附錄 A:審核 AD FS 需求
為了讓 Active Directory 同盟服務 (AD FS) 部署中的組織夥伴能夠成功共同作業,您必須先確定公司網路基礎結構已設定為支援帳戶、名稱解析和憑證的 AD FS 需求。 AD FS 具有下列類型的需求:
小提示
您可以在 瞭解主要 AD FS 概念中找到其他 AD FS 資源連結。
硬體需求
下列最低和建議的硬體需求適用於同盟伺服器和同盟伺服器 Proxy 計算機。
| 硬體需求 | 基本需求 | 建議需求 |
|---|---|---|
| CPU 速度 | 單一核心,1 gbhertz (GHz) | 四核心,2 GHz |
| 隨機存取記憶體 | 1 GB | 4 GB |
| 磁碟空間 | 50 MB | 100 MB |
軟體需求
AD FS 依賴 Windows Server® 2012作系統內建的伺服器功能。
備註
同盟服務和同盟服務 Proxy 角色服務無法共存於同一部計算機上。
憑證需求
憑證在保護同盟伺服器、同盟伺服器 Proxy、宣告感知應用程式和 Web 用戶端之間的通訊方面扮演了最重要的角色。 憑證的需求會隨著您設定同盟伺服器或同盟伺服器 Proxy 計算機而有所不同,如本節所述。
同盟伺服器憑證
同盟伺服器需要下表中的憑證。
| 憑證類型 | 說明 | 部署之前,您需要知道的事項 |
|---|---|---|
| 安全套接字層 (SSL) 憑證 | 這是標準安全套接字層 (SSL) 憑證,用於保護同盟伺服器與客戶端之間的通訊。 | 此憑證必須系結至同盟伺服器或同盟伺服器 Proxy 之 Internet Information Services 中的默認網站。 針對同盟伺服器 Proxy,系結必須先在 IIS 中設定,才能成功執行同盟伺服器 Proxy 設定精靈。 建議: 因為 AD FS 用戶端必須信任此憑證,因此請使用由公用(第三方)證書頒發機構單位 (CA) 所簽發的伺服器驗證憑證,例如 VeriSign。 提示: 此憑證的主體名稱是用來代表您所部署之 AD FS 的每個實例的同盟服務名稱。 基於這個理由,您可能想要考慮在任何最能代表您公司或組織名稱給合作夥伴的新 CA 發行憑證上選擇主體名稱。 |
| 服務通訊憑證 | 此憑證可讓 WCF 訊息安全性保護同盟伺服器之間的通訊。 | 根據預設,SSL 憑證會當做服務通訊憑證使用。 這可以使用AD FS管理控制台來變更。 |
| 令牌簽署憑證 | 這是標準 X509 憑證,用於安全地簽署同盟伺服器發出的所有令牌。 | 令牌簽署憑證必須包含私鑰,而且應該鏈結至同盟服務中的受信任根目錄。 根據預設,AD FS 會建立自我簽署憑證。 不過,您可以根據組織的需求,使用AD FS管理嵌入式管理單元,稍後將此變更為CA簽發的憑證。 |
| 令牌解密憑證 | 這是標準 SSL 憑證,用來解密夥伴同盟伺服器加密的任何傳入令牌。 它也會在同盟元數據中發佈。 | 根據預設,AD FS 會建立自我簽署憑證。 不過,您可以根據組織的需求,使用AD FS管理嵌入式管理單元,稍後將此變更為CA簽發的憑證。 |
謹慎
用於令牌簽署和令牌解密的憑證對於同盟服務的穩定性至關重要。 由於針對此目的設定的任何憑證遺失或非計劃性移除可能會中斷服務,因此您應該備份為此用途設定的任何憑證。
如需同盟伺服器使用之憑證的詳細資訊,請參閱 同盟伺服器的憑證需求。
同盟伺服器 Proxy 憑證
同盟伺服器 Proxy 需要下表中的憑證。
| 憑證類型 | 說明 | 部署之前,您需要知道的事項 |
|---|---|---|
| 伺服器驗證憑證 | 這是標準安全套接字層 (SSL) 憑證,用於保護同盟伺服器 Proxy 與因特網用戶端電腦之間的通訊。 | 您必須先將此憑證系結至 Internet Information Services (IIS) 中的預設網站,才能成功執行 AD FS 同盟伺服器 Proxy 設定精靈。 建議: 因為 AD FS 用戶端必須信任此憑證,因此請使用由公用(第三方)證書頒發機構單位 (CA) 所簽發的伺服器驗證憑證,例如 VeriSign。 提示: 此憑證的主體名稱是用來代表您所部署之 AD FS 的每個實例的同盟服務名稱。 基於這個理由,您可能想要考慮選擇最能代表公司或組織名稱給合作夥伴的主體名稱。 |
如需同盟伺服器 Proxy 使用之憑證的詳細資訊,請參閱 同盟伺服器 Proxy 的憑證需求。
瀏覽器需求
