Active Directory Federation Services 部署循序漸進(jìn)指南Microsoft Corporation發(fā)布日期：2005 年 5 月 20 日作者：Nick Pierso

Active Directory Federation Services 部署循序漸進(jìn)指南

Microsoft Corporation

發(fā)布日期：2005 年 5 月 20 日

作者：Nick Pierson、Jack Couch

編輯：Jim Becker

版本：Beta 2

摘要

本指南提供了在運(yùn)行 Microsoft? Windows Server? 2003 R2 操作系統(tǒng)的服務(wù)器上部署 Active Directory Federation Services (ADFS) 的循序漸進(jìn)操作說(shuō)明。此版本的文檔適用于 Windows Server 2003 R2 Beta 2，提供了在 Federated Web 單一登錄 (SSO) 方案中部署 ADFS 的說(shuō)明。該文檔的未來(lái)版本將提供在其他方案中部署 ADFS 的說(shuō)明。

本文檔支持所述軟件產(chǎn)品的預(yù)備版本。在最終商用版本發(fā)布之前，可能會(huì)有重大改動(dòng)。本文檔屬于 Microsoft Corporation 私有的機(jī)密信息。若要公開(kāi)文檔，需依據(jù)文檔接收人和 Microsoft 之間簽訂的保密協(xié)議。本文檔僅供參考，Microsoft 對(duì)本文檔中的信息不提供任何明示或暗示的保證。本文檔中的信息（包括 URL 以及其它 Internet 網(wǎng)站的參考信息）可能隨時(shí)更改，恕不另行通知。使用本文檔的全部風(fēng)險(xiǎn)以及因此造成的全部后果將由用戶承擔(dān)。除非另外注明，否則此處作為例子提到的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、人員、地點(diǎn)和事件純屬虛構(gòu)，不得與任何真實(shí)的公司、組織、產(chǎn)品、域名、電子郵件地址、徽標(biāo)、人員、地點(diǎn)和事件相聯(lián)系或隨意推測(cè)。用戶有責(zé)任遵守所有適用的版權(quán)法。在版權(quán)法所賦予權(quán)利的前提下，未經(jīng) Microsoft Corporation 明確的書(shū)面許可，任何人不得將本文復(fù)制、存儲(chǔ)或引入可檢索系統(tǒng)，或是以任何形式或通過(guò)任何方式（電子、機(jī)械、影印、錄制或其他方式）傳播本文的任何部分。

本文主題可能涉及 Microsoft 的專利、專利申請(qǐng)、商標(biāo)、版權(quán)或其它知識(shí)產(chǎn)權(quán)。除非獲得 Microsoft Corporation 明確的書(shū)面許可，否則提供本文檔并不代表許可您使用這些專利、商標(biāo)、版權(quán)或其它知識(shí)產(chǎn)權(quán)。

? 2005 Microsoft Corporation。保留所有權(quán)利。

Active Directory、Microsoft 、MS-DOS 、SharePoint 、Windows 、Windows NT 和 Windows Server 是 Microsoft Corporation 在美國(guó)和或其他國(guó)家（地區(qū)）的注冊(cè)商標(biāo)或商標(biāo)。

