Windows Server 2008 R2 中的 AD FS 循序漸進(jìn)指南 更新時間: 2009年1月應(yīng)用到: Windows Server 2008 R2Active Directory? 聯(lián)合身

Windows Server 2008 R2 中的 AD FS 循序漸進(jìn)指南 更新時間: 2009年1月

應(yīng)用到: Windows Server 2008 R2

Active Directory? 聯(lián)合身份驗證服務(wù) (AD FS) 是可以在 Windows Server? 2008 R2 操作系統(tǒng)中安裝的服務(wù)器角色。可使用 AD FS 服務(wù)器角色創(chuàng)建可高度擴(kuò)展、可通過 Internet 升級和安全的身份訪問解決方案，此解決方案可在多個平臺上工作，包括 Microsoft? Windows? 環(huán)境和非 Windows 環(huán)境。

有關(guān) AD FS 的其他信息，請參閱 Active Directory 聯(lián)合身份驗證服務(wù)概述（可能為英文網(wǎng)頁）。 關(guān)于本指南

本指南提供了在 Hyper-V? 測試實驗室中針對運(yùn)行 Windows Server 2008 R2 的計算機(jī)的設(shè)置 AD FS 的說明。它介紹如何安裝和測試單個聲明感知應(yīng)用程序。有關(guān)設(shè)置 Hyper-V 服務(wù)器的詳細(xì)信息，請參閱“用 Hyper-V 虛擬化”(http://go.microsoft.com/fwlink/?LinkId=126326) （可能為英文網(wǎng)頁）。

可以使用本指南中的代碼創(chuàng)建一個示例聲明感知應(yīng)用程序。不需要使用任何其他下載內(nèi)容。本指南中的說明大概需要花費(fèi)兩個小時才能完成。

可以使用該測試實驗室環(huán)境評估 AD FS 技術(shù)以及評估如何在組織中部署該技術(shù)。當(dāng)完成本指南的步驟后，您將能夠： ? 設(shè)置四臺計算機(jī)（一個客戶端計算機(jī)、一個啟用了 AD FS 的 Web 服務(wù)器和兩臺聯(lián)合身份驗證服務(wù)器），以參與兩個虛構(gòu)公司（A. Datum Corporation 和 Trey Research）之間的 AD FS 聯(lián)合身份驗證。

?

?

?

? 創(chuàng)建兩個林，以用作聯(lián)合用戶的指定帳戶存儲。每個林將代表一個虛構(gòu)公司。 使用 AD FS 在兩個公司之間建立聯(lián)合信任關(guān)系。 使用 AD FS 創(chuàng)建、填充和映射聲明。 為一個公司的用戶提供訪問位于另一個公司的聲明感知應(yīng)用程序的聯(lián)合訪問權(quán)限。

為盡可能成功地完成本指南中的目標(biāo)，請務(wù)必執(zhí)行以下所有操作：

?

?

?

? 按順序執(zhí)行本指南中的步驟。 使用指定的精確 IP 地址。 使用指定的準(zhǔn)確計算機(jī)名、用戶名、組名、公司名、聲明名和域名。 如果使用虛擬化軟件時失敗，請嘗試使用四臺連接到專用網(wǎng)絡(luò)上的單個計算機(jī)。

Microsoft 已使用 Hyper-V 軟件成功測試本指南。對這些配置詳細(xì)信息所做的任何修改都可能會影響或限制首次嘗試時成功設(shè)置此實驗室的可能性。

本指南未提供的內(nèi)容

本指南未提供以下內(nèi)容：

? 安裝和配置基于 Microsoft Windows NT? 令牌的應(yīng)用程序（如 Windows? SharePoint? Services 或

Microsoft Office SharePoint Portal Server 2003）以用于 AD FS 的說明

? 將 Microsoft Office SharePoint Server 2007 配置為聲明感知應(yīng)用程序的說明

有關(guān)將 Office SharePoint Server 2007 配置為聲明感知應(yīng)用程序以用于 AD FS 的信息，請參閱“使用 ADFS 配置 Web SSO 身份驗證 (Office SharePoint Server)”(http://go.microsoft.com/fwlink/?LinkId=84805) （可能為英文網(wǎng)頁）。

