Windows Server 2008 R2
AD FS 配置指南
Active Directory® 联合身份验证服务 (AD FS) 是可以在 Windows Server® 2008 R2 操作系统中安装的服务器角色。可使用 AD FS 服务器角色创建可高度扩展、可通过 Internet 升级和安全的身份访问解决方案,此解决方案可在多个平台上工作,包括 Microsoft® Windows® 环境和非 Windows 环境。
关于本指南
本指南提供了在 Hyper-V™ 测试实验室中针对运行 Windows Server 2008 R2 的计算机的设置 AD FS 的说明。它介绍如何安装和测试单个声明感知应用程序。有关设置 Hyper-V 服务器的详细信息,请参阅“用 Hyper-V 虚拟化”(http://go.microsoft.com/fwlink/?LinkId=126326)(可能为英文网页)。
可以使用本指南中的代码创建一个示例声明感知应用程序。不需要使用任何其他下载内容。本指南中的说明大概需要花费两个小时才能完成。
可以使用该测试实验室环境评估 AD FS 技术以及评估如何在组织中部署该技术。当完成本指南的步骤后,您将能够:
∙ 设置四台计算机(一个客户端计算机、一个启用了 AD FS 的 Web 服务器和两台联合身份验证服务器),以参与两个虚构公司(A. Datum Corporation 和 Trey Research)之间的 AD FS 联合身份验证。
∙ 创建两个林,以用作联合用户的指定帐户存储。每个林将代表一个虚构公司。
∙ 使用 AD FS 在两个公司之间建立联合信任关系。
∙ 使用 AD FS 创建、填充和映射声明。
∙ 为一个公司的用户提供访问位于另一个公司的声明感知应用程序的联合访问权限。
为尽可能成功地完成本指南中的目标,请务必执行以下所有操作:
∙ 按顺序执行本指南中的步骤。
∙ 使用指定的精确 IP 地址。
∙ 使用指定的准确计算机名、用户名、组名、公司名、声明名和域名。
∙ 如果使用虚拟化软件时失败,请尝试使用四台连接到专用网络上的单个计算机。
Microsoft 已使用 Hyper-V 软件成功测试本指南。对这些配置详细信息所做的任何修改都可能会影响或限制首次尝试时成功设置此实验室的可能性。
Windows Server 2008 R2 中的 AD FS 的要求
若要完成本指南中的这些步骤,必须配置四台使用以下操作系统的测试计算机:
∙ Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter,用于联合身份验证服务器
∙ Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter,用于启用了 AD FS 的 Web 服务器
∙ Windows 7,用于 AD FS 客户端计算机。
步骤 1:预安装任务
更新时间: 2009年1月
应用到: Windows Server 2008 R2
在安装 Active Directory 联合身份验证服务 (AD FS) 之前,请先对将用于评估 AD FS 技术的四个主要虚拟机 (VM) 进行设置。
预安装任务包括以下内容:
∙ 配置计算机操作系统和网络设置
∙ 安装并配置 AD DS
管理凭据
若要执行本步骤中的所有任务,请使用本地 Administrator 帐户逐个登录这四台计算机。若要在 Active Directory 域服务 (AD DS) 中创建帐户,请使用域的 Administrator 帐户进行登录。
配置计算机操作系统和网络设置
参照下表设置完成本指南中步骤所需的适当计算机名称、操作系统和网络设置。
| ||||
在将计算机配置为使用静态 IP 地址之前,建议先执行以下操作: ∙ 配置三台新的可用内存至少为 512 MB 的虚拟机。 ∙ 在每台计算机尚可连接到 Internet 时完成 Windows 7 和 Windows Server 2008 R2 的产品激活过程。 ∙ 确保每台计算机上的所有时钟都设置为同一时间或彼此相差不超过五分钟。确保令牌时间戳始终有效,这一点很重要。 | ||||
计算机名称 | AD FS 客户端/服务器角色 | 操作系统要求 | IPv4 设置 | DNS 设置 |
adfsclient | 客户端 | Windows 7 | IP 地址: 192.168.1.1 子网掩码: 255.255.255.0 | 首选: 192.168.1.3 备用: 192.168.1.4 |
adfsweb | Web 服务器 | Windows Server 2008 R2 Standard 或者Windows Server 2008 R2 Enterprise | IP 地址: 192.168.1.2 子网掩码: 255.255.255.0 | 首选: 192.168.1.4 |
adfsaccount | 联合身份验证服务器和域控制器 | Windows Server 2008 R2 Enterprise | IP 地址: 192.168.1.3 子网掩码: 255.255.255.0 | 首选: 192.168.1.3 |
adfsresource | 联合身份验证服务器和域控制器 | Windows Server 2008 R2 Enterprise | IP 地址: 192.168.1.4 子网掩码: 255.255.255.0 | 首选: 192.168.1.4 |
务必在客户端上分别设置首选和备用域名系统 (DNS) 服务器这两项设置。如果未按指定要求配置这两种类型的值,则 AD FS 方案将无法正常运行。
安装并配置 AD DS
本节包括以下过程:
∙ 安装 AD DS
∙ 创建帐户
∙ 将测试计算机加入相应的域
安装 AD DS
可以使用添加角色向导分别在两个联合身份验证服务器上新建一个 AD DS 林。在向导页中键入值时,请使用下表中的公司名称和 AD DS 域名。若要启动添加角色向导,请依次单击「开始」、“管理工具”、“服务器管理器”,然后单击右侧窗格中的“添加角色”。
