檢閱帳戶夥伴中的同盟伺服器 Proxy 的角色
Active Directory 同盟服務 (AD FS) 中帳戶夥伴組織周邊網路中同盟伺服器 Proxy 的主要角色是從透過網際網路登入的用戶端電腦收集驗證認證,並將這些認證傳遞至位於帳戶夥伴組織公司網路內的同盟伺服器。 用戶端電腦的帳戶會儲存在帳戶夥伴的屬性存放區。
同盟伺服器 Proxy 也可以以下列一或多個角色運作,根據您如何設定它以符合帳戶夥伴組織需求的方式而定:
轉送安全性權杖 - 同盟伺服器發出安全性權杖至同盟伺服器 Proxy,然後將權杖轉送至用戶端電腦。 安全性權杖是用來為該用戶端電腦提供存取權給特定的信賴憑證者。
收集認證 - 同盟伺服器 Proxy 會使用預設用戶端登入 Web 表單 (clientlogon.aspx) 來收集透過表單型驗證的密碼認證。 不過,您可以自訂此表單以接受支援的其他類型驗證,例如安全通訊端層 (SSL) 用戶端驗證。 如需如何自訂此頁面的詳細資訊,請參閱<自訂用戶端登入和首頁領域探索頁面>(http://go.microsoft.com/fwlink/?LinkId=104275)。 同盟伺服器 Proxy 不接受透過 Windows 整合式驗證的憑證。
總結來說,帳戶夥伴中的同盟伺服器 Proxy 可作為用戶端登入公司網路中同盟伺服器的 Proxy。 同盟伺服器 Proxy 還有助於以信賴憑證者為目標的網際網路用戶端的安全性權杖發佈。
警告
在帳戶夥伴外部網路上公開同盟伺服器 Proxy 會使得具有網際網路存取的任何人可存取用戶端登入 Web 表單。 這可能會讓您的組織容易遭受部分密碼型攻擊,例如字典攻擊或可以觸發公司 Active Directory 網域服務 (AD DS) 中儲存的使用者帳戶的帳戶鎖定的暴力密碼破解攻擊。