建立同盟伺服器的時機

  • 發行項

當您在 Active Directory 同盟服務 (AD FS) 中建立同盟伺服器時,您提供了一種方法,您的組織可以透過該方法來:

  • 與其他組織進行 Web 單一登入 (SSO) 型通訊 (至少另有一台同盟伺服器),且在必要時,與您組織的員工通訊 (需要透過網際網路存取)。

  • 使用識別委派,啟用前端服務以模擬使用者執行基礎結構服務。 如需詳細資訊,請參閱 When to Use Identity Delegation

下列章節描述一些關鍵決策,決定何時及如何建立一或多台同盟伺服器。

決定同盟伺服器的組織角色

若要對何時建立新的同盟伺服器做出明智的決策,您必須先判斷伺服器所在的組織。 同盟伺服器在組織中所扮演的角色,取決於您將該同盟伺服器放置在帳戶夥伴組織中或資源夥伴組織中。

將同盟伺服器放在帳戶夥伴的公司網路時,其角色將是驗證瀏覽器的使用者認證、Web 服務,或身分識別選取器用戶端,以及將安全性權杖傳送給用戶端。 如需詳細資訊,請參閱< Review the Role of the Federation Server in the Account Partner>。

將同盟伺服器置於資源夥伴的公司網路時,其角色是根據資源夥伴組織中同盟伺服器所發出的安全性權杖來驗證使用者;或是將設定的 Web 應用程式或 Web 服務的權杖要求,重新導向至用戶端所屬的帳戶夥伴組織。 如需詳細資訊,請參閱 Review the Role of the Federation Server in the Resource Partner

判斷要部署哪一種 AD FS 設計

每當您想要部署下列任一 AD FS 設計時,都會在組織中建立同盟伺服器:

如果需要,部署同盟網頁 SSO 設計的組織可以設定單一同盟伺服器,使其以帳戶夥伴角色和資源夥伴角色運作。 在此情況下,同盟伺服器可能會根據其組織中的使用者帳戶來產生安全性聲明標記語言 (SAML) 權杖,或根據使用者帳戶的位置,將權杖要求重新路由到組織。

注意

對於同盟網頁 SSO 設計,帳戶夥伴中至少需要一部同盟伺服器,而資源夥伴至少需要一部 同盟伺服器。

同盟伺服器與同盟伺服器 Proxy 之間的差異

同盟伺服器可利用同盟伺服器 Proxy 採取的相同方式,利用網頁進行登入、原則、驗證及探索。 同盟伺服器與同盟伺服器 Proxy 之間的主要差別與同盟伺服器可以執行同盟伺服器 Proxy 無法執行的作業有關係。

以下是唯有同盟伺服器可執行的作業:

  • 同盟伺服器執行可產生權杖的密碼編譯作業。 雖然同盟伺服器 Proxy 無法產生權杖,但它們可以將權杖路由或重新導向至用戶端,並在必要時返回同盟伺服器。 如需使用同盟伺服器的詳細資訊,請參閱建立同盟伺服器 Proxy 的時機

  • 同盟伺服器支援公司網路中的用戶端使用 Windows 整合式驗證;同盟伺服器 Proxy 則不支援。 如需搭配同盟伺服器使用 Windows 整合式驗證的詳細資訊,請參閱建立同盟伺服器陣列的時機

警告

依預設,同盟伺服器和 SQL Server 組態資料庫、SQL Server 屬性存放區、網域控制站與 AD LDS 執行個體之間的通訊並不完整,或未被視為機密加以保護。 若要緩解這種情況,請考慮使用 IPSEC,或在所有伺服器之間使用實體安全的連線,以保護這些伺服器之間的通訊通道。 對於同盟伺服器和 SQL 伺服器之間的通訊,請考慮在連接字串中使用 SSL 保護。 對於同盟伺服器與網域控制站之間的連線,請考慮啟用 Kerberos 簽署和加密。 若為 LDAP,則不支援 AD LDS/AD DS 的 LDAP/S。

如何建立同盟伺服器

您可以使用 AD FS 同盟伺服器設定精靈或 Fsconfig.exe 命令列工具來建立同盟伺服器。 使用上述任一工具時,您可以選擇下列任何選項來建立同盟伺服器。

如需其中每一個選項之運作方式的更詳細資訊,請參閱< The Role of the AD FS Configuration Database>。

如需如何設定所有必要的先決條件以部署同盟伺服器的詳細資訊,請參閱< Checklist: Setting Up a Federation Server>。

另請參閱

Windows Server 2012 中的 AD FS 設計指南