使用所需证书配置计算机并安装联合身份验证服务代理角色服务后,即可将计算机配置为联合服务器代理。 可以使用以下过程,使计算机在联合服务器代理角色中发挥作用。
重要
在使用此过程配置联合服务器代理计算机之前,请确保已按照 设置联合服务器代理 的清单中列出的顺序完成所有步骤。 确保至少部署了一个联合服务器,并实现了授权联合服务器代理配置所需的所有凭据。 还必须在默认网站上配置安全套接字层(SSL)绑定,否则此向导将不会启动。 必须完成所有这些任务,然后才能运行此联合服务器代理。
设置完计算机后,请验证联合服务器代理是否按预期工作。 有关详细信息,请参阅 “验证联合服务器代理是否正常运行”。
在本地计算机上, 管理员或等效成员身份是完成此过程所需的最低要求。 查看有关在本地 和域默认组中使用相应帐户和组成员身份的详细信息。
配置计算机以用于联合服务器代理角色
可通过两种方法启动 AD FS 联合服务器配置向导。 若要启动向导,请执行下列操作之一:
在 “开始” 屏幕上,键入AD FS 联合服务器代理配置向导,然后按 Enter。
安装向导完成后,随时打开 Windows 资源管理器,导航到 C:\Windows\ADFS 文件夹,然后双击 FspConfigWizard.exe。
使用任一方法,启动向导,然后在 “欢迎 ”页上单击“ 下一步”。
在 “指定联合身份验证服务名称 ”页上的 “联合身份验证服务名称”下,键入表示此计算机将充当代理角色的联合身份验证服务的名称。
根据特定的网络要求,确定是否需要使用 HTTP 代理服务器将请求转发到联合身份验证服务。 如果是这样,请在 “向此联合身份验证服务发送请求时使用 HTTP 代理服务器 ”复选框,在 “HTTP 代理服务器地址 ”下键入代理服务器的地址,单击“ 测试连接 ”以验证连接性,然后单击“ 下一步”。
提示出现时,请指定在该联合服务器代理和联合服务之间建立信任所需的凭据。
默认情况下,只有联合身份验证服务使用的服务帐户或本地 BUILTIN\Administrators 组的成员才能授权联合服务器代理。
在 “准备应用设置” 页上,查看详细信息。 如果设置看起来正确,请单击“ 下一步 ”,开始使用这些代理设置配置此计算机。
在 “配置结果 ”页上,查看结果。 完成所有配置步骤后,单击“ 关闭 ”退出向导。
没有任何 Microsoft 管理控制台 (MMC) 管理单元可用于管理联合身份验证服务器代理。 若要配置组织中每个联合服务器代理的设置,请使用 Windows PowerShell cmdlet。
配置用于代理操作的备用 TCP/IP 端口
默认情况下,联合服务器代理服务器服务配置为将 TCP 端口 443 用于 HTTPS 流量,将端口 80 用于与联合服务器的通信。 若要配置不同的端口,例如 HTTPS 的 TCP 端口 444 和 HTTP 端口 81,必须完成以下任务。
注释
如果打算最初部署 AD FS 以在备用 TCP/IP 端口下运行,则应首先在联合服务器和联合服务器代理服务器代理计算机上修改 HTTP 和 HTTPS 的 IIS 协议绑定中的端口。 在运行 AD FS 配置向导进行初始配置之前,应发生这种情况。 如果您首先配置了 Internet 信息服务(IIS),那么在 AD FS 中进行基于向导的配置时,系统会自动识别备用 TCP/IP 端口设置,以下过程就不需要执行。 如果以后要更改端口设置,请先更新 IIS 协议绑定,然后使用以下过程相应地更新端口设置。 有关编辑 IIS 绑定的详细信息,请参阅Microsoft知识库中的 文章 149605。
配置联合服务器代理要使用的备用 TCP/IP 端口
将联合服务器配置为使用非默认端口。
为此,请将非默认端口号与 HttpsPort 和 HttpPort 选项一起包含在 Set-ADFSProperties cmdlet 中。 例如,若要配置这些端口,请在联合服务器计算机上的 Windows PowerShell 会话中使用以下命令:
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81将联合服务器代理配置为使用非默认端口。
为此,请在 Set-ADFSProxyProperties cmdlet 中将其与 HttpsPort 和 HttpPort 选项一起包含来指定非默认端口号。 例如,若要配置这些端口,请在联合服务器计算机上的 Windows PowerShell 会话中使用以下命令:
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81注释
默认情况下,联合服务器代理服务未启用端点 URL。 如果要配置新的联合服务器安装,则必须首先启用联合服务器代理服务器服务终结点。 例如,对于此过程中的示例所引用的所有终结点,假定你已为代理启用了它们,方法是在“AD FS 管理”管理单元中将其选中,然后选择“在代理上启用”。
更新联合服务器代理上的 IIS 安装,以便将安全断言标记语言(SAML)和 WS-Trust 端点配置为反映更新的端口号。 为此,可以使用记事本修改 Web.config 文件中的以下内容,该文件位于联合服务器代理计算机上的 systemdrive%\inetpub\adfs\ls\ 中。 例如,假设你有一个名为 sts1.contoso.com 的联合服务器,并且新的端口号为 444,浏览到联合服务器代理计算机上的记事本中并打开 Web.config 文件,找到以下部分,修改下面突出显示的端口号,然后保存并退出记事本。
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />将联合服务器代理服务器用户帐户添加到相关终结点 URL 的访问控制列表(ACL)。 例如,如果端口号为 1234,并且用于运行 AD FSfederation 服务器代理服务器的用户帐户是内置的网络服务帐户,请在命令提示符处键入以下命令:
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"上述命令必须在联合服务器和联合服务器代理服务器计算机上运行。