Active Directory Federation Services 部署循序渐进指南

1、Active Directory Federation Services 部署 循序渐进指南 Microsoft Corporation 发布日期：2005 年 5 月 20 日 作者：Nick Pierson、Jack Couch 编辑：Jim Becker 版本：Beta 2 摘要 本指南提供了在运行 Microsoft® Windows Server 2003 R2 操作系统的服务器上部署 Active Directory Federation Services (ADFS 的循序渐进操作说明。此版本的文档适用于 Windows Server 2003 R2 Beta 2，提供

2、了在 Federated Web 单一登录 (SSO 方案中部署 ADFS 的说明。该文档的未来版本将提供在其他方案中部署 ADFS 的说明。 本文档支持所述软件产品的预备版本。在最终商用版本发布之前，可能会有重大改动。本文档属于 Microsoft Corporation 私有的机密信息。若要公开文档，需依据文档接收人和 Microsoft 之间签订的 保密协议。本文档仅供参考，Microsoft 对本文档中的信息不提供任何明示或暗示的保证。本文档中 的信息（包括 URL 以及其它 Internet 网站的参考信息）可能随时更改，恕不另行通知。使用本文档 的全部风险以及因此造成的全部后果将由

3、用户承担。除非另外注明，否则此处作为例子提到的公司、 组织、产品、域名、电子邮件地址、徽标、人员、地点和事件纯属虚构，不得与任何真实的公司、组 织、产品、域名、电子邮件地址、徽标、人员、地点和事件相联系或随意推测。用户有责任遵守所有 适用的版权法。在版权法所赋予权利的前提下，未经 Microsoft Corporation 明确的书面许可，任何人 不得将本文复制、存储或引入可检索系统，或是以任何形式或通过任何方式（电子、机械、影印、录 制或其他方式）传播本文的任何部分。 本文主题可能涉及 Microsoft 的专利、专利申请、商标、版权或其它知识产权。除非获得 Microsoft Corpor

4、ation 明确的书面许可，否则提供本文档并不代表许可您使用这些专利、商标、版权或其它知 识产权。 © 2005 Microsoft Corporation。保留所有权利。 Active Directory、Microsoft、MS-DOS、SharePoint、Windows、Windows NT 和 Windows Server 是 Microsoft Corporation 在美国和或其他国家（地区）的注册商标或商标。 本文中提及的实际公司和产品的名称可能是其各自所有者的商标。 目录 Active Directory Federation Services 部署循序渐进指南 .

5、错误！未定义书签。 错误！ 错误 未定义书签。 部署 ADFS 概述 .错误！未定义书签。 错误！未定义书签。 错误 帐户和资源合作伙伴 .错误！未定义书签。 错误！未定义书签。 错误 帐户合作伙伴 .错误！未定义书签。 错误！未定义书签。 错误 资源合作伙伴 .错误！未定义书签。 错误！未定义书签。 错误 联合信任 .错误！未定义书签。 错误！未定义书签。 错误 服务器角色 .错误！未定义书签。 错误！未定义书签。 错误 ADFS 方案.错误！未定义书签。 错误！ 错误 未定义书签。 Federated Web SSO.错误！未定义书签。 错误！ 错误 未定义书签。 具有林信任的 Feder

6、ated Web SSO .错误！未定义书签。 错误！ 错误 未定义书签。 Web SSO.错误！未定义书签。 错误！ 错误 未定义书签。 在 Federated Web SSO 方案中部署 ADFS .错误！未定义书签。 错误！未定义书签。 错误 步骤 1： 为支持 ADFS 联合进行网络准备 .错误！未定义书签。 错误！ 错误 未定义书签。 Active Directory 或 ADAM .错误！未定义书签。 错误！未定义书签。 错误 Active Directory .错误！未定义书签。 错误！未定义书签。 错误 ADAM.错误！未定义书签。 错误！未定义书签。 错误 DNS .错误！未

