink deze dan aan en klik op ´Finish´. De server start opnieuw op. Hiermee is de basisinstallatie van de ADFS 2.0-software afgerond.
  4. Als de optie ´Start the ADFS 2.0 Management snap-in when this wizard closes´ aanwezig is, zorg er dan voor dat deze niet aangevinkt is en klik op ‘Finish’.

Verlengen geldigheidsduur van het

...

token-signing certificaat

Tijdens de installatie van de ADFS/server is een self-signed tokencertificaat geïnstalleerd met een standaard geldigheidsduur van 1 jaar. Dit certificaat wordt automatisch vernieuwd voordat de geldigheidsduur is verstreken. Volgens de standaardinstellingen wordt 20 dagen voor het verstrijken van het oude certificaat een nieuw certificaat gegenereerd.

Wij raden je aan de geldigheidsduur van dit certificaat te verlengen tot bijvoorbeeld 5 jaar, omdat wij als Service Providers Provider elke keer het nieuwe certificaat moeten vernieuwen als er een certificate rollover plaatsvindt.

...

  1. Start Windows PowerShell.

  2. Laad de ADFS-plugin met het commando:

    Code Block
    Add-PSSnapin Microsoft.Adfs.PowerShell

  3. Zet de geldigheidsduur van certificaten op 5 jaar (1825 dagen) met:

    Code Block
    Set-ADFSProperties -CertificateDuration 1825

  4. Activeer het nieuwe certificaat met:

    Code Block
    Update-ADFSCertificate -CertificateType Token-Signing -Urgent


  5. NB:

    deze

    stap alleen uitvoeren als je de server nog niet in productie hebt genomen! Voor productieservers kun je wachten tot het eerstvolgende moment waarop een certificate rollover plaatsvindt.

     

  6. Activeer het nieuwe certificaat met:

    Code Block
    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  7. Controleer of het tokencertificaat nu inderdaad is verlengd met

    Code Block
    Get-ADFSCertificate -CertificateType Token-Signing

...