何时创建联合服务器代理
在你的组织中创建联合服务器代理会为你的 Active Directory 联合身份验证服务 (AD FS) 部署增加额外的安全层。 想要实现以下操作时,请考虑在组织的外围网络中部署联合服务器代理:
阻止外部客户端计算机直接访问你的联合服务器。 通过在外围网络中部署联合服务器代理,可以有效地隔离联合服务器,以便只允许通过联合服务器代理登录到公司网络的客户端计算机访问服务器,这些代理以外部客户端计算机身份执行操作。 联合服务器代理不能访问用于生成令牌的私钥。 有关详细信息,请参阅放置联合服务器代理的位置。
提供一种便捷的方式来区分来自 Internet 的用户的登录体验与来自使用 Windows 集成身份验证的企业网络的用户的登录体验。 联合服务器代理使用其中存储的登录、注销和标识提供者发现 (homerealmdiscovery.aspx) 页面从 Internet 客户端计算机中收集凭据或主页领域详细信息。
与此相反,来自企业网络的客户端计算机将有截然不同的体验,具体视联合服务器的配置而定。 通常会为企业网络联合服务器配置 Windows 集成身份验证,从而为企业网络上的用户提供无缝的登录体验。
联合服务器代理在组织中扮演的角色取决于是将联合服务器代理置于帐户伙伴组织中还是资源伙伴组织中。 例如,如果将联合服务器代理放在帐户伙伴的外围网络中,其作用就是从浏览器客户端中收集用户凭据信息。 如果将联合服务器代理放在资源伙伴的外围网络中,它将中继向资源联合服务器发出的安全令牌请求,并生成组织安全令牌来响应由其帐户伙伴提供的安全令牌。
有关详细信息,请参阅 Review the Role of the Federation Server Proxy in the Account Partner 和 Review the Role of the Federation Server Proxy in the Resource Partner。
如何创建联合服务器代理
你可以使用 AD FS 联合服务器代理配置向导或 Fsconfig.exe 命令行工具来创建联合服务器代理。 有关如何执行此操作的说明,请参阅 Configure a Computer for the Federation Server Proxy Role。
有关如何设置部署联合服务器代理所需的所有必备软件的常规信息,请参阅 Checklist: Setting Up a Federation Server Proxy。