7、定义书签。 错误！未定义书签。 错误 配置 DNS 转发器 .错误！未定义书签。 错误！ 错误 未定义书签。 证书服务 .错误！未定义书签。 错误！未定义书签。 错误 步骤 2： 安装用于联合服务器角色的计算机 .错误！未定义书签。 错误！未定义书签。 错误 安装必备的应用程序 .错误！未定义书签。 错误！未定义书签。 错误 安装 ASP.NET 和 IIS 应用程序 .错误！未定义书签。 错误！ 错误 未定义书签。 安装 Microsoft .Net Framework 2.0 Beta 2 应用程序 .错误！未定义书签。 错误！未定义书签。 错误 申请、下载和安装证书 .错误！未定义书签。

8、 错误！未定义书签。 错误 申请和安装 SSL 证书 .错误！未定义书签。 错误！未定义书签。 错误 申请和安装令牌签名证书 .错误！未定义书签。 错误！未定义书签。 错误 安装 CRL .错误！未定义书签。 错误！ 错误 未定义书签。 安装 ADFS 的 Federation Service 组件.错误！未定义书签。 错误！ 错误 未定义书签。 配置信任策略 .错误！未定义书签。 错误！未定义书签。 错误 配置 Windows 安全日志，支持 ADFS 事件审核 .错误！未定义书签。 错误！未定义书签。 错误 步骤 3： 配置资源合作伙伴组织中的 Federation Service .错误

9、！未定义书签。 错误！ 错误 未定义书签。 在 Federation Service 中添加 Web 应用程序 .错误！未定义书签。 错误！ 错误 未定义书签。 在 Federation Service 中添加支持声明的应用程序 .错误！未定义书签。 错误！ 错误 未定义书签。 在 Federation Service 中添加传统 Windows 应用程序.错误！未定义书签。 错误！未定义书签。 错误 在 Federation Service 中添加帐户合作伙伴 .错误！未定义书签。 错误！ 错误 未定义书签。 获得帐户合作伙伴的令牌签名证书 .错误！未定义书签。 错误！ 错误 未定义书签。

10、在 Federation Service 中添加帐户合作伙伴 .错误！未定义书签。 错误！ 错误 未定义书签。 添加其他帐户合作伙伴签名证书 .错误！未定义书签。 错误！未定义书签。 错误 创建和配置声明和传入声明转换 .错误！未定义书签。 错误！未定义书签。 错误 创建组声明 .错误！未定义书签。 错误！未定义书签。 错误 创建自定义声明 .错误！未定义书签。 错误！未定义书签。 错误 创建一个传入的组声明转换 .错误！未定义书签。 错误！未定义书签。 错误 创建一个传入的自定义声明转换 .错误！未定义书签。 错误！未定义书签。 错误 步骤 4： 配置帐户合作伙伴组织中的 Federatio

11、n Service .错误！未定义书签。 错误！ 错误 未定义书签。 在 Federation Service 中添加帐户存储 .错误！未定义书签。 错误！未定义书签。 错误 添加 Active Directory 帐户存储 .错误！未定义书签。 错误！ 错误 未定义书签。 添加 ADAM 帐户存储 .错误！未定义书签。 错误！未定义书签 错误 将 Active Directory 安全组映射到组声明 .错误！未定义书签。 错误！未定义书签。 错误 在 Federation Service 中添加资源合作伙伴 .错误！未定义书签。 错误！ 错误 未定义书签。 创建和配置声明和传出声明转换 .错

12、误！未定义书签。 错误！未定义书签。 错误 创建组声明 .错误！未定义书签。 错误！未定义书签。 错误 创建自定义声明 .错误！未定义书签。 错误！未定义书签。 错误 创建一个传出的组声明转换 .错误！未定义书签。 错误！未定义书签。 错误 创建一个传出的自定义声明转换 .错误！未定义书签。 错误！未定义书签。 错误 步骤 5： 为跨联合使用基于 Web 的应用程序配置 Web 服务器.错误！未定义书签。 错误！ 错误 未定义书签。 安装必备的应用程序 .错误！未定义书签。 错误！未定义书签。 错误 安装 Microsoft .Net Framework 2.0 Beta 2 .错误！未定义书

