Развертывание серверов федерации

  • Статья

Чтобы развернуть серверы федерации в службы федерации Active Directory (AD FS) (AD FS), выполните все задачи в контрольном списке: настройка сервера федерации.

Примечание.

При использовании этого списка проверка рекомендуется сначала прочитать ссылки на сервер федерации в руководстве по проектированию AD FS в Windows Server 2012 перед началом процедур настройки серверов. Следуя проверка list таким образом, лучше понять процесс разработки и развертывания для серверов федерации.

Сведения о серверах федерации

Серверы федерации — это компьютеры под управлением Windows Server 2008 с установленным программным обеспечением AD FS, настроенным для действий в роли сервера федерации. Серверы федерации проходят проверку подлинности или маршрутизацию запросов из учетных записей пользователей в других организациях и на клиентских компьютерах, которые могут находиться в любом месте в Интернете.

Действие установки программного обеспечения AD FS на компьютере и использование мастера настройки сервера федерации AD FS для настройки роли сервера федерации делает этот компьютер сервером федерации. Она также делает оснастку управления AD FS доступной на этом компьютере в меню Start\Администратор istrative Tools\, чтобы указать следующее:

  • Имя узла AD FS, в котором партнерские организации и приложения будут отправлять запросы маркеров и ответы

  • Идентификатор AD FS, используемый партнерскими организациями и приложениями для идентификации уникального имени или расположения организации.

  • Сертификат подписывания токенов, который будут использоваться всеми серверами федерации в ферме серверов для выдачи и подписывания маркеров

  • Расположение настраиваемых веб-страниц ASP.NET для входа в систему клиента, выхода и обнаружения партнеров учетной записи, которые повышают взаимодействие с клиентом.

    Примечание.

    Большинство этих основных параметров пользовательского интерфейса содержатся в файле web.config на каждом сервере федерации. Имя узла AD FS и значения идентификатора AD FS не указаны в файле web.config.

Серверы федерации размещают обработчик выдачи утверждений, который выдает маркеры на основе учетных данных (например, имени пользователя и пароля), представленных в нем. Маркер безопасности — это криптографически подписанный блок данных, который выражает одно или несколько утверждений. Утверждение — это оператор, который делает сервер (например, имя, удостоверение, ключ, группа, привилегии или возможности) о клиенте. После проверки учетных данных на сервере федерации (через процесс входа пользователя) утверждения для пользователя собираются с помощью проверки атрибутов пользователя, хранящихся в указанном хранилище атрибутов.

В проектах федеративного единого входа (AD FS), в которых участвуют две или несколько организаций, утверждения могут быть изменены правилами утверждений для конкретной проверяющей стороны. Утверждения встроены в маркер, который отправляется на сервер федерации в организации партнера по ресурсам. После того как сервер федерации в партнере ресурсов получает утверждения в качестве входящих утверждений, он выполняет обработчик выдачи утверждений для выполнения набора правил утверждений для фильтрации, передачи или преобразования этих утверждений. Затем утверждения встроены в новый маркер, который отправляется на веб-сервер в партнере ресурсов.

В проекте веб-единого входа (дизайн AD FS, в котором участвует только одна организация), можно использовать один сервер федерации, чтобы сотрудники могли войти в систему один раз и по-прежнему получить доступ к нескольким приложениям.