Windows Server2008 ADFS配置攻略

ADFS是Windows Server 2008 操作系統中的一項新功能，它提供了一個統一的訪問解決方案，用于解決基于瀏覽器的內外部用戶的訪問。這項新功能甚至可以實現完全不同的兩個網絡或者是組織之間的帳戶以及應用程序之間的通訊。

要理解ADFS的工作原理，可以先考慮活動目錄的工作原理。當用戶通過活動目錄進行認證時，域控制器檢查用戶的證書。當證明是合法用戶后，用戶就可以隨意訪問Windows網絡的任何授權資源，而無需在每次訪問不同億恩科技服務器時重新認證。ADFS將同樣的概念應用到Internet。我們都知道當Web應用需要訪問位于數據庫或其他類型后端資源上的后端數據時，對后端資源的安全認證問題往往比較復雜。現在可以使用的有很多不同的認證方法提供這樣的認證。例如，用戶可能通過RADIUS(遠程撥入用戶服務認證)億恩科技服務器或者通過應用程序代碼的一部分實現所有權認證機制。這些認證機制都可實現認證功能，但是也有一些不足之處。不足之一是賬戶管理。當應用僅被企業自己的員工訪問時，賬戶管理并不是個大問題。但是，如果企業的供應商、客戶都使用該應用時，就會突然發現用戶需要為其他企業的員工建立新的用戶賬戶。不足之二是維護問題。當其他企業的員工離職，雇傭新員工時，用戶還需要刪除舊的賬戶和創建新的賬戶。

ADFS能為您做什么?

如果用戶將賬戶管理的任務轉移到他們的客戶、供應商或者其他使用Web應用的人那里會是什么樣子哪? 設想一下， Web應用為其他企業提供服務，而用戶再也不用為那些員工創建用戶賬戶或者重設密碼。如果這還不夠，使用這一應用的用戶也不再需要登錄應用。那將是一件多么令人興奮的事情。

ADFS需要什么?

當然，活動目錄聯合服務還需要其它的一些配置才能使用，用戶需要一些億恩科技服務器執行這些功能。最基本的是聯合億恩科技服務器，聯合億恩科技服務器上運行ADFS的聯合服務組件。 聯合億恩科技服務器的主要作用是發送來自不同外部用戶的請求，它還負責向通過認證的用戶發放令牌。

另外在大多數情況下還需要聯合代理。試想一下，如果外部網絡要能夠和用戶內部網絡建立聯合協議，這就意味著用戶的聯合億恩科技服務器要能通過Internet訪問。但是活動目錄聯合并不很依賴于活動目錄，因此直接將聯合億恩科技服務器暴露在Internet上將帶來很大的風險。正因為這樣，聯合億恩科技服務器不能直接和Internet相連，而是通過聯合代理訪問。聯合代理向聯合億恩科技服務器中轉來自外部的聯合請求，聯合億恩科技服務器就不會直接暴露給外部。

另一ADFS的主要組件是ADFS Web代理。Web應用必須有對外部用戶認證的機制。這些機制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 億恩科技服務器發放的認證cookies。

在下面的文章中我們將帶領大家通過一個模擬的試驗環境來一起感受ADFS服務帶給企業的全新感受，閑言少敘，我們下面就開始ADFS的配置試驗。
 

第1步：預安裝任務

要想完成下面的試驗，用戶在安裝ADFS之前先要準備好至少四臺計算機。

1)配置計算機的操作系統和網絡環境

使用下表來配置試驗的計算機系統以及網絡環境。

2)安裝 AD DS

用戶使用Dcpromo工具為每個同盟億恩科技服務器(FS)創建一個全新的活動目錄森林，具體的名稱可以參考下面的配置表。

3)創建用戶帳戶以及資源帳戶

設置好兩個森林后，用戶就可以通過“用戶帳戶和計算機”(Active Directory Users and Computers )工具來創建一些帳戶為下面的試驗做好準備。下面的列表給出了一些例子，供用戶參考：

4)將測試計算機加入到適當的域

按照下表將對應的計算機加入到適當的域中，需要注意的是將這些計算機加入域前，用戶需要先將對應域控制器上的防火墻禁用掉.
 

第2步：安裝 AD FS 角色服務，配置證書

現在我們已經配置好計算機并且將它們加入到域中，同時對于每臺億恩科技服務器我們也已經安裝好了ADFS組件。

1)安裝同盟服務

兩臺計算機上安裝同盟服務，安裝完成后，這兩臺計算機就變成了同盟億恩科技服務器。下面的操作將會引導我們創建一個新的信任策略文件以及SSL和證書：

點擊Start ，選擇 Administrative Tools ，點擊 Server Manager。右擊 Manage Roles， 選中Add roles 啟動添加角色向導。在Before You Begin 頁面點擊 Next。在 Select Server Roles 頁選擇 Active Directory Federation Services 點擊Next 。在Select Role Services 選擇 Federation Service 復選框，如果系統提示用戶安裝 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服務，那么點擊 Add Required Role Services 添加它們，完成后點擊 Next 。在 Choose a Certificate for SSL Encryption 頁面點擊 Create a self-signed certificate for SSL encryption, 點擊 Next 繼續，在 Choose Token-Signing Certificate 頁面點擊Create a self-signed token-signing certificate, 點擊 Next. 接下來的Select Trust Policy 頁面選擇 Create a new trust policy,下一步進入 Select Role Services 頁面點擊 Next 來確認默認值。在 Confirm Installation Options 校驗完信息后，就可以點擊Install 開始安裝了。

