何时创建联合服务器
在 Active Directory 联合身份验证服务 (AD FS)中创建联合服务器则可以让组织:
与其他组织(也具有至少一个联合服务器),以及(在必要时)与自己组织中的员工(他们需要通过 Internet 进行访问)进行基于 Web 单一登录 (SSO) 的通信。
使前端服务可以使用标识委派向基础结构服务模拟用户。 有关详细信息,请参阅 When to Use Identity Delegation。
以下各部分介绍了一些用于确定何时以及在何处创建一个或多个联合服务器的关键决策。
确定联合服务器的组织角色
若要针对何时创建新联合服务器做出明智的决策,必须首先确定服务器所处的组织。 联合服务器在组织中扮演的角色取决于是将联合服务器置于帐户伙伴组织中还是资源伙伴组织中。
当联合服务器置于帐户伙伴的企业网络中时,其角色是对浏览器、Web 服务或身份信息选择器客户端的用户凭据进行身份验证并将安全令牌发送到客户端。 有关详细信息,请参阅 Review the Role of the Federation Server in the Account Partner。
当联合服务器置于资源伙伴的企业网络中时,其角色是基于由资源伙伴组织中的联合服务器颁发的安全令牌对用户进行身份验证,或其角色是将令牌请求从配置的 Web 应用程序或 Web 服务重定向到客户端所属的帐户伙伴组织。 有关详细信息,请参阅 Review the Role of the Federation Server in the Resource Partner。
确定要部署的 AD FS 设计
每当要部署以下任何 AD FS 设计时,便会在组织中创建联合服务器:
如有必要,部署联合 Web SSO 设计的组织可以配置单个联合服务器,以便它同时担任帐户伙伴角色和资源伙伴角色。 在这种情况下,联合服务器可能会基于其自己组织中的用户帐户生成安全断言标记语言 (SAML) 令牌,或基于用户帐户所处的位置将令牌请求重新路由到组织。
注意
对于联合 Web SSO 设计,帐户伙伴和资源伙伴中都必须至少要有一个联合服务器。
联合服务器与联合服务器代理之间的差异
联合服务器可以采用与联合服务器代理相同的方式分配网页以用于登录、策略、身份验证和发现。 联合服务器和联合服务器代理之间的主要区别与联合服务器可以执行但联合服务器代理不能执行的操作有关。
以下是只有联合服务器才能执行的操作:
联合服务器执行生成令牌的加密操作。 虽然联合服务器代理无法生成令牌,但是它们可以用于将令牌路由或重定向到客户端,并在必要时路由或重定向回到联合服务器。 有关使用联合服务器的详细信息,请参阅何时创建联合服务器代理。
联合服务器支持对企业网络上的客户端使用 Windows 集成身份验证;而联合服务器代理不支持。 有关将 Windows 集成身份验证与联合服务器结合使用的详细信息,请参阅何时创建联合服务器场。
小心
联合服务器与 SQL Server 配置数据库、SQL Server 属性存储、域控制器和 AD LDS 实例之间的通信不是默认情况下受保护的完整性或机密性。 若要缓解此问题,请考虑通过使用 IPSEC 或是在所有这些服务器之间使用物理上安全的连接来保护这些服务器之间的通信通道。 对于联合服务器与 SQL 服务器之间的通信,请考虑在连接字符串中使用 SSL 保护。 对于联合服务器与域控制器之间的连接,请考虑启用 Kerberos 签名和加密。 对于 LDAP,AD LDS/AD DS 不支持 LDAP/S。
如何创建联合服务器
可以使用 AD FS 联合服务器配置向导或 Fsconfig.exe 命令行工具创建联合服务器。 当你使用任一工具时,可以选择以下任何选项来创建联合服务器。
创建独立联合服务器
有关如何设置独立联合服务器的详细信息,请参阅 Create a Stand-Alone Federation Server。
在联合服务器场中创建第一个联合服务器
有关如何设置第一个联合服务器或向场中添加联合服务器的详细信息,请参阅 Create the First Federation Server in a Federation Server Farm。
将联合服务器添加到联合服务器场
有关如何向场中添加联合服务器的详细信息,请参阅 Add a Federation Server to a Federation Server Farm。
有关这些选项各自的工作原理的更多详细信息,请参阅 The Role of the AD FS Configuration Database。
有关如何设置部署联合服务器所需的所有先决条件的详细信息,请参阅 Checklist: Setting Up a Federation Server。