Windows Server2008 ADFS配置攻略

ADFS是Windows Server 2008 操作系統(tǒng)中的一項(xiàng)新功能，它提供了一個(gè)統(tǒng)一的訪問(wèn)解決方案，用于解決基于瀏覽器的內(nèi)外部用戶的訪問(wèn)。這項(xiàng)新功能甚至可以實(shí)現(xiàn)完全不同的兩個(gè)網(wǎng)絡(luò)或者是組織之間的帳戶以及應(yīng)用程序之間的通訊。

要理解ADFS的工作原理，可以先考慮活動(dòng)目錄的工作原理。當(dāng)用戶通過(guò)活動(dòng)目錄進(jìn)行認(rèn)證時(shí)，域控制器檢查用戶的證書(shū)。當(dāng)證明是合法用戶后，用戶就可以隨意訪問(wèn)Windows網(wǎng)絡(luò)的任何授權(quán)資源，而無(wú)需在每次訪問(wèn)不同億恩科技服務(wù)器時(shí)重新認(rèn)證。ADFS將同樣的概念應(yīng)用到Internet。我們都知道當(dāng)Web應(yīng)用需要訪問(wèn)位于數(shù)據(jù)庫(kù)或其他類型后端資源上的后端數(shù)據(jù)時(shí)，對(duì)后端資源的安全認(rèn)證問(wèn)題往往比較復(fù)雜�，F(xiàn)在可以使用的有很多不同的認(rèn)證方法提供這樣的認(rèn)證。例如，用戶可能通過(guò)RADIUS(遠(yuǎn)程撥入用戶服務(wù)認(rèn)證)億恩科技服務(wù)器或者通過(guò)應(yīng)用程序代碼的一部分實(shí)現(xiàn)所有權(quán)認(rèn)證機(jī)制。這些認(rèn)證機(jī)制都可實(shí)現(xiàn)認(rèn)證功能，但是也有一些不足之處。不足之一是賬戶管理。當(dāng)應(yīng)用僅被企業(yè)自己的員工訪問(wèn)時(shí)，賬戶管理并不是個(gè)大問(wèn)題。但是，如果企業(yè)的供應(yīng)商、客戶都使用該應(yīng)用時(shí)，就會(huì)突然發(fā)現(xiàn)用戶需要為其他企業(yè)的員工建立新的用戶賬戶。不足之二是維護(hù)問(wèn)題。當(dāng)其他企業(yè)的員工離職，雇傭新員工時(shí)，用戶還需要?jiǎng)h除舊的賬戶和創(chuàng)建新的賬戶。

ADFS能為您做什么?

如果用戶將賬戶管理的任務(wù)轉(zhuǎn)移到他們的客戶、供應(yīng)商或者其他使用Web應(yīng)用的人那里會(huì)是什么樣子哪? 設(shè)想一下， Web應(yīng)用為其他企業(yè)提供服務(wù)，而用戶再也不用為那些員工創(chuàng)建用戶賬戶或者重設(shè)密碼。如果這還不夠，使用這一應(yīng)用的用戶也不再需要登錄應(yīng)用。那將是一件多么令人興奮的事情。

ADFS需要什么?

當(dāng)然，活動(dòng)目錄聯(lián)合服務(wù)還需要其它的一些配置才能使用，用戶需要一些億恩科技服務(wù)器執(zhí)行這些功能。最基本的是聯(lián)合億恩科技服務(wù)器，聯(lián)合億恩科技服務(wù)器上運(yùn)行ADFS的聯(lián)合服務(wù)組件。 聯(lián)合億恩科技服務(wù)器的主要作用是發(fā)送來(lái)自不同外部用戶的請(qǐng)求，它還負(fù)責(zé)向通過(guò)認(rèn)證的用戶發(fā)放令牌。

另外在大多數(shù)情況下還需要聯(lián)合代理。試想一下，如果外部網(wǎng)絡(luò)要能夠和用戶內(nèi)部網(wǎng)絡(luò)建立聯(lián)合協(xié)議，這就意味著用戶的聯(lián)合億恩科技服務(wù)器要能通過(guò)Internet訪問(wèn)。但是活動(dòng)目錄聯(lián)合并不很依賴于活動(dòng)目錄，因此直接將聯(lián)合億恩科技服務(wù)器暴露在Internet上將帶來(lái)很大的風(fēng)險(xiǎn)。正因?yàn)檫@樣，聯(lián)合億恩科技服務(wù)器不能直接和Internet相連，而是通過(guò)聯(lián)合代理訪問(wèn)。聯(lián)合代理向聯(lián)合億恩科技服務(wù)器中轉(zhuǎn)來(lái)自外部的聯(lián)合請(qǐng)求，聯(lián)合億恩科技服務(wù)器就不會(huì)直接暴露給外部。

另一ADFS的主要組件是ADFS Web代理。Web應(yīng)用必須有對(duì)外部用戶認(rèn)證的機(jī)制。這些機(jī)制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 億恩科技服務(wù)器發(fā)放的認(rèn)證cookies。