13、签。 错误！ 错误 未定义书签。 安装 IIS .错误！未定义书签。 错误！未定义书签。 错误 申请和安装 SSL 证书 .错误！未定义书签。 错误！未定义书签。 错误 创建 SSL 证书申请 .错误！未定义书签。 错误！未定义书签。 错误 将 SSL 证书申请提交给 CA .错误！未定义书签。 错误！ 错误 未定义书签。 下载 SSL 证书 .错误！未定义书签。 错误！未定义书签。 错误 安装 SSL 证书 .错误！未定义书签。 错误！未定义书签。 错误 配置 Windows 安全日志，支持 ADFS 事件审核 .错误！未定义书签。 错误！未定义书签。 错误 为支持声明的应用程序配置 Web

14、 服务器 .错误！未定义书签。 错误！ 错误 未定义书签。 安装 ADFS Web Service Agent.错误！未定义书签。 错误！ 错误 未定义书签。 配置 IIS .错误！未定义书签。 错误！未定义书签。 错误 修改支持声明的应用程序的 Web.config 文件以支持 ADFS .错误！未定义书签。 错误！ 错误 未定义书签。 为传统 Windows 应用程序配置 Web 服务器 .错误！未定义书签。 错误！未定义书签。 错误 安装 ADFS Web Service Agent.错误！未定义书签。 错误！ 错误 未定义书签。 配置 IIS 和 ADFS Web Service Ag

15、ent .错误！未定义书签。 错误！ 错误 未定义书签。 安装和配置 Windows SharePoint Services.错误！未定义书签。 错误！未定义书签。 错误 步骤 6: 配置客户端计算机跨联合访问 Web 应用程序.错误 错误 错误! ! 未定义书签 未定义书签。 。 在客户端计算机上安装 SSL 证书 .错误 错误 错误! ! 未定义书签 未定义书签。 。 配置客户端计算机的 Internet Explorer 设置 .错误 错误 错误! ! 未定义书签 未定义书签。 。 检验帐户合作伙伴或资源合作伙伴 Federation Service 是否工作正常.错误 错误 错误! !

16、 未定义书签 未定义书签。 。 ADFS 资源.错误 错误 错误! ! 未定义书签 未定义书签。 。 ADFS 资源.错误 错误 错误! ! 未定义书签 未定义书签。 。 白皮书 .错误 错误 错误! ! 未定义书签 未定义书签。 。 网站 .错误 错误 错误! ! 未定义书签 未定义书签。 。ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto7Active Directory Federation Services 部署 循序 循序渐进指南 渐进指南 渐进指南此“ Active Directory Federation Services 部署循序渐进指南”为部

17、署 Active Directory Federation Services (ADFS 提供了说明性指导。在部署 ADFS 后,用户可以将其作为组 织的最佳单一登录 (SSO 解决方案,通过一次联机会话针对多个相关的 Web 应用程序对 用户进行身份验证。 ADFS 能够安全地跨越安全性和企业边界,共享数字身份和权限,从 而实现这个解决方案。有关 ADFS 部署的常规信息,请参考“ 部署 ADFS 概述 ”针对部署 ADFS 执行基于 Web 的 SSO 身份验证,存在三种主要的方案:在具有林信任的 Federated Web SSO 方案中部署 ADFS 此预备版本未涉及该内容。 在 We

18、b SSO 方案中部署 ADFS 此预备版本未涉及该内容。 有关 ADFS 的详细信息,请参考“ ADFS 资源 ”。部署 ADFS 概述 概述Active Directory Federation Services (ADFS 为构建联合身份管理解决方案提供了一个安 全的基础结构,这种解决方案能够将组织现有的身份管理功能扩展到 Internet。通过 ADFS 的部署,用户可以扩展跨越组织和平台边界的分布式识别、身份验证和授权服务。 ADFS 可以用于:保持对职员或客户身份的完全控制,而不必使用其他登录提供程序(Passport 、 Liberty Alliance 等等。 在职员或客户从网