? 在生產(chǎn)環(huán)境中設(shè)置和配置 AD FS 的指南

有關(guān)如何部署或管理 AD FS 的信息，請在 Active Directory 聯(lián)合身份驗證服務(wù)

(http://go.microsoft.com/fwlink/?LinkId=133130) （可能為英文網(wǎng)頁）上查找 AD FS 規(guī)劃、部署和操作內(nèi)容。

? 設(shè)置和配置 Microsoft 證書服務(wù)以用于 AD FS 的說明

有關(guān)設(shè)置和配置 Microsoft 證書服務(wù)的信息，請參閱“Windows Server 2003 公鑰基礎(chǔ)結(jié)

構(gòu)”(http://go.microsoft.com/fwlink/?LinkId=19936) （可能為英文網(wǎng)頁）。

? 設(shè)置和配置聯(lián)合身份驗證服務(wù)器代理的說明

Windows Server 2008 R2 中的 AD FS 的要求

若要完成本指南中的這些步驟，必須配置四臺使用以下操作系統(tǒng)的測試計算機(jī)：

?

? Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter，用于聯(lián)合身份驗證服務(wù)器 Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2

Datacenter ，用于啟用了 AD FS 的 Web 服務(wù)器

? Windows 7，用于 AD FS 客戶端計算機(jī)。

步驟 1：預(yù)安裝任務(wù)

更新時間: 2009年1月

應(yīng)用到: Windows Server 2008 R2

在安裝 Active Directory 聯(lián)合身份驗證服務(wù) (AD FS) 之前，請先對將用于評估 AD FS 技術(shù)的四個主要虛擬機(jī) (VM) 進(jìn)行設(shè)置。

預(yù)安裝任務(wù)包括以下內(nèi)容：

?

? 配置計算機(jī)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)置 安裝并配置 AD DS

查看有關(guān)使用適當(dāng)帳戶和組成員關(guān)系的詳細(xì)信息，請訪問本地默認(rèn)組和域默認(rèn)組

(http://go.microsoft.com/fwlink/?LinkId=83477)（可能為英文鏈接）。

管理憑據(jù)

若要執(zhí)行本步驟中的所有任務(wù)，請使用本地 Administrator 帳戶逐個登錄這四臺計算機(jī)。若要在 Active Directory 域服務(wù) (AD DS) 中創(chuàng)建帳戶，請使用域的 Administrator 帳戶進(jìn)行登錄。

配置計算機(jī)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)置

參照下表設(shè)置完成本指南中步驟所需的適當(dāng)計算機(jī)名稱、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)置。

務(wù)必在客戶端上分別設(shè)置首選和備用域名系統(tǒng) (DNS) 服務(wù)器這兩項設(shè)置。如果未按指定要求配置這兩種類型的值，則 AD FS 方案將無法正常運(yùn)行。

安裝并配置 AD DS

本節(jié)包括以下過程：

? ? ?

安裝 AD DS

創(chuàng)建帳戶

將測試計算機(jī)加入相應(yīng)的域

安裝 AD DS

可以使用添加角色向?qū)Х謩e在兩個聯(lián)合身份驗證服務(wù)器上新建一個 AD DS 林。在向?qū)ы撝墟I入值時，請使用下表中的公司名稱和 AD DS 域名。若要啟動添加角色向?qū)?，請依次單擊「開始」、“管理工具”、“服務(wù)器管理器”，然后單擊右側(cè)窗格中的“添加角色”。

作為最佳安全操作，在生產(chǎn)環(huán)境下不要將域控制器同時作為聯(lián)合身份驗證服務(wù)器和域控制器運(yùn)行。

在本指南中，A. Datum 代表帳戶伙伴組織，Trey Research 代表資源伙伴組織。

創(chuàng)建帳戶

設(shè)置了兩個林后，啟動“Active Directory 用戶和計算機(jī)”管理單元，以創(chuàng)建某些可用于測試和驗證跨這兩個林進(jìn)行聯(lián)合訪問的帳戶。在 adfsaccount 計算機(jī)上配置下表中的值。

