创建独立联合服务器

在安装联合身份验证服务角色服务并在计算机上配置所需的证书后,你就能够配置计算机,使其成为联合服务器。 可使用以下过程将计算机设置为独立联合服务器。 创建独立联合服务器的操作也将创建一项新的联合身份验证服务。 使用 AD FS 联合服务器配置向导创建联合服务器。

注意

对于联合 Web 单一登录 (SSO) 设计,你必须至少在帐户伙伴组织中具有一台联合服务器,并至少在资源伙伴组织中具有一台联合服务器。 有关详细信息,请参阅放置联合服务器的位置

若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 若要查看有关使用适合的帐户和组成员身份的详细信息,请参阅本地默认组和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477).

创建独立联合服务器

  1. 可通过两种方法启动 AD FS 联合服务器配置向导。 若要启动该向导,请执行下列操作之一:

    • 完成联合身份验证服务角色服务的安装后,打开“AD FS 管理”管理单元,然后在“概述”页或“操作”窗格中单击“AD FS 联合服务器配置向导”链接。

    • 在安装向导完成后的任意时间,打开 Windows 资源管理器、导航至 C:\Windows\ADFS 文件夹,然后再双击“FsConfigWizard.exe”

  2. 在“欢迎使用”页上,验证是否已选中“创建新的联合身份验证服务”,然后单击“下一步”

  3. 在“选择独立部署或场部署”页上,单击“独立联合服务器”,再单击“下一步”

    重要

    如果在 AD FS 联合服务器配置向导中选择独立联合服务器选项,与此联合身份验证服务关联的服务帐户将自动分配给 NETWORK SERVICE 帐户。 建议仅在测试实验室环境中评估 AD FS 的情况下,才使用 NETWORK SERVICE 作为服务帐户。 如果打算使用独立联合服务器选项在生产环境中部署联合服务器,请务必将此服务帐户更改为更合适的服务帐户,该帐户可专用于为此新联合身份验证服务的请求提供服务。 如果将服务帐户更改为 NETWORK SERVICE 以外的帐户,这将缓解可能的攻击途径,否则会使联合服务器容易受到恶意攻击。

  4. 在“指定联合身份验证服务名称”页上,验证“SSL 证书”是否显示正确。 如果没有这样做,请从“SSL 证书”列表中选择相应的证书

    此证书从默认网站的安全套接字层 (SSL) 设置中生成。 如果默认网站只具有一个配置的 SSL 证书,则显示该证书并自动选择它以供使用。 如果为默认网站配置了多个 SSL 证书,此处将列出所有这些证书,并且你必须从中进行选择。 如果没有配置默认网站的 SSL 设置,则从本地计算机上的个人证书存储中的可用证书生成列表。

    注意

    如果为 IIS 配置了 SSL 证书,则该向导将不允许覆盖证书。 这可确保之前计划对 SSL 证书所做的任何 IIS 配置将得以保留。 若要解决此限制,可以删除证书,或使用 IIS 管理控制台手动对其重新配置。

  5. 如果选择的 AD FS 数据库已存在,会显示“检测到现有的 AD FS 配置数据库”页。 如果显示了该页,请单击“删除数据库”,然后单击“下一步”

    注意

    仅当你确定此 AD FS 数据库中的数据不重要,或者不在生产联合服务器场中使用时,才应选择此选项。

  6. 在“已准备好应用设置”页上,查看详细信息。 如果设置看上去没有问题,请单击“下一步”,以开始使用这些设置配置 AD FS。

  7. 在“配置结果”页上,查看结果。 完成所有配置步骤后,单击“关闭”退出向导。

其他参考

清单:设置联合服务器