|
在尝试安装 AD DS 之前,请先按照上表中的指定要求配置 IP 地址。这有助于确保适当配置 DNS 记录。 |
作为最佳安全操作,在生产环境下不要将域控制器同时作为联合身份验证服务器和域控制器运行。
计算机名称 | 公司名称 | AD DS 域名 (新林) | DNS 配置 |
adfsaccount | A. Datum Corporation | adatum.com | 在出现系统提示时安装 DNS。 |
adfsresource | Trey Research | treyresearch.net | 在出现系统提示时安装 DNS。 |
在本指南中,A. Datum 代表帐户伙伴组织,Trey Research 代表资源伙伴组织。
创建帐户
设置了两个林后,启动“Active Directory 用户和计算机”管理单元,以创建某些可用于测试和验证跨这两个林进行联合访问的帐户。在 adfsaccount 计算机上配置下表中的值。
要创建的对象 | 名称 | 用户名 | 操作 |
安全全局组 | TreyClaimAppUsers | 不适用 | 不适用 |
用户 | Alan Shen | alansh (alansh 充当将要访问声明感知应用程序的联合用户。) | 使 alansh 成为 TreyClaimAppUsers 全局组的成员 |
将测试计算机加入相应的域
使用下表中的值来指定哪些计算机将加入哪个域。在 adfsclient 和 adfsweb 计算机上执行此操作。
| |
可能必须对这两个域控制器禁用防火墙,才能将以下计算机加入相应的域。 | |
计算机名称 | 加入 |
adfsclient | adatum.com |
adfsweb | treyresearch.net |
步骤 2:安装 AD FS 角色服务并配置证书
更新时间: 2009年1月
应用到: Windows Server 2008 R2
此时您已完成计算机配置并将其加入到域中,现在即可在每台服务器上安装 Active Directory 联合身份验证服务 (AD FS) 角色服务。此步骤包括以下过程:
∙ 安装联合身份验证服务
∙ 配置两个联合身份验证服务器上的 IIS 以要求 SSL
∙ 安装 AD FS Web 代理
∙ 创建、导出和导入证书
管理凭据
若要执行本步骤中的所有过程,请使用域的 Administrator 帐户登录到 adfsaccount 计算机和 adfsresource 计算机。使用本地 Administrator 帐户登录到 adfsweb 计算机。
按照下面的过程在 adfsaccount 计算机和 adfsresource 计算机上安装 AD FS 的联合身份验证服务组件。在计算机上安装联合身份验证服务后,该计算机就成了联合身份验证服务器。
此联合身份验证服务安装过程将引导您完成为每台联合身份验证服务器新建信任策略文件、自签名安全套接字层 (SSL) 证书和令牌签名证书的过程。
1. 单击「开始」,指向“管理工具”,然后单击“服务器管理器”。
2. 右键单击“角色”,然后单击“添加角色”以启动添加角色向导。
3. 在“开始之前”页上,单击“下一步”。
4. 在“选择服务器角色”页上,单击“Active Directory 联合身份验证服务”。单击两次“下一步”。
5. 在“选择角色服务”页上,选中“联合身份验证服务”复选框。如果提示您安装其他 Web 服务器 (IIS) 或 Windows 进程激活服务角色服务,则单击“添加必需的角色服务”安装它们,然后单击“下一步”。
6. 在“选择 SSL 加密的服务器身份验证证书”页上,单击“为 SSL 加密创建自签名证书”,然后单击“下一步”。
7. 在“选择令牌签名证书”页上,单击“创建自签名令牌签名证书”,然后单击“下一步”。
8. 在“选择信任策略”页上,单击“新建信任策略”,然后单击“下一步”两次。
9. 在“选择角色服务”页上,单击“下一步”以接受默认值。
10. 验证“确认安装选择”页上的信息,然后单击“安装”。
11. 在“安装结果”页上,确认所有内容均已正确安装,然后单击“关闭”。
按照下面的过程将 adfsresource 和 adfsaccount 这两个联合身份验证服务器默认网站的 Internet 信息服务 (IIS) 配置为要求 SSL。
1. 单击「开始」,指向“管理工具”,然后单击“Internet 信息服务(IIS)管理器”。
2. 在控制台树中,依次双击 ADFSACCOUNT 和“站点”,然后单击“默认网站”。
3. 在“操作”窗格中,单击“绑定”。
4. 在“站点绑定”对话框中,单击“添加”。
5. 在“类型”中,单击 https。
6. 在“SSL 证书”下,依次单击 adfsaccount.adatum.com、“确定”和“关闭”。
7. 在中心窗格中,双击“SSL 设置”,然后选中“要求 SSL”复选框。
8. 在“客户端证书”下,单击“接受”,然后单击“应用”。
1. 单击「开始」,指向“管理工具”,然后单击“Internet 信息服务(IIS)管理器”。
2. 在控制台树中,依次双击 ADFSRESOURCE 和“站点”,然后单击“默认网站”。
3. 在中心窗格中,双击“SSL 设置”,然后选中“要求 SSL”复选框。
4. 在“客户端证书”下,单击“接受”,然后单击“应用”。
按照下面的过程在 Web 服务器 (adfsweb) 上安装声明感知 Web 代理。
1. 单击「开始」,指向“管理工具”,然后单击“服务器管理器”。
2. 右键单击“角色”,然后单击“添加角色”以启动添加角色向导。
3. 在“开始之前”页上,单击“下一步”。
4. 在“选择服务器角色”页上,单击“Active Directory 联合身份验证服务”。单击两次“下一步”。
5. 在“选择角色服务”页上,选中“声明感知代理”复选框。如果提示您安装其他 Web 服务器 (IIS) 或 Windows 进程激活服务角色服务,则单击“添加必需的角色服务”安装它们,然后单击“下一步”。
