在组织中创建联合服务器代理会将其他安全层添加到 Active Directory 联合身份验证服务 (AD FS) 部署。 在想要以下情况下,请考虑在组织的外围网络中部署联合服务器代理:
阻止外部客户端计算机直接访问联合服务器。 通过在外围网络中部署联合服务器代理,可以有效地隔离联合服务器,以便只有通过联合服务器代理(代表外部客户端计算机)登录到公司网络的客户端计算机才能访问联合服务器代理。 联合服务器代理无权访问用于生成令牌的私钥。 有关详细信息,请参阅 “在何处放置联合服务器代理”。
为来自 Internet 的用户(而不是使用 Windows 集成身份验证来自企业网络的用户)提供一种方便的方式来区分登录体验。 联合服务器代理使用其中存储的登录、注销和标识提供者发现 (homerealmdiscovery.aspx) 页面从 Internet 客户端计算机中收集凭据或主页领域详细信息。
相比之下,来自企业网络的客户端计算机根据联合服务器的配置遇到不同的体验。 企业网络联合服务器通常配置为 Windows 集成身份验证,为企业网络上的用户提供无缝登录体验。
联合服务器代理在组织中扮演的角色取决于是将联合服务器代理放置在帐户伙伴组织还是资源伙伴组织中。 例如,当联合服务器代理放置在帐户伙伴的外围网络中时,其角色是从浏览器客户端收集用户凭据信息。 将联合服务器代理放置在资源伙伴的外围网络中时,它会将安全令牌请求中继到资源联合服务器,并生成组织安全令牌,以响应其帐户合作伙伴提供的安全令牌。
有关详细信息,请参阅 查看帐户合作伙伴中联合服务器代理的角色 ,并 查看资源伙伴中联合服务器代理的角色
如何创建联合服务器代理
可以使用 AD FS 联合服务器代理配置向导或 Fsconfig.exe 命令行工具创建联合服务器代理。 有关如何执行此作的说明,请参阅 为联合服务器代理角色配置计算机。
有关如何设置部署联合服务器代理所需的所有先决条件的一般信息,请参阅 清单:设置联合服务器代理。