在计算机上安装联合身份验证服务角色服务并配置所需的证书后,即可将计算机配置为成为联合服务器。 可以使用以下过程将计算机设置为独立联合服务器。 创建独立联合服务器的操作还会创建新的联合服务。 使用 AD FS 联合服务器配置向导创建联合服务器。
注释
对于联合 Web 单一登录 (SSO) 设计,你必须至少在帐户伙伴组织中具有一台联合服务器,并至少在资源伙伴组织中具有一台联合服务器。 有关详细信息,请参阅“ 在何处放置联合服务器”。
若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 可在本地默认组和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477). 中查看有关使用适合的帐户和组成员身份的详细信息。
创建独立运行的联合服务器
可通过两种方法启动 AD FS 联合服务器配置向导。 若要启动向导,请执行以下操作之一:
联合身份验证服务角色服务安装完成后,打开 AD FS 管理单元,然后单击“概述”页面上或“操作”窗格中的 AD FS 联合服务器配置向导链接。
安装向导完成后,随时打开 Windows 资源管理器,导航到 C:\Windows\ADFS 文件夹,然后双击 FsConfigWizard.exe。
在 “欢迎 ”页上,验证是否选择了“ 创建新的联合身份验证服务 ”,然后单击“ 下一步”。
在“选择独立部署或场部署”页上,单击“独立联合服务器”,再单击“下一步”。
重要
在 AD FS 联合服务器配置向导中选择独立联合服务器选项时,与此联合身份验证服务关联的服务帐户将自动分配给网络服务帐户。 只有在测试实验室环境中评估 AD FS 时,才建议使用网络服务作为服务帐户。 如果打算使用独立的联合服务器选项在生产环境中部署联合服务器,则必须将此服务帐户更改为更合适的服务帐户,以专门处理此新联合服务的请求。 将服务帐户更改为网络服务以外的帐户将缓解可能的攻击途径,否则会使联合服务器容易受到恶意攻击。
在 “指定联合身份验证服务名称 ”页上,验证显示的 SSL 证书 是否正确。 否则,请从 SSL 证书 列表中选择相应的证书。
此证书是从默认网站的安全套接字层 (SSL) 设置生成的。 如果默认网站只配置了一个 SSL 证书,则会显示该证书并自动选择以供使用。 如果为默认网站配置了多个 SSL 证书,则此处列出了所有这些证书,必须从它们中进行选择。 如果没有为默认网站配置的 SSL 设置,则会从本地计算机上的个人证书存储中可用的证书生成列表。
注释
如果为 IIS 配置了 SSL 证书,则该向导将不允许覆盖证书。 这可确保保留用于 SSL 证书的任何预期以前的 IIS 配置。 若要解决此限制,可以使用 IIS 管理控制台删除证书或手动重新配置证书。
如果所选的 AD FS 数据库已存在,将显示 “现有 AD FS 配置数据库检测到 ”页。 如果发生这种情况,请单击“ 删除数据库”,然后单击“ 下一步”。
谨慎
仅当确定此 AD FS 数据库中的数据不重要或未在生产联合服务器场中使用时,才选择此选项。
在 “准备应用设置” 页上,查看详细信息。 如果设置看起来正确,请单击“ 下一步 ”开始使用这些设置配置 AD FS。
在 “配置结果 ”页上,查看结果。 完成所有配置步骤后,单击“ 关闭 ”退出向导。