6. 在“Web 服务器(IIS)”页上,单击“下一步”。
7. 在“选择角色服务”页上,除预先选中的复选框以外,还要选中“客户端证书映射身份验证”和“IIS 管理控制台”复选框,然后单击“下一步”。
如果选中“客户端证书映射身份验证”复选框,系统将安装在创建自签名服务器所要求的身份验证证书时 IIS 必须具有的组件。
8. 在验证了“确认安装选择”页上的信息后,单击“安装”。
9. 在“安装结果”页上,确认所有内容均已正确安装,然后单击“关闭”。
Web 服务器和联合身份验证服务器设置成功最重要的因素是正确创建并导出所需证书。因为之前使用添加角色向导已为两个联合身份验证服务器创建了服务器身份验证证书,所以此时只需为 adfsweb 计算机创建服务器身份验证证书。本节包括以下过程:
∙ 为 adfsweb 创建服务器身份验证证书
∙ 将 adfsaccount 中的令牌签名证书导出到文件
∙ 将 adfsresource 服务器身份验证证书导出到文件
∙ 将 adfsresource 的服务器身份验证证书导入 adfsweb
|
在生产环境下,应从证书颁发机构 (CA) 获取证书。在本指南中为了测试实验部署,将使用自签名证书。 |
按照下面的过程在 Web 服务器 (adfsweb) 上创建自签名服务器身份验证证书。
1. 单击「开始」,指向“管理工具”,然后单击“Internet 信息服务(IIS)管理器”。
2. 在控制台树中,单击 ADFSWEB。
3. 在中心窗格中,双击“服务器证书”。
4. 在“操作”窗格中,单击“创建自签名证书”。
5. 在“创建自签名证书”对话框中,键入 adfsweb,然后单击“确定”。
按照下面的过程在帐户联合服务器 (adfsaccount) 上将 adfsaccount 中的令牌签名证书导出到文件。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 右键单击“联合身份验证服务”,然后单击“属性”。
3. 在“常规”选项卡上,单击“查看”。
4. 在“详细信息”选项卡上,单击“复制到文件”。
5. 在“欢迎使用证书导出向导”页上,单击“下一步”。
6. 在“导出私钥”页上,单击“否,不导出私钥”,然后单击“下一步”。
7. 在“导出文件格式”页上,单击“DER 编码二进制 X.509 (.CER)”,然后单击“下一步”。
8. 在“要导出的文件”页上,键入 d:\adfsaccount_ts.cer,然后单击“下一步”。
|
稍后当帐户伙伴向导提示您提供帐户伙伴验证证书时,将 adfsaccount 令牌签名证书导入 adfsresource。(请参阅步骤 4:配置联合服务器。)此时,将通过网络访问 adfsresource 来获取此文件。 |
9. 在“完成证书导出向导”上,单击“完成”。
仅当 Web 服务器 (adfsweb) 信任资源联合身份验证服务器 (adfsresource) 的根证书时,资源联合身份验证服务器和 Web 服务器之间才能正常通信。
|
因为默认情况下会启用证书吊销列表 (CRL) 检查,所以 Web 服务器必须信任资源联合身份验证服务器的根证书。可以通过禁用 CRL 检查来删除此依赖关系,但在本指南未介绍禁用 CRL 检查的过程。禁用 CRL 检查可能会破坏 AD FS 的完整性。因此,在生产环境下建议不要这么做。有关如何禁用 CRL 检查的详细信息,请参阅“启用或禁用 CRL 检查”(http://go.microsoft.com/fwlink/?LinkId=68608)(可能为英文网页)。 |
由于在本指南介绍的方案中使用的是自签名证书,因此服务器身份验证证书是根证书。因此,必须通过将资源联合服务器 (adfsresource) 身份验证证书导出到文件,然后将该文件导入 Web 服务器 (adfsweb) 来建立此信任关系。若要将 adfsresource 服务器身份验证证书导出到文件,请在 adfsresource 上执行下面的过程。
1. 单击「开始」,指向“管理工具”,然后单击“Internet 信息服务(IIS)管理器”。
2. 在控制台树中,单击 ADFSRESOURCE。
3. 在中心窗格中,双击“服务器证书”。
4. 在中心窗格中,右键单击 adfsresource.treyresearch.net,然后单击“导出”。
5. 在“导出证书”对话框中,单击 … 按钮。
6. 在“文件名”中,键入 d:\adfsresource,然后单击“打开”。
|
在下一过程中必须将此证书导入 adfsweb。所以,需允许 adfsweb 通过网络访问此文件。 |
7. 为证书键入一个密码,确认该密码,然后单击“确定”。
若要导入 adfsresource 的服务器身份验证证书,请在 Web 服务器 (adfsweb) 上执行下面的过程。
1. 依次单击「开始」、“运行”,键入 mmc,然后单击“确定”。
2. 单击“文件”,然后单击“添加/删除管理单元”。
3. 选择“证书”,依次单击“添加”和“计算机帐户”,然后单击“下一步”。
4. 依次单击“本地计算机: (运行此控制台的计算机)”和“完成”,然后单击“确定”。
5. 在控制台树中,依次双击“证书(本地计算机)”图标和“受信任的根证书颁发机构”文件夹,再右键单击“证书”,指向“所有任务”,然后单击“导入”。
6. 在“欢迎使用证书导入向导”页上,单击“下一步”。
7. 在“要导入的文件”页上,键入 \\adfsresource\d$\adfsresource.pfx,然后单击“下一步”。
|
可能必须映射网络驱动器才能获得 adfsresource.pfx 文件。也可以将 adfsresource.pfx 文件直接从 adfsresource 复制到 adfsweb,然后将向导指向该位置。 |
8. 在“密码”页上,键入 adfsresource.pfx 文件的密码,然后单击“下一步”。
9. 在“证书存储”页上,单击“将所有的证书放入下列存储”,然后单击“下一步”。
