查看联合服务器代理在帐户伙伴中的角色

在 Active Directory 联合身份验证服务 (AD FS) 中的帐户合作伙伴组织的外围网络中,联合服务器代理的主要角色是从通过 Internet 登录的客户端计算机收集身份验证凭据,并将这些凭据传递给联合服务器(位于帐户合作伙伴组织的公司网络内部)。 客户端计算机的帐户存储在帐户合作伙伴的属性存储中。

联合服务器代理还可以充当以下一个或多个角色,具体取决于你如何配置它来满足帐户合作伙伴组织的需求:

  • 中继安全令牌 — 联合服务器向联合服务器代理颁发安全令牌,后者随后将令牌中继到客户端计算机。 安全令牌用于为该客户端计算机提供对特定信赖方的访问。

  • 收集凭据 — 联合服务器代理使用默认客户端登录 Web 表单 (clientlogon.aspx),通过基于表单的身份验证来收集基于密码的凭据。 但是,你可以自定义此表单以接受其他受支持的身份验证类型,如安全套接字层 (SSL) 客户端身份验证。 有关如何自定义此页面的详细信息,请参阅“自定义客户端登录和主领域发现页面”(http://go.microsoft.com/fwlink/?LinkId=104275)。 联合服务器代理不通过 Windows 集成身份验证接受凭据。

综上所述,联合服务器代理位于帐户合作伙伴那里,在从客户端登录位于公司网络中的联合服务器时充当代理。 联合服务器代理还有助于向以信赖方为目标的 Internet 客户端分发安全令牌。

注意

在帐户合作伙伴 Extranet 上公开联合服务器代理可使能够访问 Internet 的任何人都可以访问客户端登录 Web 表单。 这可能会使组织容易遭受一些基于密码的攻击,如字典式攻击或暴力攻击,这些攻击可能会对存储在公司 Active Directory 域服务 (AD DS) 中的用户帐户触发帐户锁定。

另请参阅

Windows Server 2012 中的 AD FS 设计指南