本文中提及的實(shí)際公司和產(chǎn)品的名稱可能是其各自所有者的商標(biāo)。

目錄

Active Directory Federation Services 部署循序漸進(jìn)指南 . ........... 錯(cuò)誤！未定義書(shū)簽。 部署 ADFS 概述 .............................................. 錯(cuò)誤！未定義書(shū)簽。 帳戶和資源合作伙伴 .......................................... 錯(cuò)誤！未定義書(shū)簽。 帳戶合作伙伴 ................................................ 錯(cuò)誤！未定義書(shū)簽。 資源合作伙伴 ................................................ 錯(cuò)誤！未定義書(shū)簽。 聯(lián)合信任 .................................................... 錯(cuò)誤！未定義書(shū)簽。 服務(wù)器角色 .................................................. 錯(cuò)誤！未定義書(shū)簽。 ADFS 方案 .................................................. 錯(cuò)誤！未定義書(shū)簽。 Federated Web SSO . ......................................... 錯(cuò)誤！未定義書(shū)簽。 具有林信任的 Federated Web SSO ............................. 錯(cuò)誤！未定義書(shū)簽。 Web SSO ................................................... 錯(cuò)誤！未定義書(shū)簽。 在 Federated Web SSO 方案中部署 ADFS ....................... 錯(cuò)誤！未定義書(shū)簽。 步驟 1： 為支持 ADFS 聯(lián)合進(jìn)行網(wǎng)絡(luò)準(zhǔn)備 ....................... 錯(cuò)誤！未定義書(shū)簽。 Active Directory 或 ADAM ..................................... 錯(cuò)誤！未定義書(shū)簽。 Active Directory .............................................. 錯(cuò)誤！未定義書(shū)簽。 ADAM ...................................................... 錯(cuò)誤！未定義書(shū)簽。 DNS ........................................................ 錯(cuò)誤！未定義書(shū)簽。 配置 DNS 轉(zhuǎn)發(fā)器 ............................................. 錯(cuò)誤！未定義書(shū)簽。 證書(shū)服務(wù) .................................................... 錯(cuò)誤！未定義書(shū)簽。 步驟 2： 安裝用于聯(lián)合服務(wù)器角色的計(jì)算機(jī) . ..................... 錯(cuò)誤！未定義書(shū)簽。 安裝必備的應(yīng)用程序 .......................................... 錯(cuò)誤！未定義書(shū)簽。 安裝 ASP.NET 和 IIS 應(yīng)用程序 ................................. 錯(cuò)誤！未定義書(shū)簽。

安裝 Microsoft .Net Framework 2.0 Beta 2 應(yīng)用程序 ............... 錯(cuò)誤！未定義書(shū)簽。 申請(qǐng)、下載和安裝證書(shū) ........................................ 錯(cuò)誤！未定義書(shū)簽。 申請(qǐng)和安裝 SSL 證書(shū) ......................................... 錯(cuò)誤！未定義書(shū)簽。 申請(qǐng)和安裝令牌簽名證書(shū) ...................................... 錯(cuò)誤！未定義書(shū)簽。 安裝 CRL . ................................................... 錯(cuò)誤！未定義書(shū)簽。 安裝 ADFS 的 Federation Service 組件 .......................... 錯(cuò)誤！未定義書(shū)簽。 配置信任策略 ................................................ 錯(cuò)誤！未定義書(shū)簽。 配置 Windows 安全日志，支持 ADFS 事件審核 ................... 錯(cuò)誤！未定義書(shū)簽。 步驟 3： 配置資源合作伙伴組織中的 Federation Service .......... 錯(cuò)誤！未定義書(shū)簽。 在 Federation Service 中添加 Web 應(yīng)用程序 ..................... 錯(cuò)誤！未定義書(shū)簽。 在 Federation Service 中添加支持聲明的應(yīng)用程序 . ................ 錯(cuò)誤！未定義書(shū)簽。 在 Federation Service 中添加傳統(tǒng) Windows 應(yīng)用程序 ............. 錯(cuò)誤！未定義書(shū)簽。 在 Federation Service 中添加帳戶合作伙伴 ...................... 錯(cuò)誤！未定義書(shū)簽。 獲得帳戶合作伙伴的令牌簽名證書(shū) .............................. 錯(cuò)誤！未定義書(shū)簽。 在 Federation Service 中添加帳戶合作伙伴 ...................... 錯(cuò)誤！未定義書(shū)簽。 添加其他帳戶合作伙伴簽名證書(shū) ................................ 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建和配置聲明和傳入聲明轉(zhuǎn)換 ................................ 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建組聲明 .................................................. 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建自定義聲明 .............................................. 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建一個(gè)傳入的組聲明轉(zhuǎn)換 .................................... 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建一個(gè)傳入的自定義聲明轉(zhuǎn)換 ................................ 錯(cuò)誤！未定義書(shū)簽。 步驟 4： 配置帳戶合作伙伴組織中的 Federation Service .......... 錯(cuò)誤！未定義書(shū)簽。 在 Federation Service 中添加帳戶存儲(chǔ) .......................... 錯(cuò)誤！未定義書(shū)簽。 添加 Active Directory 帳戶存儲(chǔ) ................................. 錯(cuò)誤！未定義書(shū)簽。 添加 ADAM 帳戶存儲(chǔ) ......................................... 錯(cuò)誤！未定義書(shū)簽。