10. 在“正在完成证书导入向导”页上,验证提供的信息是否正确,然后单击“完成”。
步骤 3:配置 Web 服务器
更新时间: 2009年1月
应用到: Windows Server 2008 R2
本步骤介绍了在 Web 服务器 (adfsweb) 上设置声明感知应用程序的过程。可以使用以下过程来配置 Internet 信息服务 (IIS) 和声明感知应用程序:
∙ 配置 Web 服务器上的 IIS
∙ 创建并配置声明感知应用程序
管理凭据
若要执行本步骤中的所有过程,请使用本地 Administrator 帐户登录到 adfsweb。
按照下面的过程来配置 Web 服务器 (adfsweb) 上的 IIS。
1. 单击「开始」,指向“管理工具”,然后单击“Internet 信息服务(IIS)管理器”。
2. 在控制台树中,依次双击 ADFSWEB 和“站点”,然后单击“默认网站”。
3. 在“操作”窗格中,单击“绑定”。
4. 在“站点绑定”对话框中,单击“添加”。
5. 在“类型”中,单击 https。
6. 在“SSL 证书”下,依次单击 adfsweb 和“确定”,然后单击“关闭”。
7. 在中心窗格中,双击“SSL 设置”,然后选中“要求 SSL”复选框。
8. 在“客户端证书”下,单击“接受”,然后单击“应用”。
按照下面的过程将 Web 服务器 (adfsweb) 配置为承载示例声明感知应用程序。
1. 单击「开始」,指向“管理工具”,然后单击“Internet 信息服务(IIS)管理器”。
2. 在控制台树中,依次双击 ADFSWEB 和“站点”,再右键单击“默认网站”,然后单击“添加应用程序”。
3. 在“添加应用程序”对话框的“别名”中,键入 claimapp。
4. 单击“选择”,在下拉菜单中选择“经典 .NET AppPool”,然后单击“确定”。
5. 单击 … 按钮,然后突出显示 d:\inetpub\wwwroot 文件夹。
6. 单击“新建文件夹”,将文件夹命名为 claimapp,单击“确定”,然后再次单击“确定”。
|
不要在 claimapp 文件夹名称中使用大写字母。如果文件夹名称包含大写字母,则用户在键入网站地址时也必须使用大写字母。 |
7. 按照附录:创建示例声明感知应用程序 中的过程创建用于构成示例声明感知应用程序的三个文件。创建完这三个文件之后,将其复制到 d:\inetpub\wwwroot\claimapp 文件夹中。
步骤 4:配置联合服务器
更新时间: 2009年1月
应用到: Windows Server 2008 R2
此时您已安装完 Active Directory 联合身份验证服务 (AD FS) 并为示例声明感知应用程序配置了 Web 服务器,下一步将在联合身份验证服务器上分别为 A. Datum Corporation 和 Trey Research 配置联合身份验证服务。在此步骤中,您将完成以下任务:
∙ 使 Trey Research 的联合身份验证服务能够感知声明感知应用程序。
∙ 将帐户存储和组声明添加到相应的联合身份验证服务中。
∙ 配置每个组声明以使其映射到相应林的 Active Directory 域服务 (AD DS) 组中。
本步骤包含以下任务:
∙ 配置 A. Datum Corporation 的联合身份验证服务
∙ 配置 Trey Research 的联合身份验证服务
∙ 使用导入和导出功能创建双方联合身份验证信任
管理凭据
若要执行本步骤中的所有过程,请使用域的 Administrator 帐户登录到 adfsaccount 计算机和 adfsresource 计算机。
本节包括以下过程:
∙ 配置 A. Datum 信任策略
∙ 创建声明感知应用程序的组声明
∙ 添加并配置 AD DS 帐户存储
按照下面的过程在 adfsaccount 计算机上为 A. Datum Corporation 的联合身份验证服务配置信任策略。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 在控制台树中,双击“联合身份验证服务”,右键单击“信任策略”,然后单击“属性”。
3. 在“常规”选项卡上的“联合身份验证服务 URI”中,键入 urn:federation:adatum。
|
该值区分大小写。 |
4. 在“联合身份验证服务终结点 URL”文本框中,确认已显示 https://adfsaccount.adatum.com/adfs/ls/。
5. 在“显示名称”选项卡上的“此信任策略的显示名称”中,键入 A. Datum(该字段中可能已存在的任意值将替换为 A. Datum),然后单击“确定”。
按照下面的过程创建一个将用于身份验证到 treyresearch.net 林的组声明。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”,右键单击“组织声明”,指向“新建”,然后单击“组织声明”。
3. 在“新建组织声明”对话框的“声明名称”中,键入 Trey ClaimApp Claim。
4. 确保已选择“组声明”,然后单击“确定”。
按照下面的过程为 A. Datum Corporation 的联合身份验证服务添加 AD DS 帐户存储。
∙ 添加 AD DS 帐户存储
∙ 将全局组映射到声明感知应用程序的组声明
按照下面的过程添加 AD DS 帐户存储。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”,右键单击“帐户存储”,指向“新建”,然后单击“帐户存储”。
3. 在“欢迎使用添加帐户存储向导”页上,单击“下一步”。
4. 在“帐户存储类型”页上,确保已选择“Active Directory 域服务”,然后单击“下一步”。
|
只能有一个与联合身份验证服务关联的 AD DS 存储。如果 AD DS 选项不可用,则已为该联合身份验证服务创建了一个 AD DS 存储。 |
5. 在“启用此帐户存储”页上,确保已选中“启用此帐户存储”复选框,然后单击“下一步”。