雖然任何具有 JavaScript 功能的目前網頁瀏覽器都可以做為 AD FS 用戶端運作,但根據預設所提供的網頁只會針對 Windows 上的 Internet Explorer 7.0、8.0 和 9.0 版、Mozilla Firefox 3.0 和 Safari 3.1 進行測試。 必須啟用 JavaScript,而且必須啟用 Cookie,才能讓基於瀏覽器的登入和註銷正常運作。
下表中Microsoft AD FS 產品小組已成功測試瀏覽器和作系統組態。
| 瀏覽器 | Windows 7 | Windows Vista |
|---|---|---|
| Internet Explorer 7.0 | X | X |
| Internet Explorer 8.0 | X | X |
| Internet Explorer 9.0 | X | 未測試 |
| FireFox 3.0 | X | X |
| Safari 3.1 | X | X |
備註
AD FS 同時支援上表所示所有瀏覽器的 32 位和 64 位版本。
餅乾
AD FS 會建立會話型和持續性 Cookie,這些 Cookie 必須儲存在用戶端電腦上,以提供登入、註銷、單一登錄 (SSO) 和其他功能。 因此,用戶端瀏覽器必須設定為接受 Cookie。 用於驗證的 Cookie 一律是安全超文本傳輸協定(HTTPS)會話 Cookie,並為原始伺服器所寫入。 如果客戶端瀏覽器未設定為允許這些 Cookie,AD FS 就無法正常運作。 持續性 Cookie 用於保留用戶選擇的宣告提供者。 您可以在 AD FS 登入頁面的組態檔中使用組態設定來停用它們。
基於安全性考慮,需要 TLS/SSL 的支援。
網路需求
適當地設定下列網路服務對於在組織中成功部署AD FS至關重要。
TCP/IP 網路連線能力
若要讓 AD FS 運作,客戶端之間必須有 TCP/IP 網路連線;域控制器;和裝載同盟服務的計算機、同盟服務 Proxy(使用時),以及 AD FS Web 代理程式。
DNS(域名系統)
ACTIVE Directory Domain Services (AD DS) 以外的 AD FS 作業至關重要的主要網路服務是域名系統(DNS)。 部署 DNS 時,使用者可以使用容易記住的易記電腦名稱連線到 IP 網路上的電腦和其他資源。
Windows Server 2008 會使用 DNS 進行名稱解析,而不是 Windows NT 4.0 型網路中使用的 Windows 因特網名稱服務 (WINS) NetBIOS 名稱解析。 對於需要 WINS 的應用程式,仍然可以使用 WINS。 不過,AD DS 和 AD FS 需要 DNS 名稱解析。
設定 DNS 以支援 AD FS 的程式會根據下列情況而有所不同:
您的組織已經有現有的 DNS 基礎結構。 在大部分情況下,DNS 已在整個網路中設定,讓公司網路中的網頁瀏覽器客戶端能夠存取因特網。 由於網際網路存取和名稱解析是 AD FS 的要求,因此假設您已在 AD FS 部署中做好這些基礎設施的準備。
您想要將同盟伺服器新增至公司網路。 為了驗證公司網路中的使用者,必須設定公司網路樹系中的內部 DNS 伺服器,以傳回執行同盟服務的內部伺服器 CNAME。 如需詳細資訊,請參閱 同盟伺服器的名稱解析需求。
您想要將同盟伺服器 Proxy 新增至周邊網路。 當您想要驗證身分識別夥伴組織公司網路中的用戶帳戶時,必須設定公司網路樹系中的內部 DNS 伺服器,以傳回內部同盟伺服器 Proxy 的 CNAME。 如需如何設定 DNS 以配合加入同盟伺服器 Proxy 的詳細資訊,請參閱 同盟伺服器 Proxy 的名稱解析需求。
您正在為測試實驗室環境設定 DNS。 如果您打算在沒有任何單一根 DNS 伺服器授權的測試實驗室環境中使用 AD FS,您可能必須設定 DNS 轉寄站,以便適當地轉送兩個或多個樹系之間的名稱查詢。 如需取得有關如何設定 AD FS 測試實驗室環境的資訊,請參閱 AD FS 的分步說明和操作指南。
屬性儲存庫需求
AD FS 需要至少使用一個屬性存放區來驗證使用者,並擷取這些使用者的安全性宣告。 如需AD FS支援的屬性存放區清單,請參閱AD FS設計指南中的 屬性存放區的角色。
備註
根據預設,AD FS 會自動建立 Active Directory 屬性存放區。
屬性存放區需求取決於您的組織是做為帳戶夥伴(裝載同盟用戶)還是資源夥伴(裝載同盟應用程式)。
AD DS
若要讓 AD FS 順利運作,帳戶夥伴組織或資源夥伴組織中的域控制器必須執行 Windows Server 2003 SP1、Windows Server 2003 R2、Windows Server 2008 或 Windows Server 2012 。