將測試計算機(jī)加入相應(yīng)的域

使用下表中的值來指定哪些計算機(jī)將加入哪個域。在 adfsclient 和 adfsweb 計算機(jī)上執(zhí)行此操作。

步驟 2：安裝 AD FS 角色服務(wù)并配置證書

更新時間: 2009年1月

應(yīng)用到: Windows Server 2008 R2

此時您已完成計算機(jī)配置并將其加入到域中，現(xiàn)在即可在每臺服務(wù)器上安裝 Active Directory 聯(lián)合身份驗證服務(wù) (AD FS) 角色服務(wù)。此步驟包括以下過程：

?

?

?

? 安裝聯(lián)合身份驗證服務(wù) 配置兩個聯(lián)合身份驗證服務(wù)器上的 IIS 以要求 SSL 安裝 AD FS Web 代理 創(chuàng)建、導(dǎo)出和導(dǎo)入證書

管理憑據(jù)

若要執(zhí)行本步驟中的所有過程，請使用域的 Administrator 帳戶登錄到 adfsaccount 計算機(jī)和 adfsresource 計算機(jī)。使用本地 Administrator 帳戶登錄到 adfsweb 計算機(jī)。

安裝聯(lián)合身份驗證服務(wù)

按照下面的過程在 adfsaccount 計算機(jī)和 adfsresource 計算機(jī)上安裝 AD FS 的聯(lián)合身份驗證服務(wù)組件。在計算機(jī)上安裝聯(lián)合身份驗證服務(wù)后，該計算機(jī)就成了聯(lián)合身份驗證服務(wù)器。

此聯(lián)合身份驗證服務(wù)安裝過程將引導(dǎo)您完成為每臺聯(lián)合身份驗證服務(wù)器新建信任策略文件、自簽名安全套接字層 (SSL) 證書和令牌簽名證書的過程。

安裝聯(lián)合身份驗證服務(wù)的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“服務(wù)器管理器”。

2. 右鍵單擊“角色”，然后單擊“添加角色”以啟動添加角色向?qū)А?/p>

3. 在“開始之前”頁上，單擊“下一步”。

4. 在“選擇服務(wù)器角色”頁上，單擊“Active Directory 聯(lián)合身份驗證服務(wù)”。單擊兩次“下一步”。 5. 在“選擇角色服務(wù)”頁上，選中“聯(lián)合身份驗證服務(wù)”復(fù)選框。如果提示您安裝其他 Web 服務(wù)器 (IIS) 或 Windows 進(jìn)程激活服務(wù)角色服務(wù)，則單擊“添加必需的角色服務(wù)”安裝它們，然后單擊“下一步”。 6. 在“選擇 SSL 加密的服務(wù)器身份驗證證書”頁上，單擊“為 SSL 加密創(chuàng)建自簽名證書”，然后單擊“下一步”。

7. 在“選擇令牌簽名證書”頁上，單擊“創(chuàng)建自簽名令牌簽名證書”，然后單擊“下一步”。

8. 在“選擇信任策略”頁上，單擊“新建信任策略”，然后單擊“下一步”兩次。

9. 在“選擇角色服務(wù)”頁上，單擊“下一步”以接受默認(rèn)值。

10. 驗證“確認(rèn)安裝選擇”頁上的信息，然后單擊“安裝”。

11. 在“安裝結(jié)果”頁上，確認(rèn)所有內(nèi)容均已正確安裝，然后單擊“關(guān)閉”。

配置兩個聯(lián)合身份驗證服務(wù)器上的 IIS 以要求 SSL

按照下面的過程將 adfsresource 和 adfsaccount 這兩個聯(lián)合身份驗證服務(wù)器默認(rèn)網(wǎng)站的 Internet 信息服務(wù) (IIS) 配置為要求 SSL。