6. 在“完成添加帐户存储向导”页上,单击“完成”。
按照下面的过程将 AD DS 全局组映射到 Trey ClaimApp Claim 组声明中。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”和“帐户存储”,然后右键单击 Active Directory,指向“新建”,然后单击“组声明提取”。
3. 在“新建组声明提取”对话框中,单击“添加”,键入 treyclaimappusers,然后单击“确定”。
4. 确保“映射到此组织声明”菜单中已显示 Trey ClaimApp Claim,然后单击“确定”。
本节包括以下过程:
∙ 配置 Trey Research 信任策略
∙ 创建声明感知应用程序的组声明
∙ 添加 AD DS 帐户存储
∙ 添加并配置声明感知应用程序
按照下面的过程在 adfsresource 计算机上为 Trey Research 中的联合身份验证服务配置信任策略。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 在控制台树中,双击“联合身份验证服务”,右键单击“信任策略”,然后单击“属性”。
3. 在“常规”选项卡上的“联合身份验证服务 URI”中,键入 urn:federation:treyresearch。
|
该值区分大小写。 |
4. 在“联合身份验证服务终点 URL”文本框中,确认已显示 https://adfsresource.treyresearch.net/adfs/ls/。
5. 在“显示名称”选项卡上的“此信任策略的显示名称”中,键入 Trey Research(该字段中可能已存在的任意值将替换为 Trey Research),然后单击“确定”。
按照下面的过程创建一个将用于代表 adatum.com 林中的用户对示例声明感知应用程序作出授权决定的组声明。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”,右键单击“组织声明”,指向“新建”,然后单击“组织声明”。
3. 在“新建组织声明”对话框的“声明名称”中,键入 Adatum ClaimApp Claim。
4. 确保已选择“组声明”,然后单击“确定”。
按照下面的过程为 Trey Research 的联合身份验证服务添加 AD DS 帐户存储。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”,右键单击“帐户存储”,指向“新建”,然后单击“帐户存储”。
3. 在“欢迎使用添加帐户存储向导”页上,单击“下一步”。
4. 在“帐户存储类型”页上,确保已选择“Active Directory 域服务”,然后单击“下一步”。
5. 在“启用此帐户存储”页上,确保已选中“启用此帐户存储”复选框,然后单击“下一步”。
6. 在“完成添加帐户存储向导”页上,单击“完成”。
按照下面的过程在 adfsresource 计算机上为 Trey Research 的联合身份验证服务添加声明感知应用程序。
∙ 添加声明感知应用程序
∙ 启用 Adatum ClaimApp Claim
按照下面的过程将声明感知应用程序添加到联合身份验证服务中。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”,然后右键单击“应用程序”,指向“新建”,然后单击“应用程序”。
3. 在“欢迎使用添加应用程序向导”页上,单击“下一步”。
4. 在“应用程序类型”页上,单击“声明感知应用程序”,然后单击“下一步”。
5. 在“应用程序详细信息”页上的“应用程序显示名称”中,键入“声明感知应用程序”。
6. 在“应用程序 URL”中,键入 https://adfsweb.treyresearch.net/claimapp/,然后单击“下一步”。
7. 在“接受的标识声明”页上,单击“用户主体名称(UPN)”,然后单击“下一步”。
8. 在“启用此应用程序”页上,确保已选中“启用此应用程序”复选框,然后单击“下一步”。
9. 在“正在完成添加应用程序向导”页上,单击“完成”。
此时联合身份验证服务已经可以识别该应用程序,接下来按照下面的过程对该应用程序启用 Adatum ClaimApp Claim 组声明。
1. 在“应用程序”文件夹中,单击“声明感知应用程序”。
2. 右键单击 Adatum ClaimApp Claim,然后单击“启用”。
由于在 Windows Server 2008 R2 中改进了基于策略的导出和导入功能,因此在其中创建伙伴组织之间的联合信任比在早期 Windows 操作系统中创建更加容易。在本部分中,将使用导入和导出功能在 A. Datum 与 Trey Research 组织之间交换策略文件,以便成功创建联合身份验证信任。
有关导入和导出功能工作原理的详细信息,请参阅“Active Directory 联合身份验证服务角色”(http://go.microsoft.com/fwlink/?LinkId=104518)(可能为英文网页)。
本节包括以下过程:
∙ 从 A. Datum 导出信任策略
∙ 将 A. Datum 信任策略导入 Trey Research
∙ 在 Trey Research 中创建声明映射
∙ 从 Trey Research 导出伙伴策略
∙ 将 Trey Research 伙伴策略导入 A. Datum
在 A. Datum 的 adfsaccount 计算机上,按照下面的过程导出信任策略数据。在下一过程中,在创建 A. Datum 与 Trey Research 之间联合身份验证信任关系中的一方时将使用该数据。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 双击“联合身份验证服务”,再右键单击“信任策略”,然后单击“导出基本伙伴策略”。
3. 在“导出基本伙伴策略”对话框中单击“浏览”,在“文件名”中键入 d:\adfsaccount,单击“保存”,然后单击“确定”。
