Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Když vytvoříte federační server ve službě Active Directory Federation Services (AD FS), poskytnete prostředky, pomocí kterých může vaše organizace:
Zapojte se do komunikace založené na jednotném přihlašování na webu s jinou organizací (která má aspoň jeden federační server) a v případě potřeby s zaměstnanci ve vaší vlastní organizaci (kteří potřebují přístup přes internet).
Umožněte front-endovým službám vystupovat za uživatele vůči infrastrukturním službám pomocí delegování identity. Další informace naleznete v tématu Kdy použít delegování identity.
Následující části popisují některá z klíčových rozhodnutí při určování, kdy a kde vytvořit jeden nebo více federačních serverů.
Určení organizační role pro federační server
Pokud chcete učinit informované rozhodnutí o tom, kdy vytvořit nový federační server, musíte nejprve určit, ve které organizaci se bude server nacházet. Role, kterou federační server hraje v organizaci, závisí na tom, jestli federační server umístíte do organizace partnera poskytujícího účty nebo do organizace partnera poskytujícího prostředky.
Když je federační server umístěn v podnikové síti partnera poskytujícího účty, jeho role je ověření přihlašovacích údajů uživatele klientů prohlížeče, webové služby nebo selektoru identit a odesílání tokenů zabezpečení klientům. V tématu Přehled role federačního serveru v partnerovi poskytujícím účtynajdete další informace.
Když je federační server umístěný v podnikové síti partnera poskytujícího prostředky, jeho role je ověřovat uživatele na základě tokenu zabezpečení vydaného federačním serverem v organizaci partnera poskytujícího prostředky nebo jeho role přesměrování žádostí o tokeny z nakonfigurovaných webových aplikací nebo webových služeb do organizace partnera poskytujícího účty, do které klient patří. Pro více informací viz téma Přezkoumání role federačního serveru u partnera poskytujícího prostředky.
Určete, který návrh služby AD FS nasadit
Federační servery ve vaší organizaci vytvoříte pokaždé, když chcete nasadit některý z následujících návrhů služby AD FS:
V případě potřeby může organizace, která nasadí návrh jednotného přihlašování k federovaným webům, nakonfigurovat jeden federační server tak, aby se choval v roli partnera poskytujícího účty i v roli partnera poskytujícího prostředky. V tomto případě může federační server vytvořit tokeny SAML (Security Assertion Markup Language) na základě uživatelských účtů ve vlastní organizaci nebo přesměrovat žádosti o tokeny do organizace na základě toho, kde se nacházejí účty uživatelů.
Poznámka:
Pro návrh jednotného přihlašování pro federované weby musí existovat alespoň jeden federační server u partnera poskytujícího účty a alespoň jeden federační server u partnera poskytujícího prostředky.
Rozdíly mezi federačním serverem a proxy federačního serveru
Federační server může poskytovat webové stránky pro přihlášení, zásady, ověřování a zjišťování stejným způsobem jako proxy federačního serveru. Hlavní rozdíly mezi federačním serverem a proxy federačního serveru se týkají toho, jaké operace může federační server provádět, které proxy federačního serveru nemůže provádět.
Následují operace, které může provádět pouze federační server:
Federační server provádí kryptografické operace, které vytvoří token. I když proxy federačního serveru nemůžou vytvářet tokeny, dají se použít ke směrování nebo přesměrování tokenů na klienty a v případě potřeby zpět na federační server. Další informace o použití federačních serverů naleznete v tématu Kdy vytvořit proxy federačního serveru.
Federační servery podporují použití integrovaného ověřování systému Windows pro klienty v podnikové síti; proxy federačního serveru ne. Další informace o použití integrovaného ověřování systému Windows s federačním serverem naleznete v tématu Kdy vytvořit farmu federačních serverů.
Upozornění
Komunikace mezi federačními servery a konfiguračními databázemi SQL Serveru, úložišti atributů SQL Serveru, řadiči domény a instancemi služby AD LDS nejsou ve výchozím nastavení chráněny integritou ani důvěrností. Pokud chcete tento problém zmírnit, zvažte ochranu komunikačního kanálu mezi těmito servery pomocí protokolu IPSEC nebo pomocí fyzicky zabezpečeného připojení mezi všemi těmito servery. Pro komunikaci mezi federačními servery a SQL servery zvažte použití ochrany SSL v připojovacím řetězci. U připojení mezi federačními servery a řadiči domény zvažte zapnutí podepisování a šifrování Kerberos. Pro LDAP není protokol LDAP/S podporován pro AD LDS/AD DS.
Vytvoření federačního serveru
Federační server můžete vytvořit pomocí Průvodce konfigurací federačního serveru služby AD FS nebo pomocí nástroje příkazového řádku Fsconfig.exe. Pokud používáte některý z těchto nástrojů, můžete vybrat některou z následujících možností a vytvořit federační server.
Vytvoření samostatného federačního serveru
Další informace o nastavení samostatného federačního serveru najdete v tématu Vytvoření Stand-Alone federačního serveru.
Vytvoření prvního federačního serveru ve farmě federačních serverů
Další informace o tom, jak nastavit první federační server nebo přidat federační server do farmy, najdete v tématu Vytvoření prvního federačního serveru ve farmě federačních serverů.
Přidání federačního serveru do farmy federačních serverů
Další informace o tom, jak přidat federační server do farmy, naleznete v tématu Přidání federačního serveru do farmy federačních serverů.
Podrobnější informace o tom, jak každá z těchto možností funguje, naleznete v tématu Úloha konfigurační databáze služby AD FS.
Další informace o nastavení všech požadavků potřebných k nasazení federačního serveru najdete v tématu Kontrolní seznam: Nastavení federačního serveru.
Viz také
Průvodce návrhem služby AD FS ve Windows Serveru 2012