19、络防火墙内访问跨组织网站时,为他们提供基于 Web 的单一登录 (SSO 体验。 在职员或客户远程访问组织的内部网站时,为他们提供基于 Web 的 SSO 体验。 提供对 Internet 中任何联合合作伙伴所拥有资源的无缝访问,无需用户或客户再次登录。在组织中部署 ADFS 之前,我们建议首先阅读下列内容,熟悉基本的 ADFS 概念以及顺利 部署 ADFS 的组织和服务器平台要求:ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto8 帐户和资源合作伙伴 帐户和资源合作伙伴在规划使用 ADFS 的跨组织协作时,首先需要确定组织是否需要承载其他组织可以通过 Int

20、ernet 访问的 Web 资源 反之亦然。这将影响到如何部署 ADFS,它是 ADFS 基础结 构规划的根本所在。ADFS 使用“帐户合作伙伴”和“资源合作伙伴”这样的名称来帮助区分拥有帐户的组织 (帐户合作伙伴和拥有 Web 资源的组织(资源合作伙伴。在 ADFS 中,也使用“联 合信任”来表示帐户合作伙伴和资源合作伙伴组织之间所建立的单向、非传递性关系。 下面的几节内容将介绍一些与帐户合作伙伴、资源合作伙伴以及联合信任关系相关的概 念。帐户合作伙伴 帐户合作伙伴帐户合作伙伴是联合信任关系中的一个组织合作伙伴(也称为联合合作伙伴,它们在 Active Directory 存储或在 Acti

21、ve Directory Application Mode (ADAM 存储中保存用户帐 户。承载在资源联合服务器上的 Federation Service 信任帐户合作伙伴。它代表帐户端 Federation Service 向其用户颁发安全令牌的组织实体。可以在联合信任中提交这些令 牌,以访问资源合作伙伴组织中的资源。也就是说,帐户合作伙伴使用帐户端 Federation Service 来对用户进行身份验证,创建安 全令牌。然后由资源合作伙伴使用这些安全令牌来做出授权决定。从 Active Directory 的角度, ADFS 中的帐户合作伙伴在概念上等同于单个Active Direc

22、tory 林,其中的帐户需要访问保存在另一个林中的资源。只有在两个林之间存 在外部或林信任关系,并且希望进行访问的用户被授予了合适的权限,这个林中的帐户才 可以访问资源林中的资源。资源合作伙伴 资源合作伙伴资源合作伙伴是联合信任关系中的另一个组织合作伙伴。它拥有承载了一个或多个 Web 应用程序的 Web 服务器。资源合作伙伴信任帐户合作伙伴来对用户进行身份验证。因 此,在资源合作伙伴做出授权决定时,它接受帐户合作伙伴生成的安全令牌。ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto9资源合作伙伴信任承载在帐户联合服务器上的 Federation Service

23、。资源合作伙伴的 Federation Service 使用帐户合作伙伴所生成的安全令牌,针对位于资源合作伙伴处的 Web 服务器做出授权决策。资源合作伙伴组织中的 Web 服务器必须安装有 ADFS 的 ADFS Web Services Agent 组 件,才能担当 ADFS 资源的角色。而作为 ADFS 资源 Web 服务器既可以承载支持声明的 应用程序,也可以承载传统的 Windows 应用程序。有关如何在 Web 服务器上安装支持声明的应用程序或传统 Windows 应用程序的详细信 息,请参考“ 步骤 5:为跨联合使用基于 Web 的应用程序配置 Web 服务器 ”。注意 注意:如

24、果承载在 Web 服务器上的应用程序是传统的 Windows 应用程序,那么需要为 资源合作伙伴组织的 Active Directory 林设置一个映像帐户。有关映像帐户的详细 信息,请参考“ 步骤 1:为支持 ADFS 联合进行网络准备 ”。从 Active Directory 的角度,资源合作伙伴在概念上等同于单个的林,存储在另一个林中的 帐户可以通过外部信任或林信任关系访问其中的资源。联合信任 联合信任在通过 ADFS 建立组织间的通讯流后,以前混乱的合作关系将能够得到改变。这将有助于 在通过联合信任关系连接在一起的组织间建立更有效、更安全的联机事务处理。正如下图 所示,当两个合作伙伴组