|
在实际的 AD FS 生产环境下,A. Datum 的管理员此时会通过电子邮件或其他方式向 Trey Research 的资源伙伴管理员发送导出的策略文件。 |
在 Trey Research 的 adfsresource 计算机上,按照下面的过程导入成功创建联合身份验证信任关系中的一方所必需的 A. Datum 信任策略数据,并将 A. Datum 作为帐户伙伴添加到 Trey Research 信任策略中。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”和“伙伴组织”,再右键单击“帐户伙伴”,指向“新建”,然后单击“帐户伙伴”。
3. 在“欢迎使用添加帐户伙伴向导”页上,单击“下一步”。
4. 在“导入策略文件”页的“伙伴互操作策略文件”下,键入 \\adfsaccount\d$\adfsaccount.xml,单击“是”,然后单击“下一步”。
5. 在“帐户伙伴详细信息”页上,确保以下内容:
∙ “显示名称”显示的是 A. Datum。
∙ “联合身份验证服务 URI”显示的是 urn:federation:adatum。
∙ “联合身份验证服务终结点 URL”显示的是 https://adfsaccount.adatum.com/adfs/ls/,然后单击“下一步”。
6. 在“帐户伙伴验证证书”页上,确保已选择“在导入策略文件中使用验证证书”,然后单击“下一步”。
7. 在“联合身份验证方案”页上,确保已选择“联合 Web SSO”,然后单击“下一步”。
8. 在“帐户伙伴标识声明”页上,确保已选中“UPN 声明”和“电子邮件声明”复选框,然后单击“下一步”。
9. 在“接受的 UPN 后缀”页上,键入 adatum.com,单击“添加”,然后单击“下一步”。
10. 在“接受的电子邮件后缀”页上,键入 adatum.com,单击“添加”,然后单击“下一步”。
11. 在“启用此帐户伙伴”页上,确保已选中“启用此帐户伙伴”复选框,然后单击“下一步”。
12. 在“完成添加帐户伙伴向导”页上,单击“完成”。
在 Trey Research 的 adfsresource 计算机上,按照下面的过程创建一个可用于示例声明感知应用程序的传入组声明映射。在下一过程中,会将此声明映射和其他与此联合信任关系的创建有关的策略数据一起导出到 A. Datum。
|
在 A. Datum 中,导入来自 Trey Research 的策略数据时,系统将提示您基于在本过程中创建的传入组声明映射的名称 (ClaimAppMapping) 自动创建传出组声明映射。此部分的导入过程有助于防止书写错误。 |
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”、“伙伴组织”和“帐户伙伴”,再右键单击 A. Datum,指向“新建”,然后单击“传入组声明映射”。
3. 在“新建传入组声明映射”对话框的“传入组声明名称”中,键入 ClaimAppMapping。
|
该值区分大小写。该值必须与在帐户伙伴组织 (A. Datum) 的传出组声明映射中指定的值完全匹配。 |
4. 在“组织组声明”中,单击 Adatum ClaimApp Claim,然后单击“确定”。
在 Trey Research 的 adfsresource 计算机上,按照下面的过程导出 Trey Research 伙伴策略数据。在下一过程中,在创建联合身份验证信任关系的另一方时将使用该数据。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”、“伙伴组织”和“帐户伙伴”,再右键单击 A. Datum,然后单击“导出策略”。
3. 在“导出伙伴策略”对话框中单击“浏览”,在“文件名”中键入 d:\adfsresource,单击“保存”,然后单击“确定”。
|
在实际的 AD FS 生产环境下,Trey Research 的管理员此时会通过电子邮件或其他方式向帐户伙伴管理员发送导出的伙伴策略文件。 |
在 A. Datum 的 adfsaccount 计算机上,按照下面的过程导入所需的 Trey Research 伙伴策略数据,以便可以成功创建联合身份验证信任关系中的另一方,并将 Trey Research 作为资源伙伴添加到 A. Datum 信任策略中。
1. 单击「开始」,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”。
2. 依次双击“联合身份验证服务”、“信任策略”和“伙伴组织”,再右键单击“资源伙伴”,指向“新建”,然后单击“资源伙伴”。
3. 在“欢迎使用添加资源伙伴向导”页上,单击“下一步”。
4. 在“导入策略文件”页上单击“是”,在“伙伴互操作策略文件”下键入 \\adfsresource\d$\adfsresource.xml,然后单击“下一步”。
5. 在“资源伙伴详细信息”页上,确保以下内容:
∙ “显示名称”显示的是 Trey Research。
∙ “联合身份验证服务 URI”显示的是 urn:federation:treyresearch。
∙ “联合身份验证服务终点 URL”显示的是 https://adfsresource.treyresearch.net/adfs/ls/,然后单击“下一步”。
6. 在“帐户伙伴验证证书”页上,确保已选择“在导入策略文件中使用验证证书”,然后单击“下一步”。
7. 在“联合身份验证方案”页上,确保已选择“联合 Web SSO”,然后单击“下一步”。
8. 在“资源伙伴标识声明”页上,确保已选中“UPN 声明”和“电子邮件声明”复选框,然后单击“下一步”。
9. 在“选择 UPN 后缀”页上,确保“将所有 UPN 后缀替换为”显示的是 adatum.com,然后单击“下一步”。
10. 在“选择电子邮件后缀”页上,确保“将所有电子邮件后缀替换为”显示的是 adatum.com,然后单击“下一步”。