將 Active Directory 安全組映射到組聲明 ......................... 錯(cuò)誤！未定義書(shū)簽。 在 Federation Service 中添加資源合作伙伴 ...................... 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建和配置聲明和傳出聲明轉(zhuǎn)換 ................................ 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建組聲明 .................................................. 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建自定義聲明 .............................................. 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建一個(gè)傳出的組聲明轉(zhuǎn)換 .................................... 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建一個(gè)傳出的自定義聲明轉(zhuǎn)換 ................................ 錯(cuò)誤！未定義書(shū)簽。 步驟 5： 為跨聯(lián)合使用基于 Web 的應(yīng)用程序配置 Web 服務(wù)器 ..... 錯(cuò)誤！未定義書(shū)簽。 安裝必備的應(yīng)用程序 .......................................... 錯(cuò)誤！未定義書(shū)簽。 安裝 Microsoft .Net Framework 2.0 Beta 2 ....................... 錯(cuò)誤！未定義書(shū)簽。 安裝 IIS ..................................................... 錯(cuò)誤！未定義書(shū)簽。 申請(qǐng)和安裝 SSL 證書(shū) ......................................... 錯(cuò)誤！未定義書(shū)簽。 創(chuàng)建 SSL 證書(shū)申請(qǐng) ........................................... 錯(cuò)誤！未定義書(shū)簽。 將 SSL 證書(shū)申請(qǐng)?zhí)峤唤o CA .................................... 錯(cuò)誤！未定義書(shū)簽。 下載 SSL 證書(shū) ............................................... 錯(cuò)誤！未定義書(shū)簽。 安裝 SSL 證書(shū) ............................................... 錯(cuò)誤！未定義書(shū)簽。 配置 Windows 安全日志，支持 ADFS 事件審核 ................... 錯(cuò)誤！未定義書(shū)簽。 為支持聲明的應(yīng)用程序配置 Web 服務(wù)器 ......................... 錯(cuò)誤！未定義書(shū)簽。 安裝 ADFS Web Service Agent ................................. 錯(cuò)誤！未定義書(shū)簽。 配置 IIS ..................................................... 錯(cuò)誤！未定義書(shū)簽。 修改支持聲明的應(yīng)用程序的 Web.config 文件以支持 ADFS ......... 錯(cuò)誤！未定義書(shū)簽。 為傳統(tǒng) Windows 應(yīng)用程序配置 Web 服務(wù)器 ...................... 錯(cuò)誤！未定義書(shū)簽。 安裝 ADFS Web Service Agent ................................. 錯(cuò)誤！未定義書(shū)簽。 配置 IIS 和 ADFS Web Service Agent ........................... 錯(cuò)誤！未定義書(shū)簽。 安裝和配置 Windows SharePoint Services ....................... 錯(cuò)誤！未定義書(shū)簽。