25、织都部署有至少一台 ADFS 联合服务器,并正确地配置Federation Service 设置时,可以在它们之间建立联合信任关系。图中单向的箭头显示了 信任的方向(类似于 Windows 信任,它总是指向林的帐户端。这意味着身份验证从帐 户合作伙伴组织流向资源合作伙伴组织。在建立联合信任后,在资源合作伙伴组织的 Web 服务器上做出的身份验证请求可以顺利 地通过联合信任从位于帐户合作伙伴组织中的用户处传递过来。如果帐户合作伙伴组织和ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto 10资源合作伙伴组织都安装有 ADFS 的 Federation Servic

26、e 组件,并且使用 Active Directory Federation Services 管理单元正确地配置了帐户合作和资源合作伙伴,那么将能够建立联 合信任。在创建联合信任前,请确认网络支持 ADFS。有关详细信息,请参考“ 步骤 1:为支持 ”。如果管理员没有配置或正确配置联合信任的一方(不论是帐户合作伙伴,还是资源合作伙 伴,将无法成功地创建该联合信任。为了正确配置联合信任的双方,请参考本指南中的 步骤 3 和 4。有关如何创建资源合作伙伴的详细信息,请参考“ 步骤 3:配置资源合作伙伴组 织中的 Federation Service”。有关如何创建帐户合作伙伴的详细信息,请参考“

27、步骤 4:配 置帐户合作伙伴组织中的 Federation Service”。服务器角色 服务器角色只有配置了运行 Windows Server 2003 R2 的合适服务器,才能够运行 ADFS。而且根据 组织所处环境的不同,必须部署特定的 ADFS 服务器角色。下表介绍了实现 ADFS 联合身 份管理解决方案中所需要的服务器角色。ADFS 服务器角色 必需 /可选 描述联合服务器 必需 联合服务器负责承载 ADFS 的 Federation Service 组件。它被用 来路由身份验证请求,包括来自其他组织的用户帐户或来自任何Internet 地点的客户端。另外,联合服务器也可以用来承载安

28、全令牌服务,该服务会根据所提交的凭据(例如用户名和密码颁发令牌。在凭据经过验证(用户登录后,针对该用户的声明将由用于Windows 域中用户的安全标识符 (SID 进行收集。然后,来自帐户合作伙伴的入站声明将被转换成适合于资源合作伙伴的出站声明。转换后所得到的声明将被添加到颁发给资源合作伙伴的安全令牌中。联合服务器在组织内所担当的角色取决于组织是帐户合作伙伴还是资源合作伙伴: 在帐户合作伙伴中,联合服务器用于在 Active Directory 存储或 ADAM 存储中登录本地用户帐户。它也颁发初始的安全令牌,本地用户帐户可以利用这个令牌来访问承载在资源合作伙伴的 Web 应用程序。另外,帐户

29、合作伙伴的联合服务器也向用户帐户发布 cookie。这些 cookie 包含有针对这些用户的ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto11 声明。由于它们可以实现 SSO 功能,因此用户不必在每次访问资源合作伙伴的不同 Web 应用程序时输入凭据。 在资源合作伙伴中,联合服务器对帐户合作伙伴的联合服务器颁发的安全令牌进行检验。它也颁发安全令牌,这些令牌将用于资源合作伙伴中的 Web 应用程序。另外,资源合作伙伴的联合服务器也向来自帐户合作伙伴的用户帐户颁发cookie 。由于它们可以实现 SSO 功能,因此用户在访问资源合作伙伴的不同 Web 应用程序时

30、不必多次登录帐户合作伙伴的联合服务器。Federation ServiceProxy 服务器 可选Federation Service Proxy 服务器负责承载 ADFS 的 Federation Service Proxy 组件。可以在组织的外围网络(也被称为隔离区域 (DMZ 或屏蔽子网中部署 Federation Service Proxy 服务器, 用于将请求转发到无法从 Internet 访问的联合服务器。注意 注意:在帐户合作伙伴或资源合作伙伴的 Intranet 林中,没有必要安装一台单独的服务器作为 Federation ServiceProxy 。联合服务器会自动担当这个角