11. 在“映射声明转换”页的“映射”下,选择 Trey ClaimApp Claim,然后单击“下一步”。
12. 在“启用此资源伙伴”页上,确保已选中“启用此资源伙伴”复选框,然后单击“下一步”。
13. 在“完成添加资源伙伴向导”页上,单击“完成”。
步骤 5:配置客户端证书并测试示例应用程序
更新时间: 2009年1月
应用到: Windows Server 2008 R2
在本步骤中,您将准备、分发和使用 Active Directory 联合身份验证服务 (AD FS) 的证书来测试客户端计算机对声明感知应用程序的访问情况。
此步骤包括以下过程:
∙ 将 adfsweb 和 adfsaccount 证书导出到一个文件
∙ 导入 adfsweb、adfsaccount 和 adfsresource 证书
∙ 从客户端计算机访问声明感知应用程序
管理凭据
若要执行本步骤中的过程,您必须使用域管理员帐户登录到 adfsweb 和 adfsaccount 计算机。
使用这一过程将 adfsweb 和 adfsaccount 的服务器身份验证证书导出到文件中。立即执行本步骤,然后在下一步中将证书导入 adfsclient 计算机,通过阻止用户在正常访问联合应用程序时看到的证书提示,您将优化用户体验。adfsresource 服务器身份验证证书已在第 2 步中导出到了一个文件。因此,没有必要再次导出该证书。在下一个过程中,将这些证书导入 adfsclient 计算机。
1. 在 adfsweb 计算机上,单击「开始」,指向“管理工具”,然后单击“Internet 信息服务(IIS)管理器”。
2. 在控制台树中,单击 ADFSWEB。
3. 在中心窗格中,双击“服务器证书”。
4. 在中心窗格中,右键单击 adfsweb.treyresearch.net,然后单击“导出”。
5. 在“导出证书”对话框中,单击 … 按钮。
6. 在“文件名”中,键入 d:\adfsweb,然后单击“打开”。
7. 为证书键入一个密码,确认该密码,然后单击“确定”。
8. 在 adfsaccount 计算机上重复步骤 1 到 7。在第 6 步中,将文件另存为 C:\adfsaccount。
管理凭据
若要执行本步骤中的过程,您必须使用本地管理员帐户登录到 adfsclient 计算机。
使用本过程将来自 adfsweb、adfsaccount 和 adfsresource 的各服务器身份验证证书导入到本地计算机受信任的根证书颁发机构证书存储。
1. 使用本地管理员帐户登录到 adfsclient 计算机,单击「开始」,在“搜索程序和文件”中,键入“mmc”,然后单击“确定”。单击“文件”,然后单击“添加/删除管理单元”。
2. 依次单击“证书”、“添加”、“计算机帐户”,然后单击“下一步”。
3. 依次单击“本地计算机: (运行此控制台的计算机)”和“完成”,然后单击“确定”。
4. 在控制台树中,依次双击“证书(本地计算机)”图标和“受信任的根证书颁发机构”文件夹,再右键单击“证书”,指向“所有任务”,然后单击“导入”。
5. 在“欢迎使用证书导入向导”页上,单击“下一步”。
6. 在“要导入的文件”页上,单击“浏览”,在“文件名”中,键入“\\adfsresource\d$\adfsresource.pfx”,依次单击“打开”和“下一步”。
|
可能必须映射网络驱动器才能获得 adfsresource.pfx 文件。也可以将 adfsresource.pfx 文件直接从 adfsresource 复制到 adfsclient,然后将向导指向该位置。 |
7. 在“密码”页上,键入 adfsresource.pfx 文件的密码,然后单击“下一步”。
8. 在“证书存储”页上,单击“将所有的证书放入下列存储”,然后单击“下一步”。
9. 在“正在完成证书导入向导”页上,验证提供的信息是否正确,然后单击“完成”。
10. 在 adfsclient 计算机上重复以上步骤,直到完成导入 adfsaccount 和 adfsweb 证书,然后继续下一部分。
管理凭据
若要执行本步骤中的过程,不必使用管理凭据登录到客户端计算机。也就是说,如果以 Alan Shen (alansh) 的身份登录到客户端,无需将 alansh 添加到 adfsclient 计算机上的任意本地 administrator 组(例如,Power Users、Administrators),即可访问声明感知应用程序。
按照以下过程,从获得应用程序授权的客户端访问该示例声明感知应用程序。
1. 以 alansh 身份登录到 adfsclient 计算机。
2. 打开浏览器窗口,然后执行以下操作,以便在客户端上安装所需证书:
a. 转到 https://adfsaccount.adatum.com/。
浏览器将显示“证书错误: 导航已阻止”错误消息,通知您传入证书不是由受信任的证书颁发机构颁发的。使用自签名证书部署 Active Directory 联合身份验证服务 (AD FS) 服务器时,会出现此错误。
b. 单击“继续浏览此网站(不推荐)”链接。
c. 在地址栏中,单击“证书错误”,然后单击“查看证书”。
d. 在“证书”对话框中,单击“安装证书”。
e. 在“欢迎使用证书导入向导”页上,单击“下一步”。
f. 在“证书存储”页上,单击“将所有的证书放入下列存储”,然后单击“浏览”。
g. 在“选择证书存储”对话框中,突出显示“受信任的根证书颁发机构”,单击“确定”,然后单击“下一步”。
h. 在“正在完成证书导入向导”页面中,单击“完成”。
i. 在“安全警告”对话框中,单击“是”。
j. 单击“确定”两次。
k. 使用 https://adfsresource.treyresearch.net 和 https://adfsweb.treyresearch.net 重复步骤 a 至 j,将三个证书全部安装到受信任的根证书颁发机构证书存储中。
3. 转到 https://adfsweb.treyresearch.net/claimapp/。当系统提示您提供主领域时,请单击 A. Datum Corporation,然后单击“提交”。