步驟 6： 配置客戶端計(jì)算機(jī)跨聯(lián)合訪問(wèn) Web 應(yīng)用程序 . ............ 錯(cuò)誤！未定義書(shū)簽。 在客戶端計(jì)算機(jī)上安裝 SSL 證書(shū) ............................... 錯(cuò)誤！未定義書(shū)簽。 配置客戶端計(jì)算機(jī)的 Internet Explorer 設(shè)置 ...................... 錯(cuò)誤！未定義書(shū)簽。 檢驗(yàn)帳戶合作伙伴或資源合作伙伴 Federation Service 是否工作正常 . 錯(cuò)誤！未定義書(shū)簽。 ADFS 資源 .................................................. 錯(cuò)誤！未定義書(shū)簽。 ADFS 資源 .................................................. 錯(cuò)誤！未定義書(shū)簽。 白皮書(shū) ...................................................... 錯(cuò)誤！未定義書(shū)簽。 網(wǎng)站 ........................................................ 錯(cuò)誤！未定義書(shū)簽。

ADFS 部署循序漸進(jìn)指南 7

Active Directory Federation Services 部署循序漸進(jìn)指南

此“Active Directory Federation Services 部署循序漸進(jìn)指南”為部署 Active Directory Federation Services (ADFS) 提供了說(shuō)明性指導(dǎo)。在部署 ADFS 后，用戶可以將其作為組織的最佳單一登錄 (SSO) 解決方案，通過(guò)一次聯(lián)機(jī)會(huì)話針對(duì)多個(gè)相關(guān)的 Web 應(yīng)用程序?qū)τ脩暨M(jìn)行身份驗(yàn)證。ADFS 能夠安全地跨越安全性和企業(yè)邊界，共享數(shù)字身份和權(quán)限，從而實(shí)現(xiàn)這個(gè)解決方案。

有關(guān) ADFS 部署的常規(guī)信息，請(qǐng)參考“部署 ADFS 概述”

針對(duì)部署 ADFS 執(zhí)行基于 Web 的 SSO 身份驗(yàn)證，存在三種主要的方案：

?

?

? 在具有林信任的 Federated Web SSO 方案中部署 ADFS [此預(yù)備版本未涉及該內(nèi)容。] 在 Web SSO 方案中部署 ADFS [此預(yù)備版本未涉及該內(nèi)容。]

有關(guān) ADFS 的詳細(xì)信息，請(qǐng)參考“ADFS 資源”。

部署 ADFS 概述

Active Directory Federation Services (ADFS) 為構(gòu)建聯(lián)合身份管理解決方案提供了一個(gè)安全的基礎(chǔ)結(jié)構(gòu)，這種解決方案能夠?qū)⒔M織現(xiàn)有的身份管理功能擴(kuò)展到 Internet。通過(guò) ADFS 的部署，用戶可以擴(kuò)展跨越組織和平臺(tái)邊界的分布式識(shí)別、身份驗(yàn)證和授權(quán)服務(wù)。ADFS 可以用于：

?

?

?

? 保持對(duì)職員或客戶身份的完全控制，而不必使用其他登錄提供程序（Passport 、Liberty Alliance 等等）。 在職員或客戶從網(wǎng)絡(luò)防火墻內(nèi)訪問(wèn)跨組織網(wǎng)站時(shí)，為他們提供基于 Web 的單一登錄 (SSO) 體驗(yàn)。 在職員或客戶遠(yuǎn)程訪問(wèn)組織的內(nèi)部網(wǎng)站時(shí)，為他們提供基于 Web 的 SSO 體驗(yàn)。 提供對(duì) Internet 中任何聯(lián)合合作伙伴所擁有資源的無(wú)縫訪問(wèn)，無(wú)需用戶或客戶再次登

錄。

在組織中部署 ADFS 之前，我們建議首先閱讀下列內(nèi)容，熟悉基本的 ADFS 概念以及順利部署 ADFS 的組織和服務(wù)器平臺(tái)要求：

請(qǐng)將反饋信息發(fā)送到 r2mailto@microsoft.com

ADFS 部署循序漸進(jìn)指南 8

? ? ?

