在 Active Directory 联合身份验证服务 (AD FS) 中创建联合服务器时,您提供了一种方法,您的组织可以通过该方法:
与其他组织(至少也有一个联合服务器)进行基于 Web 单点登录 (SSO) 的通信,并在必要时与自己组织中的员工(需要通过 Internet 访问)进行通信。
启用前端服务,以使用身份委派将用户模拟到基础设施服务。 有关更多信息,请参阅 何时使用 Identity Delegation。
以下部分介绍用于确定何时何地创建一个或多个联合服务器的一些关键决策。
确定联合服务器的组织角色
若要就何时创建新的联合服务器做出明智的决定,必须首先确定服务器将驻留在哪个组织中。 联合服务器在组织中扮演的角色取决于您是将联合服务器放置在帐户伙伴组织还是资源伙伴组织中。
当联合服务器放置在帐户伙伴的公司网络中时,其角色是验证浏览器、Web 服务或身份选择器客户端的用户凭据,并将安全令牌发送到客户端。 有关详细信息,请参阅 查看 Account Partner 中联合服务器的角色。
当联合服务器放置在资源伙伴的企业网络中时,其角色是根据资源伙伴组织中的联合服务器颁发的安全令牌对用户进行身份验证,或者其角色是将令牌请求从配置的 Web 应用程序或 Web 服务重定向到客户端所属的帐户伙伴组织。 有关详细信息,请参阅 Review the Role of the Federation Server in the Resource Partner。
确定要部署的 AD FS 设计
每当您想要部署以下任何 AD FS 设计时,都可以在组织中创建联合服务器:
如有必要,部署联合 Web SSO 设计的组织可以配置单个联合服务器,使其同时充当帐户伙伴角色和资源伙伴角色。 在这种情况下,联合服务器可能会根据其自身组织中的用户帐户生成安全断言标记语言 (SAML) 令牌,或者根据用户帐户所在的位置将令牌请求重新路由到组织。
注释
对于联合 Web SSO 设计,帐户伙伴中必须至少有一个联合服务器,资源伙伴中必须至少有一个联合服务器。
联合服务器和联合服务器代理之间的区别
联合服务器可以像联合服务器代理一样提供用于登录、策略、身份验证和发现的网页。 联合服务器和联合服务器代理之间的主要区别在于联合服务器可以执行而联合服务器代理无法执行的作。
以下是只有联合服务器才能执行的作:
联合服务器执行生成令牌的加密作。 尽管联合服务器代理无法生成令牌,但它们可用于将令牌路由或重定向到客户端,并在必要时返回联合服务器。 有关使用联合服务器的详细信息,请参阅 何时创建联合服务器代理。
联合服务器支持对公司网络上的客户端使用 Windows 集成身份验证;Federation Server 代理则不需要。 有关将 Windows 集成身份验证与联合服务器一起使用的详细信息,请参阅 何时创建联合服务器场。
谨慎
默认情况下,联合服务器与 SQL Server 配置数据库、SQL Server 属性存储、域控制器和 AD LDS 实例之间的通信不受完整性或机密性保护。 要缓解这种情况,请考虑使用 IPSEC 保护这些服务器之间的通信通道,或者在所有这些服务器之间使用物理安全的连接。 对于联合服务器和 SQL Server 之间的通信,请考虑在连接字符串中使用 SSL 保护。 对于联合服务器和域控制器之间的连接,请考虑启用 Kerberos 签名和加密。 对于 LDAP,AD LDS/AD DS 不支持 LDAP/S。
如何创建联合服务器
可以使用 AD FS 联合服务器配置向导或 Fsconfig.exe 命令行工具创建联合服务器。 使用这些工具中的任何一个时,可以选择以下任一选项来创建联合服务器。
创建独立联合服务器
有关如何设置独立联合服务器的详细信息,请参阅 创建 Stand-Alone 联合服务器。
在联合服务器场中创建第一个联合服务器
有关如何设置第一个联合服务器或将联合服务器添加到场的详细信息,请参阅 在联合服务器场中创建第一个联合服务器。
将联合服务器添加到联合服务器场
有关如何将联合服务器添加到场的详细信息,请参阅 将联合服务器添加到联合服务器场。
有关每个选项如何工作的更多详细信息,请参阅 AD FS 配置数据库的角色。
有关如何设置部署联合服务器所需的所有先决条件的详细信息,请参阅 清单:设置联合服务器。