在加入網域的計算機上安裝並設定AD FS時,該網域的Active Directory使用者帳戶存放區會以可選取的屬性存放區的形式提供。
這很重要
由於 AD FS 需要安裝 Internet Information Services (IIS),因此基於安全性考慮,建議您不要在生產環境中的域控制器上安裝 AD FS 軟體。 不過,Microsoft客戶服務支援此設定。
架構需求
AD FS 不需要對AD DS進行架構變更或功能等級修改。
功能層級需求
大部分的AD FS功能不需要AD DS功能等級的修改才能順利運作。 不過,如果憑證明確對應至 AD DS 中的用戶帳戶,則需要 Windows Server 2008 網域功能等級或更高層級,用戶端憑證驗證才能成功運作。
服務帳戶需求
如果您要建立同盟伺服器陣列,您必須先在AD DS中建立同盟服務可以使用的專用網域服務帳戶。 稍後,您會將伺服器陣列中的每個同盟伺服器設定為使用此帳戶。 如需如何執行這項作的詳細資訊,請參閱AD FS部署指南中的 手動設定同盟伺服器陣列的服務帳戶。
LDAP
當您使用其他輕量型目錄存取通訊協定 (LDAP) 屬性存放區時,您必須連線到支援 Windows 整合式驗證的 LDAP 伺服器。 LDAP 連接字串也必須以LDAP URL的格式撰寫,如 RFC 2255 中所述。
SQL Server
若要讓 AD FS 能夠順利運作,裝載結構化查詢語言 (SQL) Server 屬性存放區的電腦必須執行Microsoft SQL Server 2005 或 SQL Server 2008。 當您使用 SQL 屬性存放區時,也必須設定連接字串。
自訂屬性存放區
您可以開發自定義屬性存放區,以啟用進階案例。 AD FS 內建的原則語言可以參考自定義屬性存放區,以便增強下列任何案例:
為本機驗證的使用者建立宣稱
補充外部已驗證使用者的宣稱
授權使用者取得令牌
授權服務取得用戶行為上的令牌
當您使用自訂屬性存放區時,您可能也必須設定連接字串。 在此情況下,您可以輸入任何您想要的自定義程式代碼,以便連線到您的自訂屬性存放區。 在此情況下,連接字串是一組名稱/值對,這些將根據自定義屬性存放區開發人員的實作方式進行解釋。
如需開發和使用自訂屬性存放區的詳細資訊,請參閱 屬性存放區概觀。
應用程式需求
同盟伺服器可以與同盟應用程式通訊並保護同盟應用程式,例如宣告感知應用程式。
驗證需求
AD FS 自然會與現有的 Windows 驗證整合,例如 Kerberos 驗證、NTLM、智慧卡和 X.509 v3 用戶端憑證。 同盟伺服器會使用標準 Kerberos 驗證,對網域驗證使用者。 用戶端可以根據您設定驗證的方式,使用表單型驗證、智慧卡驗證和 Windows 整合式驗證進行驗證。
AD FS 同盟伺服器 Proxy 角色可讓使用者使用 SSL 用戶端驗證在外部進行驗證。 您也可以將同盟伺服器角色設定為需要 SSL 用戶端驗證,不過通常是透過設定 Windows 整合式驗證的帳戶同盟伺服器來達成最順暢的用戶體驗。 在此情況下,AD FS 無法控制使用者針對 Windows 桌面登入所採用的認證。
智慧卡登入
雖然AD FS可以強制執行用於驗證的認證類型(密碼、SSL用戶端驗證或 Windows 整合式驗證),但不會直接使用智慧卡強制執行驗證。 因此,AD FS 不提供用戶端使用者介面 (UI) 來取得智慧卡個人標識碼 (PIN) 認證。 這是因為 Windows 型用戶端刻意不會提供使用者認證詳細數據給同盟伺服器或網頁伺服器。
智慧卡驗證
智慧卡驗證會使用 Kerberos 通訊協定向帳戶同盟伺服器進行驗證。 無法擴充AD FS以新增驗證方法。 智慧卡中的憑證不需要鏈結至用戶端計算機上受信任的根目錄。 搭配AD FS使用智慧卡型憑證需要下列條件:
智慧卡的讀取器和密碼編譯服務提供者 (CSP) 必須在瀏覽器所在的電腦上運作。
智慧卡憑證必須鏈結至帳戶同盟伺服器和帳戶同盟伺服器 Proxy 上的受信任根目錄。
憑證必須透過下列其中一種方法對應至 AD DS 中的用戶帳戶:
憑證主體名稱會對應至 AD DS 中用戶帳戶的 LDAP 辨別名稱。
憑證主體別名擴充功能具有 AD DS 中使用者帳戶的使用者主要名稱(UPN)。
若要在某些案例中支援某些驗證強度需求,您也可以設定 AD FS 來建立宣告,指出使用者如何進行驗證。 受信者接著可以使用此聲明來進行授權決策。
另請參閱
Windows Server 2012 中的 AD FS 設計指南