为 Lync Server 2013 配置 Active Directory 联合身份验证服务 (AD FS 2.0)
上次修改的主题: 2013-07-03
下面一节介绍如何配置 Active Directory 联合身份验证服务 (AD FS 2.0) 来支持多重身份验证。 有关如何安装 AD FS 2.0 的信息,请参阅 AD FS 2.0 分步和操作指南 https://go.microsoft.com/fwlink/p/?LinkId=313374。
注意
安装 AD FS 2.0 时,请勿使用 Windows Server Manager 添加联合身份验证服务角色。 请改为下载并安装 Active Directory 联合身份验证服务 2.0 RTW 包https://go.microsoft.com/fwlink/p/?LinkId=313375。
针对双重身份验证配置 AD FS
使用域管理员帐户登录到 AD FS 2.0 计算机。
启动 Windows PowerShell。
从 Windows PowerShell 命令行,运行以下命令:
add-pssnapin Microsoft.Adfs.PowerShell
与每个 Lync Server 2013 建立合作关系,使用 Lync Server 2013 累积汇报:2013 年 7 月 Director、Enterprise Pool 和 Standard Edition 服务器,这些服务器将通过运行以下命令来启用被动身份验证,并替换特定于部署的服务器名称:
Add-ADFSRelyingPartyTrust -Name LyncPool01-PassiveAuth -MetadataURL https://lyncpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml
从“管理工具”菜单中,启动 AD FS 2.0 管理控制台。
扩展 信任关系>信赖方信任。
使用 Lync Server 2013 累积汇报:2013 年 7 月企业池或 Standard Edition 服务器,验证是否已为 Lync Server 2013 创建了新的信任。
使用 Windows PowerShell 通过运行以下命令为您的依赖方信任创建并分配颁发授权规则:
$IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
Set-ADFSRelyingPartyTrust -TargetName LyncPool01-PassiveAuth -IssuanceAuthorizationRules $IssuanceAuthorizationRules
使用 Windows PowerShell 通过运行以下命令为您的依赖方信任创建并分配颁发转换规则:
$IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'
Set-ADFSRelyingPartyTrust -TargetName LyncPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules
从 AD FS 2.0 管理控制台中,右键单击您的依赖方信任并选择“编辑声明规则”。
选择“颁发授权规则”选项卡,并验证是否已成功创建新的授权规则。
选择“颁发转换规则”选项卡,并验证是否已成功创建新的转换规则。