帳戶和資源合作伙伴

在規(guī)劃使用 ADFS 的跨組織協(xié)作時(shí)，首先需要確定組織是否需要承載其他組織可以通過(guò) Internet 訪問(wèn)的 Web 資源——反之亦然。這將影響到如何部署 ADFS，它是 ADFS 基礎(chǔ)結(jié)構(gòu)規(guī)劃的根本所在。

ADFS 使用“帳戶合作伙伴”和“資源合作伙伴”這樣的名稱來(lái)幫助區(qū)分擁有帳戶的組織（帳戶合作伙伴）和擁有 Web 資源的組織（資源合作伙伴）。在 ADFS 中，也使用“聯(lián)合信任”來(lái)表示帳戶合作伙伴和資源合作伙伴組織之間所建立的單向、非傳遞性關(guān)系。 下面的幾節(jié)內(nèi)容將介紹一些與帳戶合作伙伴、資源合作伙伴以及聯(lián)合信任關(guān)系相關(guān)的概念。

帳戶合作伙伴

帳戶合作伙伴是聯(lián)合信任關(guān)系中的一個(gè)組織合作伙伴（也稱為聯(lián)合合作伙伴），它們?cè)? Active Directory 存儲(chǔ)或在 Active Directory Application Mode (ADAM) 存儲(chǔ)中保存用戶帳戶。承載在資源聯(lián)合服務(wù)器上的 Federation Service 信任帳戶合作伙伴。它代表帳戶端 Federation Service 向其用戶頒發(fā)安全令牌的組織實(shí)體?？梢栽诼?lián)合信任中提交這些令牌，以訪問(wèn)資源合作伙伴組織中的資源。

也就是說(shuō)，帳戶合作伙伴使用帳戶端 Federation Service 來(lái)對(duì)用戶進(jìn)行身份驗(yàn)證，創(chuàng)建安全令牌。然后由資源合作伙伴使用這些安全令牌來(lái)做出授權(quán)決定。

從 Active Directory 的角度，ADFS 中的帳戶合作伙伴在概念上等同于單個(gè)

Active Directory 林，其中的帳戶需要訪問(wèn)保存在另一個(gè)林中的資源。只有在兩個(gè)林之間存在外部或林信任關(guān)系，并且希望進(jìn)行訪問(wèn)的用戶被授予了合適的權(quán)限，這個(gè)林中的帳戶才可以訪問(wèn)資源林中的資源。

資源合作伙伴

資源合作伙伴是聯(lián)合信任關(guān)系中的另一個(gè)組織合作伙伴。它擁有承載了一個(gè)或多個(gè) Web 應(yīng)用程序的 Web 服務(wù)器。資源合作伙伴信任帳戶合作伙伴來(lái)對(duì)用戶進(jìn)行身份驗(yàn)證。因此，在資源合作伙伴做出授權(quán)決定時(shí)，它接受帳戶合作伙伴生成的安全令牌。

請(qǐng)將反饋信息發(fā)送到 r2mailto@microsoft.com

ADFS 部署循序漸進(jìn)指南 9

資源合作伙伴信任承載在帳戶聯(lián)合服務(wù)器上的 Federation Service。資源合作伙伴的 Federation Service 使用帳戶合作伙伴所生成的安全令牌，針對(duì)位于資源合作伙伴處的 Web 服務(wù)器做出授權(quán)決策。

資源合作伙伴組織中的 Web 服務(wù)器必須安裝有 ADFS 的 ADFS Web Services Agent 組件，才能擔(dān)當(dāng) ADFS 資源的角色。而作為 ADFS 資源 Web 服務(wù)器既可以承載支持聲明的應(yīng)用程序，也可以承載傳統(tǒng)的 Windows 應(yīng)用程序。

