建立同盟伺服器 Proxy 的時機
在您的組織中建立一台同盟伺服器 Proxy 可為您的 Active Directory 同盟服務 (AD FS) 部署增加額外的安全層。 當您想要達到以下目的時,請考慮在您的組織的周邊網路中部署一台同盟伺服器 Proxy:
防止外部用戶端電腦直接存取您的同盟伺服器。 在周邊網路中部署同盟伺服器 Proxy,可讓您有效隔離同盟伺服器,使其只能由透過同盟伺服器 Proxy 登入公司網路而代表外部用戶端電腦運作的用戶端電腦存取。 同盟伺服器 Proxy 無法存取用來產生權杖的私密金鑰。 如需詳細資訊,請參閱 Where to Place a Federation Server Proxy。
提供便利的方式,以區別來自網際網路的使用者 (相對於來自您的公司網路、使用 Windows 整合式驗證之使用者的登入體驗。 同盟伺服器 Proxy 會使用同盟伺服器 Proxy 上所儲存的登入、登出和身分識別提供者探索 (homerealmdiscovery.aspx) 頁面,從網際網路用戶端電腦收集認證或主領域的詳細資料。
相較之下,來自公司網路的用戶端電腦會有不同的體驗,視同盟伺服器的設定而定。 公司網路同盟伺服器通常是針對 Windows 整合式驗證而設定的,可為公司網路的使用者提供順暢的登入體驗。
同盟伺服器 Proxy 在您的組織中所扮演的角色,取決於您將同盟伺服器 Proxy 放置在帳戶夥伴組織中或資源夥伴組織中。 例如,當同盟伺服器 Proxy 位於帳戶夥伴的周邊網路時,其角色將是從瀏覽器用戶端收集使用者認證資訊。 當同盟伺服器 Proxy 位於資源夥伴的周邊網路時,它則會將安全性權杖要求轉送到資源同盟伺服器,並產生組織的安全性權杖以回應由其帳戶夥伴所提供的安全性權杖。
如需詳細資訊,請參閱 Review the Role of the Federation Server Proxy in the Account Partner 和 Review the Role of the Federation Server Proxy in the Resource Partner
如何建立同盟伺服器 Proxy
您可以使用 AD FS 同盟伺服器 Proxy 設定精靈或 Fsconfig.exe 命令列工具來建立同盟伺服器 Proxy。 如需有關如何執行這項操作的指示,請參閱 Configure a Computer for the Federation Server Proxy Role。
如需如何設定部署同盟伺服器 Proxy 所需之所有必要項目的一般資訊,請參閱 Checklist: Setting Up a Federation Server Proxy。