31、色。Federation Service Proxy 在组织内所担当的角色取决于组织是帐户合作伙伴还是资源合作伙伴: 在帐户合作伙伴中, Federation Service Proxy 服务器作为用户登录到帐户合作伙伴联合服务器的代理。这个角色也可以用作帐户合作伙伴的联合服务器为自身或资源合作伙伴的联合服务器颁发的安全令牌的代理。在资源合作伙伴中, Federation Service Proxy 服务器用于联合服务器(帐户合作伙伴和资源合作伙伴颁发给资源合作伙伴的 Web 应用程序的用户安全令牌的代理。 Web 服务器 必需 在 ADFS 联合关系中,资源林中的 Web 服务器承载 ADF

32、S Web Services Agent 组件,提供对承载在其他 Web 服务器上的 Web应用程序的安全访问。这个代理负责管理为 Web 服务器生成的安全令牌和身份验证 cookie。由于它需要建立与 FederationService 的关系,因此所有的身份验证令牌都来自于那个Federation Service。 ADFS Web Services Agent 支持两种类型的应用程序:支持声明的应用程序和传统的 Windows 应用程序。ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto12ADFS 方案 方案ADFS 解决方案帮助管理员应对联合身份管理的

33、难题,它使得组织能够安全地通过联合信 任来共享用户的身份信息。 ADFS 支持使用 Web Services Security (WS-Security 规范的 联合身份方案。下面三个部署方案介绍了如何根据组织需要,将上表中所提及的 ADFS 服 务器角色用于联合身份管理。Federated Web SSOADFS Federated Web SSO 方案除了完全的 Internet 路由基础结构以外,还包括安全的通 讯,这些通讯经常跨越多个防火墙、外围网络和名称解析服务器。这种新的通讯类型能够 改变以往混乱的合作关系,有助于通过联合信任关系连接在一起的组织实现相互间更有 效、更安全的联机事务

34、处理。如下图所示,可以在两个组织间建立联合信任关系。在这个方案中,联合服务器将Tailspin Toys Inc. 用户帐户生成的身份验证请求路由到存储在 Online Retailer 网络中的资 源上。 联合服务器根据合作伙伴的凭据,对来自可信任合作伙伴的请求进行身份验证。这些凭据 可以通过令牌的形式进行数字交换,这些令牌中包含有当前的信任策略。在请求通过身份 验证后,联合服务器可以根据设计好的授权策略对这个请求进行授权。然后,联合服务器 通过 Federation Service 颁发新的安全令牌,满足最初请求的要求。另外,也可以在两个企业中部署 Federation Service P

35、roxy 服务器,帮助路由来自 Internet 客户端对内部承载的 Web 应用程序的调用。注意 注意:虽然本文(Windows Server 2003 R2 Beta 2 版附带中介绍了在这个方案中部署 联合服务器的过程,但是并没有介绍部署 Federation Service Proxy 的过程。ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto13具有林信任的 Federated Web SSO具有林信任的 ADFS Federated Web SSO 包括在一个组织中的两个 Active Directory 林 (如下图所示。其中一个林位于组织的外围网

36、络中。另一个位于内部网中。建立了一个 单向的 Active Directory 林信任,因此位于外围网络中的林可以信任内部网中的林。在这两 个网络中都部署有联合服务器。另外还建立有一个联合信任,使得内部林中的帐户可以用 来访问外围网络中的 Web 应用程序。注意 注意:为了成功部署这个方案,请在“添加帐户合作伙伴向导”和“添加资源合作伙伴向 导”询问合作伙伴是否是 Intranet 联合合作伙伴时,单击“是”。在这个方案中,外部用户(例如客户可以通过在位于外围网络中的外部帐户联合服务器 上进行身份验证,来访问 Web 应用程序。他们可以使用外围网络 Active Directory 林中的 用