4. 此时浏览器中将显示“SSO 示例应用程序”。可以在示例应用程序的 SingleSignOnIdentity.SecurityPropertyCollection 部分中查看哪些声明将发送至 Web 服务器。
|
由于任何原因而无法访问声明感知应用程序时,可以考虑运行 iisreset 命令或重新启动 adfsweb 计算机。然后,再次尝试访问该应用程序。 |
附录:创建示例声明感知应用程序
更新时间: 2009年1月
应用到: Windows Server 2008 R2
可以使用本附录中的声明感知应用程序来测试联合身份验证服务在 Active Directory 联合身份验证服务 (AD FS) 安全令牌中发送了哪些声明。本附录包含有关在 Web 服务器上设置示例声明感知应用程序的说明。通过使用此示例声明感知应用程序和步骤 3:配置 Web 服务器 中的支持说明,可以准备应用程序以测试客户端计算机并完成 Web 服务器设置过程。
示例声明感知应用程序由以下三个文件组成:
∙ Default.aspx
∙ Web.config
∙ Default.aspx.cs
adfsweb 的本地 Administrators 组中的成员身份是完成此步骤中的这些过程所需的最低要求。查看有关使用适当帐户和组成员关系的详细信息,请访问本地默认组和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477)(可能为英文链接)。
若要正常运行此应用程序,必须按照以下过程依次创建每个所需文件。创建完这三个文件之后,将其移动到 adfsweb 计算机的 D:\inetpub\wwwroot\claimapp 目录下。
本文来源:https://www.2haoxitong.net/k/doc/9b178e75a4e9856a561252d380eb6294dd88222a.html
文档为doc格式
![](https://wkrtcs.bdimg.com/rtcs/image?w=10.47&md5sum=502029fb32bc7a2afd54303424596288&sign=1e5683c95b&rtcs_flag=2&rtcs_ver=3.1&l=webapp&bucketNum=78&ipr={"t":"img","r":"r_10","w":"10.47","h":"10.47","dataType":"gif","c":"word/media/image1.gif"})
![](https://wkrtcs.bdimg.com/rtcs/image?w=10.47&md5sum=502029fb32bc7a2afd54303424596288&sign=1e5683c95b&rtcs_flag=2&rtcs_ver=3.1&l=webapp&bucketNum=78&ipr={"t":"img","r":"r_8","w":"10.47","h":"10.47","dataType":"gif","c":"word/media/image1.gif"})
![](https://wkrtcs.bdimg.com/rtcs/image?w=10.47&md5sum=502029fb32bc7a2afd54303424596288&sign=1e5683c95b&rtcs_flag=2&rtcs_ver=3.1&l=webapp&bucketNum=78&ipr={"t":"img","r":"r_8","w":"10.47","h":"10.47","dataType":"gif","c":"word/media/image2.gif"})
![](https://wkrtcs.bdimg.com/rtcs/image?w=10.47&md5sum=502029fb32bc7a2afd54303424596288&sign=1e5683c95b&rtcs_flag=2&rtcs_ver=3.1&l=webapp&bucketNum=78&ipr={"t":"img","r":"r_9","w":"10.47","h":"10.47","dataType":"gif","c":"word/media/image2.gif"})
![](https://wkrtcs.bdimg.com/rtcs/image?w=10.47&md5sum=502029fb32bc7a2afd54303424596288&sign=1e5683c95b&rtcs_flag=2&rtcs_ver=3.1&l=webapp&bucketNum=78&ipr={"t":"img","r":"r_7","w":"10.47","h":"10.47","dataType":"gif","c":"word/media/image2.gif"})
![](https://wkrtcs.bdimg.com/rtcs/image?w=10.47&md5sum=502029fb32bc7a2afd54303424596288&sign=1e5683c95b&rtcs_flag=2&rtcs_ver=3.1&l=webapp&bucketNum=78&ipr={"t":"img","r":"r_5","w":"10.47","h":"10.47","dataType":"gif","c":"word/media/image2.gif"})
![](https://wkrtcs.bdimg.com/rtcs/image?w=10.47&md5sum=502029fb32bc7a2afd54303424596288&sign=1e5683c95b&rtcs_flag=2&rtcs_ver=3.1&l=webapp&bucketNum=78&ipr={"t":"img","r":"r_2","w":"10.47","h":"10.47","dataType":"gif","c":"word/media/image2.gif"})