在下面的文章中我們將帶領(lǐng)大家通過(guò)一個(gè)模擬的試驗(yàn)環(huán)境來(lái)一起感受ADFS服務(wù)帶給企業(yè)的全新感受，閑言少敘，我們下面就開(kāi)始ADFS的配置試驗(yàn)。
 

第1步：預(yù)安裝任務(wù)

要想完成下面的試驗(yàn)，用戶在安裝ADFS之前先要準(zhǔn)備好至少四臺(tái)計(jì)算機(jī)。

1)配置計(jì)算機(jī)的操作系統(tǒng)和網(wǎng)絡(luò)環(huán)境

使用下表來(lái)配置試驗(yàn)的計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)環(huán)境。

2)安裝 AD DS

用戶使用Dcpromo工具為每個(gè)同盟億恩科技服務(wù)器(FS)創(chuàng)建一個(gè)全新的活動(dòng)目錄森林，具體的名稱可以參考下面的配置表。

3)創(chuàng)建用戶帳戶以及資源帳戶

設(shè)置好兩個(gè)森林后，用戶就可以通過(guò)“用戶帳戶和計(jì)算機(jī)”(Active Directory Users and Computers )工具來(lái)創(chuàng)建一些帳戶為下面的試驗(yàn)做好準(zhǔn)備。下面的列表給出了一些例子，供用戶參考：

4)將測(cè)試計(jì)算機(jī)加入到適當(dāng)?shù)挠?/p>

按照下表將對(duì)應(yīng)的計(jì)算機(jī)加入到適當(dāng)?shù)挠蛑�，需要注意的是將這些計(jì)算機(jī)加入域前，用戶需要先將對(duì)應(yīng)域控制器上的防火墻禁用掉.
 

第2步：安裝 AD FS 角色服務(wù)，配置證書(shū)

現(xiàn)在我們已經(jīng)配置好計(jì)算機(jī)并且將它們加入到域中，同時(shí)對(duì)于每臺(tái)億恩科技服務(wù)器我們也已經(jīng)安裝好了ADFS組件。

1)安裝同盟服務(wù)

兩臺(tái)計(jì)算機(jī)上安裝同盟服務(wù)，安裝完成后，這兩臺(tái)計(jì)算機(jī)就變成了同盟億恩科技服務(wù)器。下面的操作將會(huì)引導(dǎo)我們創(chuàng)建一個(gè)新的信任策略文件以及SSL和證書(shū)：

點(diǎn)擊Start ，選擇 Administrative Tools ，點(diǎn)擊 Server Manager。右擊 Manage Roles， 選中Add roles 啟動(dòng)添加角色向?qū)�。在Before You Begin 頁(yè)面點(diǎn)擊 Next。在 Select Server Roles 頁(yè)選擇 Active Directory Federation Services 點(diǎn)擊Next 。在Select Role Services 選擇 Federation Service 復(fù)選框，如果系統(tǒng)提示用戶安裝 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服務(wù)，那么點(diǎn)擊 Add Required Role Services 添加它們，完成后點(diǎn)擊 Next 。在 Choose a Certificate for SSL Encryption 頁(yè)面點(diǎn)擊 Create a self-signed certificate for SSL encryption, 點(diǎn)擊 Next 繼續(xù)，在 Choose Token-Signing Certificate 頁(yè)面點(diǎn)擊Create a self-signed token-signing certificate, 點(diǎn)擊 Next. 接下來(lái)的Select Trust Policy 頁(yè)面選擇 Create a new trust policy,下一步進(jìn)入 Select Role Services 頁(yè)面點(diǎn)擊 Next 來(lái)確認(rèn)默認(rèn)值。在 Confirm Installation Options 校驗(yàn)完信息后，就可以點(diǎn)擊Install 開(kāi)始安裝了。

2)將本地系統(tǒng)帳戶分配到 ADFSAppPool identity

點(diǎn)擊Start ，在 Administrative Tools中的 Internet Information Services (IIS) Manager中，雙擊ADFSRESOURCE 或者 ADFSACCOUNT ，選擇 Application Pools ，在中心面板上右擊ADFSAppPool ，選擇Set Application Pool Defaults.在Identity Type, 點(diǎn)擊 LocalSystem ，然后選擇 OK。

3)安裝 AD FS Web 代理

在 Administrative Tools中 Server Manager 右擊 Manage Roles ，選擇 Add roles ，根據(jù)向?qū)г赟elect Server Roles 頁(yè)面選擇 Active Directory Federation Services.，點(diǎn)擊Next 后在 Select Role Services 窗口中選擇 Claims-aware Agent 復(fù)選框。如果向?qū)崾居脩舭惭b Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服務(wù),那么點(diǎn)擊 Add Required Role Services 來(lái)完成安裝。完成后在Select Role Services 頁(yè)面,選擇 Client Certificate Mapping Authentication 復(fù)選框(要想實(shí)現(xiàn)這步操作，IIS需要?jiǎng)?chuàng)建一個(gè)self-signed 服務(wù)認(rèn)證。)，驗(yàn)證完信息后，就可以開(kāi)始安裝了。