配置 adfsaccount 服務(wù)器上的 IIS 的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(wù)(IIS)管理器”。

2. 在控制臺樹中，依次雙擊 ADFSACCOUNT 和“站點(diǎn)”，然后單擊“默認(rèn)網(wǎng)站”。

3. 在“操作”窗格中，單擊“綁定”。

4. 在“站點(diǎn)綁定”對話框中，單擊“添加”。

5. 在“類型”中，單擊 https 。

6. 在“SSL 證書”下，依次單擊 adfsaccount.adatum.com 、“確定”和“關(guān)閉”。

7. 在中心窗格中，雙擊“SSL 設(shè)置”，然后選中“要求 SSL”復(fù)選框。

8. 在“客戶端證書”下，單擊“接受”，然后單擊“應(yīng)用”。

配置 adfsresource 服務(wù)器上的 IIS 的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(wù)(IIS)管理器”。

2. 在控制臺樹中，依次雙擊 ADFSRESOURCE 和“站點(diǎn)”，然后單擊“默認(rèn)網(wǎng)站”。

3. 在中心窗格中，雙擊“SSL 設(shè)置”，然后選中“要求 SSL”復(fù)選框。

4. 在“客戶端證書”下，單擊“接受”，然后單擊“應(yīng)用”。

安裝 AD FS Web 代理

按照下面的過程在 Web 服務(wù)器 (adfsweb) 上安裝聲明感知 Web 代理。

安裝 AD FS Web 代理的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“服務(wù)器管理器”。

2. 右鍵單擊“角色”，然后單擊“添加角色”以啟動添加角色向?qū)А?/p>

3. 在“開始之前”頁上，單擊“下一步”。

4. 在“選擇服務(wù)器角色”頁上，單擊“Active Directory 聯(lián)合身份驗證服務(wù)”。單擊兩次“下一步”。 5. 在“選擇角色服務(wù)”頁上，選中“聲明感知代理”復(fù)選框。如果提示您安裝其他 Web 服務(wù)器 (IIS) 或

Windows 進(jìn)程激活服務(wù)角色服務(wù)，則單擊“添加必需的角色服務(wù)”安裝它們，然后單擊“下一步”。

6. 在“Web 服務(wù)器(IIS)”頁上，單擊“下一步”。

7. 在“選擇角色服務(wù)”頁上，除預(yù)先選中的復(fù)選框以外，還要選中“客戶端證書映射身份驗證”和“IIS 管理

控制臺”復(fù)選框，然后單擊“下一步”。

如果選中“客戶端證書映射身份驗證”復(fù)選框，系統(tǒng)將安裝在創(chuàng)建自簽名服務(wù)器所要求的身份驗證證書時 IIS 必須具有的組件。

8. 在驗證了“確認(rèn)安裝選擇”頁上的信息后，單擊“安裝”。

9. 在“安裝結(jié)果”頁上，確認(rèn)所有內(nèi)容均已正確安裝，然后單擊“關(guān)閉”。

創(chuàng)建、導(dǎo)出和導(dǎo)入證書

Web 服務(wù)器和聯(lián)合身份驗證服務(wù)器設(shè)置成功最重要的因素是正確創(chuàng)建并導(dǎo)出所需證書。因為之前使用添加角色向?qū)б褳閮蓚€聯(lián)合身份驗證服務(wù)器創(chuàng)建了服務(wù)器身份驗證證書，所以此時只需為 adfsweb 計算機(jī)創(chuàng)建服務(wù)器身份驗證證書。本節(jié)包括以下過程：

?

?

?