2)將本地系統帳戶分配到 ADFSAppPool identity

點擊Start ，在 Administrative Tools中的 Internet Information Services (IIS) Manager中，雙擊ADFSRESOURCE 或者 ADFSACCOUNT ，選擇 Application Pools ，在中心面板上右擊ADFSAppPool ，選擇Set Application Pool Defaults.在Identity Type, 點擊 LocalSystem ，然后選擇 OK。

3)安裝 AD FS Web 代理

在 Administrative Tools中 Server Manager 右擊 Manage Roles ，選擇 Add roles ，根據向導在Select Server Roles 頁面選擇 Active Directory Federation Services.，點擊Next 后在 Select Role Services 窗口中選擇 Claims-aware Agent 復選框。如果向導提示用戶安裝 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服務,那么點擊 Add Required Role Services 來完成安裝。完成后在Select Role Services 頁面,選擇 Client Certificate Mapping Authentication 復選框(要想實現這步操作，IIS需要創建一個self-signed 服務認證。)，驗證完信息后，就可以開始安裝了。

要想成功的設置Web億恩科技服務器和同盟億恩科技服務器，還有一個重要的環節就是證書的創建和導入導出。前面我們已經使用角色添加向導為同盟億恩科技服務器之間創建了億恩科技服務器授權認證，剩下要做的就是為adfsweb計算機創建對應的授權認證。由于篇幅有限在此就不作詳細介紹，相關內容可以查詢系列中證書相關的文章。
 

第3步: 配置 Web 億恩科技服務器

在這個步驟中，我們主要要完成的有如何在一個Web 億恩科技服務器上(adfsweb)，設置一個claims-aware 應用程序。

首先我們來配制IIS，需要做的就是啟用adfsweb默認網站：（www.czbl888.cn）的SSL設置，完成后我們在IIS的ADFSWEB 中雙擊 Web Sites, 右擊 Default Web Site, 選擇Add Application，在Add Application 對話框的 Alias 中鍵入 claimapp 點擊… 按鍵, 新建一個文件夾命名為claimapp, 然后確定。需要注意的是命名新文件夾時最好不要使用大寫字母，不然在后面使用時也要使用對應的大寫字母。

第4步: 配置同盟億恩科技服務器

現在我們已經安裝好了ADFS服務，也已經配置好了訪問claims-aware 應用程序的Web億恩科技服務器，下面我們就來配置試驗環境中兩家公司(Trey Research 和 A. Datum Corporation )的同盟服務。

我們首先來配置信任策略，在Administrative Tools 中點擊 Active Directory Federation Services 雙擊 Federation Service, 右擊選擇 Trust Policy, 選擇其中的Properties。在 General 頁簽的Federation Service URI 選項中鍵入urn:federation:adatum 。然后在Federation Service endpoint URL 文本框中驗證下面的網址是否正確https://adfsaccount.adatum.com/adfs/ls/ 最后在Display Name 頁簽的 Display name for this trust policy中鍵入 A. Datum 然后選擇OK確定。完成后我們再次進入Active Directory Federation Services.雙擊Federation Service, Trust Policy, My Organization, 右擊 Organization Claims, 點擊 New, 然后點擊 Organization Claim.在Create a New Organization Claim 對話框的Claim name中鍵入Trey ClaimApp Claim。確定 Group claim 選中后，點擊 OK。另外一家公司的配置與上面的操作基本類似，再次不做累述。

第 5步: 通過客戶計算機訪問試驗應用程序

配置adfsaccount 同盟服務的瀏覽器設置

使用alansh用戶登錄到adfsclient ，啟動IE，在Tools 菜單中點擊 Internet Options 在 Security 頁簽點擊 Local intranet,然后點擊 Sites.然后點擊 Advanced.在 Add this Web site to the zone, 中鍵入https://adfsaccount.adatum.com, 點擊 Add 。然后在IE瀏覽器中鍵入https://adfsweb.treyresearch.net/claimapp/.但提示home realm時，點擊A. Datum 然后點擊Submit 。這樣Claims-aware Sample Application 出現在瀏覽器上，用戶可以在SingleSignOnIdentity.SecurityPropertyCollection 中看到應用程序選定的聲明。如果在訪問時出現問題，那么用戶可以運行iisreset 或者重啟adfsweb計算機，然后再次嘗試訪問。

至此一個基本的ADFS試驗模型已經搭建完成，當然ADFS依然是一個全面而復雜的新技術，在真正的生產環境中，我們還會有許多許多的操作和配置要做，不過，不管配置如何，正如上文所說的, ADFS將極大地擴充Web應用的能力，擴充企業外部業務的信息化程度，讓我們拭目以待Windows Server 2008中ADFS技術在實際應用中使用情況吧。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]