要想成功的設(shè)置Web億恩科技服務(wù)器和同盟億恩科技服務(wù)器，還有一個(gè)重要的環(huán)節(jié)就是證書(shū)的創(chuàng)建和導(dǎo)入導(dǎo)出。前面我們已經(jīng)使用角色添加向?qū)橥藘|恩科技服務(wù)器之間創(chuàng)建了億恩科技服務(wù)器授權(quán)認(rèn)證，剩下要做的就是為adfsweb計(jì)算機(jī)創(chuàng)建對(duì)應(yīng)的授權(quán)認(rèn)證。由于篇幅有限在此就不作詳細(xì)介紹，相關(guān)內(nèi)容可以查詢系列中證書(shū)相關(guān)的文章。
 

第3步: 配置 Web 億恩科技服務(wù)器

在這個(gè)步驟中，我們主要要完成的有如何在一個(gè)Web 億恩科技服務(wù)器上(adfsweb)，設(shè)置一個(gè)claims-aware 應(yīng)用程序。

首先我們來(lái)配制IIS，需要做的就是啟用adfsweb默認(rèn)網(wǎng)站：（1tcdy.com）的SSL設(shè)置，完成后我們?cè)贗IS的ADFSWEB 中雙擊 Web Sites, 右擊 Default Web Site, 選擇Add Application，在Add Application 對(duì)話框的 Alias 中鍵入 claimapp 點(diǎn)擊… 按鍵, 新建一個(gè)文件夾命名為claimapp, 然后確定。需要注意的是命名新文件夾時(shí)最好不要使用大寫(xiě)字母，不然在后面使用時(shí)也要使用對(duì)應(yīng)的大寫(xiě)字母。

第4步: 配置同盟億恩科技服務(wù)器

現(xiàn)在我們已經(jīng)安裝好了ADFS服務(wù)，也已經(jīng)配置好了訪問(wèn)claims-aware 應(yīng)用程序的Web億恩科技服務(wù)器，下面我們就來(lái)配置試驗(yàn)環(huán)境中兩家公司(Trey Research 和 A. Datum Corporation )的同盟服務(wù)。

我們首先來(lái)配置信任策略，在Administrative Tools 中點(diǎn)擊 Active Directory Federation Services 雙擊 Federation Service, 右擊選擇 Trust Policy, 選擇其中的Properties。在 General 頁(yè)簽的Federation Service URI 選項(xiàng)中鍵入urn:federation:adatum 。然后在Federation Service endpoint URL 文本框中驗(yàn)證下面的網(wǎng)址是否正確https://adfsaccount.adatum.com/adfs/ls/ 最后在Display Name 頁(yè)簽的 Display name for this trust policy中鍵入 A. Datum 然后選擇OK確定。完成后我們?cè)俅芜M(jìn)入Active Directory Federation Services.雙擊Federation Service, Trust Policy, My Organization, 右擊 Organization Claims, 點(diǎn)擊 New, 然后點(diǎn)擊 Organization Claim.在Create a New Organization Claim 對(duì)話框的Claim name中鍵入Trey ClaimApp Claim。確定 Group claim 選中后，點(diǎn)擊 OK。另外一家公司的配置與上面的操作基本類似，再次不做累述。

第 5步: 通過(guò)客戶計(jì)算機(jī)訪問(wèn)試驗(yàn)應(yīng)用程序

配置adfsaccount 同盟服務(wù)的瀏覽器設(shè)置

使用alansh用戶登錄到adfsclient ，啟動(dòng)IE，在Tools 菜單中點(diǎn)擊 Internet Options 在 Security 頁(yè)簽點(diǎn)擊 Local intranet,然后點(diǎn)擊 Sites.然后點(diǎn)擊 Advanced.在 Add this Web site to the zone, 中鍵入https://adfsaccount.adatum.com, 點(diǎn)擊 Add 。然后在IE瀏覽器中鍵入https://adfsweb.treyresearch.net/claimapp/.但提示home realm時(shí)，點(diǎn)擊A. Datum 然后點(diǎn)擊Submit 。這樣Claims-aware Sample Application 出現(xiàn)在瀏覽器上，用戶可以在SingleSignOnIdentity.SecurityPropertyCollection 中看到應(yīng)用程序選定的聲明。如果在訪問(wèn)時(shí)出現(xiàn)問(wèn)題，那么用戶可以運(yùn)行iisreset 或者重啟adfsweb計(jì)算機(jī)，然后再次嘗試訪問(wèn)。

至此一個(gè)基本的ADFS試驗(yàn)?zāi)Ｐ鸵呀?jīng)搭建完成，當(dāng)然ADFS依然是一個(gè)全面而復(fù)雜的新技術(shù)，在真正的生產(chǎn)環(huán)境中，我們還會(huì)有許多許多的操作和配置要做，不過(guò)，不管配置如何，正如上文所說(shuō)的, ADFS將極大地?cái)U(kuò)充Web應(yīng)用的能力，擴(kuò)充企業(yè)外部業(yè)務(wù)的信息化程度，讓我們拭目以待Windows Server 2008中ADFS技術(shù)在實(shí)際應(yīng)用中使用情況吧。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]