? 為 adfsweb 創(chuàng)建服務(wù)器身份驗證證書 將 adfsaccount 中的令牌簽名證書導(dǎo)出到文件 將 adfsresource 服務(wù)器身份驗證證書導(dǎo)出到文件 將 adfsresource 的服務(wù)器身份驗證證書導(dǎo)入 adfsweb

為 adfsweb 創(chuàng)建服務(wù)器身份驗證證書

按照下面的過程在 Web 服務(wù)器 (adfsweb) 上創(chuàng)建自簽名服務(wù)器身份驗證證書。

為 adfsweb 創(chuàng)建服務(wù)器身份驗證證書的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(wù)(IIS)管理器”。

2. 在控制臺樹中，單擊 ADFSWEB 。

3. 在中心窗格中，雙擊“服務(wù)器證書”。

4. 在“操作”窗格中，單擊“創(chuàng)建自簽名證書”。

5. 在“創(chuàng)建自簽名證書”對話框中，鍵入 adfsweb ，然后單擊“確定”。

將 adfsaccount 中的令牌簽名證書導(dǎo)出到文件

按照下面的過程在帳戶聯(lián)合服務(wù)器 (adfsaccount) 上將 adfsaccount 中的令牌簽名證書導(dǎo)出到文件。 將 adfsaccount 中的令牌簽名證書導(dǎo)出到文件的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Active Directory 聯(lián)合身份驗證服務(wù)”。

2. 右鍵單擊“聯(lián)合身份驗證服務(wù)”，然后單擊“屬性”。

3. 在“常規(guī)”選項卡上，單擊“查看”。

4. 在“詳細(xì)信息”選項卡上，單擊“復(fù)制到文件”。

5. 在“歡迎使用證書導(dǎo)出向?qū)А表撋?，單擊“下一步”?/p>

6. 在“導(dǎo)出私鑰”頁上，單擊“否，不導(dǎo)出私鑰”，然后單擊“下一步”。

7. 在“導(dǎo)出文件格式”頁上，單擊“DER 編碼二進(jìn)制 X.509 (.CER)”，然后單擊“下一步”。 8. 在“要導(dǎo)出的文件”頁上，鍵入 d:?fsaccount_ts.cer，然后單擊“下一步”。

9. 在“完成證書導(dǎo)出向?qū)А鄙?，單擊“完成”?/p>

將 adfsresource 服務(wù)器身份驗證證書導(dǎo)出到文件

僅當(dāng) Web 服務(wù)器 (adfsweb) 信任資源聯(lián)合身份驗證服務(wù)器 (adfsresource) 的根證書時，資源聯(lián)合身份驗證服務(wù)器和 Web 服務(wù)器之間才能正常通信。

由于在本指南介紹的方案中使用的是自簽名證書，因此服務(wù)器身份驗證證書是根證書。因此，必須通過將資源聯(lián)合服務(wù)器 (adfsresource) 身份驗證證書導(dǎo)出到文件，然后將該文件導(dǎo)入 Web 服務(wù)器 (adfsweb) 來建立此信任關(guān)系。若要將 adfsresource 服務(wù)器身份驗證證書導(dǎo)出到文件，請在 adfsresource 上執(zhí)行下面的過程。

將 adfsresource 服務(wù)器身份驗證證書導(dǎo)出到文件的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(wù)(IIS)管理器”。

2. 在控制臺樹中，單擊 ADFSRESOURCE 。

3. 在中心窗格中，雙擊“服務(wù)器證書”。

4. 在中心窗格中，右鍵單擊 adfsresource.treyresearch.net ，然后單擊“導(dǎo)出”。

5. 在“導(dǎo)出證書”對話框中，單擊 ? 按鈕。

6. 在“文件名”中，鍵入 d:?fsresource，然后單擊“打開”。

7. 為證書鍵入一個密碼，確認(rèn)該密碼，然后單擊“確定”。

將 adfsresource 的服務(wù)器身份驗證證書導(dǎo)入 adfsweb

若要導(dǎo)入 adfsresource 的服務(wù)器身份驗證證書，請在 Web 服務(wù)器 (adfsweb) 上執(zhí)行下面的過程。

將 adfsresource 的服務(wù)器身份驗證證書導(dǎo)入 adfsweb 的步驟

1. 依次單擊「開始」、“運(yùn)行”，鍵入 mmc ，然后單擊“確定”。