Driftsätta federationsservrar

• Gäller för:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Om du vill distribuera federationsservrar i Active Directory Federation Services (AD FS) slutför du var och en av uppgifterna i Checklista: Konfigurera en federationsserver.

Anmärkning

När du använder den här checklistan rekommenderar vi att du först läser referenserna till federationsserverplaneringen i AD FS-designguiden i Windows Server 2012 innan du påbörjar procedurerna för att konfigurera servrarna. Genom att följa checklistan på det här sättet får du en bättre förståelse för design- och distributionsprocessen för federationsservrar.

Om federationsservrar

Federationsservrar är datorer som kör Windows Server 2008 med AD FS-programvaran installerad som har konfigurerats för att fungera i federationsserverrollen. Federationsservrar autentiserar eller dirigerar begäranden från användarkonton i andra organisationer och från klientdatorer som kan finnas var som helst på Internet.

Att installera AD FS-programvaran på en dator och använda konfigurationsguiden för AD FS Federation Server för att konfigurera den för federationsserverrollen gör datorn till en federationsserver. Det gör även AD FS-hanteringens snapin-modul tillgänglig på datorn i menyn Start \Administrationsverktyg\, så att du kan ange följande:

• AD FS-värdnamnet där partnerorganisationer och program skickar tokenbegäranden och svar

• AD FS-identifieraren som partnerorganisationer och program använder för att identifiera organisationens unika namn eller plats

• Certifikatet för tokensignering som alla federationsservrar i en servergrupp använder för att utfärda och signera token

• Platsen för anpassade ASP.NET webbsidor för klientinloggning, utloggning och kontopartneridentifiering som förbättrar klientupplevelsen

  Anmärkning

  De flesta av dessa grundläggande användargränssnittsinställningar (UI) finns i filen web.config på varje federationsserver. AD FS-värdnamnet och AD FS-identifierarens värden anges inte i filen web.config.

Federationsservrar är värdar för en anspråksutfärdarmotor som utfärdar token baserat på de autentiseringsuppgifter (till exempel användarnamn och lösenord) som visas för den. En säkerhetstoken är en kryptografiskt signerad dataenhet som uttrycker ett eller flera anspråk. Ett påstående är ett uttalande som en server gör, till exempel om namn, identitet, nyckel, grupp, behörighet eller funktion, angående en klient. När autentiseringsuppgifterna har verifierats på federationsservern (via användarens inloggningsprocess) samlas anspråk för användaren in genom undersökning av de användarattribut som lagras i det angivna attributarkivet.

I design för federerad webb SSOSign-On (AD FS-design där två eller flera organisationer är involverade), kan anspråk modifieras av anspråksregler för en specifik betroende part. Anspråken är inbyggda i en token som skickas till en federationsserver i resurspartnerorganisationen. När en federationsserver i resurspartnern tar emot anspråken som inkommande anspråk kör den anspråksutfärdarmotorn för att köra en uppsättning anspråksregler för att filtrera, skicka igenom eller transformera dessa anspråk. Anspråken är sedan inbyggda i en ny token som skickas till webbservern i resurspartnern.

I webbdesignen för enkel inloggning (en AD FS-design där endast en organisation är involverad) kan en enda federationsserver användas så att anställda kan logga in en gång och fortfarande komma åt flera program.