37、户帐户。内部用户(例如职员可以通过在位于内部网络中的内部帐户联合服务器上进 行身份验证,来访问 Web 应用程序。内部用户拥有内部 Active Directory 林中的帐户。 如果这个 Web 应用程序是传统的 Windows 应用程序,那么在 Web 应用程序服务器上的 运行的 ADFS Web Services Agent 将拦截这个请求,创建 Windows NT 安全令牌,然后 由 Web 应用程序根据令牌做出授权决定。对于外部用户,这是可能实现的,因为可以将ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto14承载传统应用程序的 Web 服务器加入

38、到外部林的域中。对于内部用户,则总是通过外部 林和内部林之间的林信任关系来实现。如果这个 Web 应用程序是支持声明的应用程序,那么在 Web 应用程序服务器上运行的 ADFS Web Services Agent 将不会为用户创建 Windows NT 安全令牌。这个代理可以根据 ADFS 所提供的安全声明标记语言 (Security Assertion Markup Language, SAML 令牌的 内容来做出授权决定。因此, Web 服务器不需要加入到域中,也不需要外部林到内部林的 信任。注意 注意:在此版本的文档(Windows Server 2003 R2 Beta 2 版附带中

39、,没有介绍部署 具有林信任的 Federated Web SSO 方案的过程。Web SSO在下图所示的 ADFS Web SSO 方案中,如果内部网络 (Intranet 和 Internet 中的用户拥有 组织内部网中的帐户,那么他们将可以访问 Web 应用程序。通常,这种方案仅限于组织 的职员使用。 从 Internet 连接的用户可以通过运行 Microsoft® Internet Security and Acceleration (ISA Server 的服务器连接到 Web 应用程序服务器。然后由外部 Federation Service Proxy 服 务器对这些用户

40、进行身份验证。而从内部网连接的用户则由内部 Federation Service ProxyADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto 15服务器进行身份验证。所有的用户都拥有驻留在内部 Active Directory 林中的用户帐户。在 这个方案中,不需要联合信任。而外部用户和内部用户都拥有 Web SSO 功能。注意 注意:在此版本的文档(Windows Server 2003 R2 Beta 2 版附带中,没有介绍部署 Web SSO 方案的过程。在 Federated Web SSO 方案中部署 ADFS 针对 Active Directory

41、 Federation Services (ADFS 的 Federated Web 单一登录 (SSO 部 署方案包括下列步骤:该步骤介绍了使 ADFS 在网络环境中正常工作所需的网络服务条件。它包括配置 Active Directory 、域名系统 (DNS 和证书服务的信息和过程。该步骤包含为联合服务器角色准备运行 Windows Server 2003 R2 的计算机所需的过程。 它包括申请、下载和配置安全套接字层 (SSL 证书和令牌签名证书的过程。其中还包括安 装必需应用程序的说明:Internet 信息服务 (IIS、 ASP.NET 等等。在完成这些准备过程 后,可以进行安装

42、ADFS 的 Federation Service 组件和配置 Federation Service 的信任策 略。注意 注意:您可以按照该步骤中的过程在帐户合作伙伴组织和资源合作伙伴组织中创建联合服 务器。该步骤包含有在资源合作伙伴组织中添加支持声明的应用程序和传统 Windows 应用程 序、添加帐户合作伙伴,以及创建应用程序和声明的过程。该步骤包含有添加帐户存储、添加资源合作伙伴和创建声明的过程。在完成步骤 3 和 4 后,将建立一个联合信任。有关联合信任的常规信息,请参考“ 部署 ”该步骤可以用来配置资源合作伙伴中的 Web 服务器,承载支持声明的应用程序或传统的 Windows 应用

43、程序。它包含有在 Web 服务器上安装和配置 ADFS 的 Web Service AgentADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto16组件的过程。另外,该步骤还含有在资源 Web 服务器上配置 Microsoft® Windows®SharePoint® Services 2.0 的过程,使得帐户合作伙伴组织的帐户可以访问这个SharePoint 站点。该步骤包含有验证帐户合作伙伴组织中客户端访问资源合作伙伴组织所驻留的 Web 服务器的过程。步骤 步骤 1:为支持 ADFS 联合进行网络准备 为了确保 Active

