若要在 Active Directory 联合身份验证服务(AD FS)中部署联合服务器,请完成清单中的每个任务 :设置联合服务器。
注释
使用此清单时,建议先在 Windows Server 2012 的 AD FS 设计指南 中阅读对联合服务器规划的引用,然后再开始配置服务器的过程。 按照这种方式遵循清单,可以更好地了解联合服务器的设计和部署过程。
关于联合服务器
联合服务器是运行 Windows Server 2008 的计算机,已安装 AD FS 软件,这些软件已配置为充当联合服务器角色。 联合服务器对来自其他组织中的用户帐户和客户端计算机的请求进行身份验证或路由,这些请求可以位于 Internet 上的任意位置。
在计算机上安装 AD FS 软件并使用 AD FS 联合服务器配置向导为联合服务器角色配置它的行为使该计算机成为联合服务器。 它还使 AD FS 管理单元在该计算机的 “开始”\“管理工具”菜单 中可用,从而便于您指定以下内容:
合作伙伴组织和应用程序用来发送令牌请求和响应的 AD FS 主机名
合作伙伴组织和应用程序将使用 AD FS 标识符来识别组织的唯一名称或位置。
服务器场中的所有联合服务器用于颁发和签署令牌的令牌签名证书
用于可增强客户端体验的客户端登录、注销和帐户合作伙伴发现的自定义 ASP.NET 网页的位置
注释
大多数这些核心用户界面(UI)设置都包含在每个联合服务器上的 web.config 文件中。 web.config 文件中未指定 AD FS 主机名和 AD FS 标识符值。
联合服务器托管声明颁发引擎,该引擎基于提供给它的凭据(例如用户名和密码)颁发令牌。 安全令牌是表示一个或多个声明的加密签名数据单元。 声明是服务器针对客户端所作的陈述(例如,名称、身份、密钥、组、特权或功能)。 在联合服务器上(通过用户登录过程)验证凭据后,将通过检查存储在指定属性存储中的用户属性来收集用户的声明。
在联合 Web 单一登录 (SSO) 设计(涉及两个或多个组织的 AD FS 设计)中,可以通过特定信赖方的声明规则修改声明。 声明内置于发送到资源伙伴组织中的联合服务器的令牌中。 在资源伙伴中的联合服务器收到声明作为传入声明后,它会执行声明颁发引擎来运行一组声明规则来筛选、传递或转换这些声明。 然后将声明内置到一个发送到资源合作伙伴中的 Web 服务器的新令牌中。
在 Web SSO 设计(只涉及一个组织的 AD FS 设计)中,可以使用单个联合服务器,以便员工可以登录一次,并且仍然访问多个应用程序。