有關(guān)如何在 Web 服務(wù)器上安裝支持聲明的應(yīng)用程序或傳統(tǒng) Windows 應(yīng)用程序的詳細(xì)信息，請(qǐng)參考“步驟 5：為跨聯(lián)合使用基于 Web 的應(yīng)用程序配置 Web 服務(wù)器”。

注意：

如果承載在 Web 服務(wù)器上的應(yīng)用程序是傳統(tǒng)的 Windows 應(yīng)用程序，那么需要為資源合作伙伴組織的 Active Directory 林設(shè)置一個(gè)映像帳戶。有關(guān)映像帳戶的詳細(xì)信息，請(qǐng)參考“步驟 1：為支持 ADFS 聯(lián)合進(jìn)行網(wǎng)絡(luò)準(zhǔn)備”。

從 Active Directory 的角度，資源合作伙伴在概念上等同于單個(gè)的林，存儲(chǔ)在另一個(gè)林中的帳戶可以通過(guò)外部信任或林信任關(guān)系訪問(wèn)其中的資源。

聯(lián)合信任

在通過(guò) ADFS 建立組織間的通訊流后，以前混亂的合作關(guān)系將能夠得到改變。這將有助于在通過(guò)聯(lián)合信任關(guān)系連接在一起的組織間建立更有效、更安全的聯(lián)機(jī)事務(wù)處理。正如下圖所示，當(dāng)兩個(gè)合作伙伴組織都部署有至少一臺(tái) ADFS 聯(lián)合服務(wù)器，并正確地配置

Federation Service 設(shè)置時(shí)，可以在它們之間建立聯(lián)合信任關(guān)系。圖中單向的箭頭顯示了信任的方向（類似于 Windows 信任），它總是指向林的帳戶端。這意味著身份驗(yàn)證從帳戶合作伙伴組織流向資源合作伙伴組織。

在建立聯(lián)合信任后，在資源合作伙伴組織的 Web 服務(wù)器上做出的身份驗(yàn)證請(qǐng)求可以順利地通過(guò)聯(lián)合信任從位于帳戶合作伙伴組織中的用戶處傳遞過(guò)來(lái)。如果帳戶合作伙伴組織和

請(qǐng)將反饋信息發(fā)送到 r2mailto@microsoft.com

ADFS 部署循序漸進(jìn)指南 10

資源合作伙伴組織都安裝有 ADFS 的 Federation Service 組件，并且使用 Active Directory Federation Services 管理單元正確地配置了帳戶合作和資源合作伙伴，那么將能夠建立聯(lián)合信任。

在創(chuàng)建聯(lián)合信任前，請(qǐng)確認(rèn)網(wǎng)絡(luò)支持 ADFS。有關(guān)詳細(xì)信息，請(qǐng)參考“步驟 1：為支持 ”。

如果管理員沒(méi)有配置或正確配置聯(lián)合信任的一方（不論是帳戶合作伙伴，還是資源合作伙伴），將無(wú)法成功地創(chuàng)建該聯(lián)合信任。為了正確配置聯(lián)合信任的雙方，請(qǐng)參考本指南中的步驟 3 和 4。有關(guān)如何創(chuàng)建資源合作伙伴的詳細(xì)信息，請(qǐng)參考“步驟 3：配置資源合作伙伴組織中的 Federation Service”。有關(guān)如何創(chuàng)建帳戶合作伙伴的詳細(xì)信息，請(qǐng)參考“步驟 4：配置帳戶合作伙伴組織中的 Federation Service”。

服務(wù)器角色

只有配置了運(yùn)行 Windows Server 2003 R2 的合適服務(wù)器，才能夠運(yùn)行 ADFS。而且根據(jù)組織所處環(huán)境的不同，必須部署特定的 ADFS 服務(wù)器角色。下表介紹了實(shí)現(xiàn) ADFS 聯(lián)合身份管理解決方案中所需要的服務(wù)器角色。

請(qǐng)將反饋信息發(fā)送到 r2mailto@microsoft.com