Создание сервера федерации
При создании сервера федерации в службы федерации Active Directory (AD FS) (AD FS) вы предоставляете средства, с помощью которых ваша организация может:
Участие в взаимодействии с веб-единым входом (SSO) с другой организацией (которая также имеет по крайней мере один сервер федерации) и при необходимости с сотрудниками в вашей организации (которым требуется доступ через Интернет).
включать интерфейсные службы для олицетворения пользователей в службах инфраструктуры с помощью делегирования удостоверений. Дополнительные сведения см. в разделе When to Use Identity Delegation.
В следующих разделах описываются некоторые ключевые решения по определению того, когда и где создавать один или несколько серверов федерации.
Определение организационной роли сервера федерации
Чтобы принять информированное решение о создании нового сервера федерации, сначала необходимо определить, в какой организации будет находиться сервер. Роль сервера федерации в организации зависит от того, размещается ли сервер федерации в партнерской организации учетной записи или в партнерской организации ресурсов.
Когда сервер федерации помещается в корпоративную сеть партнера учетной записи, его роль заключается в проверке подлинности учетных данных пользователя браузера, веб-службы или клиентов селектора удостоверений и отправке маркеров безопасности клиентам. Дополнительные сведения см. в разделе Review the Role of the Federation Server in the Account Partner.
Когда сервер федерации помещается в корпоративную сеть партнера по ресурсам, его роль заключается в проверке подлинности пользователей на основе маркера безопасности, выданного сервером федерации в партнерской организации ресурсов, или его роль — перенаправление запросов маркеров из настроенных веб-приложений или веб-служб в организацию партнера учетной записи, к которой принадлежит клиент. Дополнительные сведения см. в разделе Review the Role of the Federation Server in the Resource Partner.
Определение разработки AD FS для развертывания
Вы создаете серверы федерации в организации всякий раз, когда вы хотите развернуть любой из следующих проектов AD FS:
При необходимости организация, которая развертывает проект единого входа федеративного веб-сайта, может настроить единый сервер федерации, чтобы он действовал как в роли партнера учетной записи, так и в роли партнера по ресурсам. В этом случае сервер федерации может создавать маркеры языка разметки утверждений безопасности (SAML), основанные на учетных записях пользователей в собственной организации или перенаправляйте запросы маркеров в организацию в зависимости от того, где находятся учетные записи пользователей.
Примечание.
Для разработки федеративного единого входа в федеративный веб-сайт должен быть по крайней мере один сервер федерации в партнере учетной записи и по крайней мере один сервер федерации в партнере ресурсов.
Различия между сервером федерации и прокси-сервером федерации
Сервер федерации может обслуживать веб-страницы для входа, политики, проверки подлинности и обнаружения таким же образом, как прокси-сервер федерации. Основные различия между сервером федерации и прокси-сервером федерации должны быть связано с операциями сервера федерации, которые могут выполнять прокси-сервер федерации.
Ниже приведены операции, которые могут выполнять только сервер федерации:
Сервер федерации выполняет криптографические операции, которые создают маркер. Хотя прокси-серверы федерации не могут создавать маркеры, их можно использовать для маршрутизации или перенаправления маркеров клиентам и при необходимости обратно на сервер федерации. Дополнительные сведения об использовании серверов федерации см. в разделе "Создание прокси-сервера федерации".
Серверы федерации поддерживают использование встроенной проверки подлинности Windows для клиентов в корпоративной сети; Прокси-сервер федерации не делают. Дополнительные сведения об использовании интегрированной проверки подлинности Windows с сервером федерации см. в статье "Создание фермы серверов федерации".
Внимание
Взаимодействие между серверами федерации и базами данных конфигураций SQL Server, хранилищами атрибутов SQL Server, контроллерами доменов и экземплярами AD LDS не является процессом обеспечения целостности и конфиденциальности, защищаемым по умолчанию. Чтобы избежать этого, рекомендуется защитить канал связи между этими серверами с помощью IPSEC или физически безопасного соединения. Для обмена данными между серверами федерации и серверами SQL Server рассмотрите возможность использования защиты SSL в строке подключения. Для подключений между серверами федерации и контроллерами домена рассмотрите возможность включения подписывания и шифрования Kerberos. Для LDAP LDAP/S не поддерживается для AD LDS/AD DS.
Создание сервера федерации
Вы можете создать сервер федерации с помощью мастера настройки сервера федерации AD FS или средства командной строки Fsconfig.exe. При использовании этих инструментов можно выбрать любой приведенный ниже вариант создания сервера федерации.
Создание автономного сервера федерации
Дополнительные сведения о создании автономного сервера федерации см. в разделе Create a Stand-Alone Federation Server.
Создание первого сервера федерации на ферме серверов федерации
Дополнительные сведения о создании первого сервера федерации или добавлении сервера федерации в ферму см. в разделе Create the First Federation Server in a Federation Server Farm.
Добавление сервера федерации в ферму серверов федерации
Дополнительные сведения о добавлении сервера федерации в ферму см. в разделе Add a Federation Server to a Federation Server Farm.
Дополнительные сведения о работе каждого из этих вариантов см. в разделе The Role of the AD FS Configuration Database.
Дополнительные сведения о настройке всех необходимых компонентов развертывания сервера федерации см. в разделе Checklist: Setting Up a Federation Server.
См. также
Руководство по разработке служб федерации Active Directory в Windows Server 2012