簡(jiǎn)述Windows Server 2008-ADFS配置

　　要理解ADFS的工作原理，可以先考慮活動(dòng)目錄的工作原理。當(dāng)用戶通過(guò)活動(dòng)目錄進(jìn)行認(rèn)證時(shí)，域控制器檢查用戶的證書(shū)。當(dāng)證明是合法用戶后，用戶就可以隨意訪問(wèn)Windows網(wǎng)絡(luò)的任何授權(quán)資源，而無(wú)需在每次訪問(wèn)不同服務(wù)器時(shí)重新認(rèn)證。ADFS將同樣的概念應(yīng)用到Internet。我們都知道當(dāng)Web應(yīng)用需要訪問(wèn)位于數(shù)據(jù)庫(kù)或其他類型后端資源上的后端數(shù)據(jù)時(shí)，對(duì)后端資源的安全認(rèn)證問(wèn)題往往比較復(fù)雜。現(xiàn)在可以使用的有很多不同的認(rèn)證方法提供這樣的認(rèn)證。例如，用戶可能通過(guò)RADIUS(遠(yuǎn)程撥入用戶服務(wù)認(rèn)證)服務(wù)器或者通過(guò)應(yīng)用程序代碼的一部分實(shí)現(xiàn)所有權(quán)認(rèn)證機(jī)制。這些認(rèn)證機(jī)制都可實(shí)現(xiàn)認(rèn)證功能，但是也有一些不足之處。不足之一是賬戶管理。當(dāng)應(yīng)用僅被企業(yè)自己的員工訪問(wèn)時(shí)，賬戶管理并不是個(gè)大問(wèn)題。但是，如果企業(yè)的供應(yīng)商、客戶都使用該應(yīng)用時(shí)，就會(huì)突然發(fā)現(xiàn)用戶需要為其他企業(yè)的員工建立新的用戶賬戶。不足之二是維護(hù)問(wèn)題。當(dāng)其他企業(yè)的員工離職，雇傭新員工時(shí)，用戶還需要?jiǎng)h除舊的賬戶和創(chuàng)建新的賬戶。

　　ADFS能為您做什么?

　　如果用戶將賬戶管理的任務(wù)轉(zhuǎn)移到他們的客戶、供應(yīng)商或者其他使用Web應(yīng)用的人那里會(huì)是什么樣子哪? 設(shè)想一下， Web應(yīng)用為其他企業(yè)提供服務(wù)，而用戶再也不用為那些員工創(chuàng)建用戶賬戶或者重設(shè)密碼。如果這還不夠，使用這一應(yīng)用的用戶也不再需要登錄應(yīng)用。那將是一件多么令人興奮的事情。

　　ADFS需要什么?

　　當(dāng)然，活動(dòng)目錄聯(lián)合服務(wù)還需要其它的一些配置才能使用，用戶需要一些服務(wù)器執(zhí)行這些功能。最基本的是聯(lián)合服務(wù)器，聯(lián)合服務(wù)器上運(yùn)行ADFS的聯(lián)合服務(wù)組件。 聯(lián)合服務(wù)器的主要作用是發(fā)送來(lái)自不同外部用戶的請(qǐng)求，它還負(fù)責(zé)向通過(guò)認(rèn)證的用戶發(fā)放令牌。

　　另外在大多數(shù)情況下還需要聯(lián)合代理。試想一下，如果外部網(wǎng)絡(luò)要能夠和用戶內(nèi)部網(wǎng)絡(luò)建立聯(lián)合協(xié)議，這就意味著用戶的聯(lián)合服務(wù)器要能通過(guò)Internet訪問(wèn)。但是活動(dòng)目錄聯(lián)合并不很依賴于活動(dòng)目錄，因此直接將聯(lián)合服務(wù)器暴露在Internet上將帶來(lái)很大的風(fēng)險(xiǎn)。正因?yàn)檫@樣，聯(lián)合服務(wù)器不能直接和 Internet相連，而是通過(guò)聯(lián)合代理訪問(wèn)。聯(lián)合代理向聯(lián)合服務(wù)器中轉(zhuǎn)來(lái)自外部的聯(lián)合請(qǐng)求，聯(lián)合服務(wù)器就不會(huì)直接暴露給外部。

　　另一ADFS的主要組件是ADFS Web代理。Web應(yīng)用必須有對(duì)外部用戶認(rèn)證的機(jī)制。這些機(jī)制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 服務(wù)器發(fā)放的認(rèn)證cookies。

　　在下面的文章中我們將帶領(lǐng)大家通過(guò)一個(gè)模擬的試驗(yàn)環(huán)境來(lái)一起感受ADFS服務(wù)帶給企業(yè)的全新感受，閑言少敘，我們下面就開(kāi)始ADFS的配置試驗(yàn)。

　　第1步：預(yù)安裝任務(wù)

　　要想完成下面的試驗(yàn)，用戶在安裝ADFS之前先要準(zhǔn)備好至少四臺(tái)計(jì)算機(jī)。

　　1)配置計(jì)算機(jī)的操作系統(tǒng)和網(wǎng)絡(luò)環(huán)境

　　使用下表來(lái)配置試驗(yàn)的計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)環(huán)境。

　　2)安裝 AD DS

　　用戶使用Dcpromo工具為每個(gè)同盟服務(wù)器(FS)創(chuàng)建一個(gè)全新的活動(dòng)目錄森林，具體的名稱可以參考下面的配置表。

　　3)創(chuàng)建用戶帳戶以及資源帳戶

　　設(shè)置好兩個(gè)森林后，用戶就可以通過(guò)“用戶帳戶和計(jì)算機(jī)”(Active Directory Users and Computers )工具來(lái)創(chuàng)建一些帳戶為下面的試驗(yàn)做好準(zhǔn)備。下面的列表給出了一些例子，供用戶參考：

　　4)將測(cè)試計(jì)算機(jī)加入到適當(dāng)?shù)挠?/p>

　　按照下表將對(duì)應(yīng)的計(jì)算機(jī)加入到適當(dāng)?shù)挠蛑�，需要注意的是將這些計(jì)算機(jī)加入域前，用戶需要先將對(duì)應(yīng)域控制器上的防火墻禁用掉。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]