44、Directory Federation Services (ADFS 部署中的合作伙伴组织能够顺利协 作,必须保证对内部网络基础结构进行正确的配置,满足 ADFS 对帐户、名称解析和证书 的要求。下列网络服务的正确配置对于在组织中成功部署 ADFS 是至关重要的: Active Directory 或 ADAMADFS 需要在 Active Directory 或 Active Directory Application Mode (ADAM 中存在用户帐户,这样帐户合作伙伴组织中的 Federation Service 可以利用这些帐户。Active DirectoryADFS 与 Act

45、ive Directory 紧密集成。 ADFS 可检索用户属性,并根据 Active Directory 对 用户进行身份验证。另外,它还使用 Windows Integration Authentication 和Active Directory 创建的安全令牌。在与 Active Directory 协作时, ADFS 利用Active Directory 中的强身份验证技术,包括 Kerberos、 X.509 数据证书和智能卡。注意 注意:本地帐户和 Windows NT 域帐户不能用作 ADFS 帐户存储中的用户帐户。为了在 Federated Web SSO 方案或具有林信任的

46、Federated Web SSO 方案中部署ADFS ,至少需要在资源合作伙伴组织中配置一个 Active Directory 林。 Active Directory 或 ADAM 都可以用来存储帐户合作伙伴组织中的用户帐户。ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto17为了运作 ADFS, Active Directory 域控制器(位于帐户合作伙伴组织和资源合作伙伴组织必须运行具有 Service Pack 1 (SP1 的 Windows Server 2003 或具有 Service Pack 4 (SP4 的 Windows 2000 Ser

47、ver,并安装有关键更新。注意 注意:ADFS 不需要对 Active Directory 进行架构更改或功能层面的修改。为传统 Windows 应用程序配置 Active Directory添加帐户合作伙伴林的 UPN 后缀 后缀1. 打开“ Active Directory 域和信任关系”。2. 在控制台树中,右键单击“ Active Directory 域和信任关系”,然后单击“属性”。3. 在“ UPN 后缀”选项卡中,输入帐户合作伙伴林(希望访问 WSS 站点的用户所在的林的ADFS 部署循序渐进指南 部署循序渐进指南 请将反馈信息发送到 r2mailto18UPN 后缀,然后单击“

48、添加”。注意 注意:若要打开“ Active Directory 域和信任关系”,请单击“开始”,指向“管理工具”,然后单击“ Active Directory 域和信任关系”。必须使用这个新的 UPN 后缀来创建用于其他组织用户的映像帐户。这将确保帐户合作伙伴所创建的安全令牌中的 UPN 后缀与相关映像帐户的 UPN 后缀一致。映像帐户 映像帐户映像帐户是存储在某个 Active Directory 林(资源合作伙伴林中的用户帐户,仅用于模拟 存储在另一个 Active Directory 林(帐户合作伙伴林中职员使用的用户帐户。必须在资源 合作伙伴林中创建映像帐户,这样在帐户合作伙伴林中拥

49、有用户帐户的职员才能够通过ADFS 访问基于 Web 的传统 Window 应用程序。注意 注意:在具有林信任的 Federated Web SSO 方案中,不需要映像帐户。由于帐户联合服务器和资源联合服务器所在的两个林之间存在林信任关系,因此位于帐户合作伙伴中的用户帐户可以使用 Windows NT 令牌来访问位于资源合作伙伴中的 Web 应用程序,因此不需要映像帐户。映像帐户之所以是必需的,是因为大部分传统 Windows 应用程序的身份验证机制都要求访问应用程序的用户帐户与承载应用程序的 Web 服务器处于同一本地领域或林中。注意 注意:发送到传统 Windows 应用程序的 ADFS 安全令牌包含有针对该用户的电子邮件声明或 UPN 声明。它也可能包含自定义的声明。 Web 服务器会生成一个 Windows模拟访问令牌。针对每个帐户合作伙伴林中的用户,如果他们需要访问传统 Windows