Menyebarkan Server Federasi

Untuk menyebarkan server federasi di Layanan Federasi Direktori Aktif (AD FS), selesaikan setiap tugas di Daftar Periksa: Menyiapkan Server Federasi.

Catatan

Saat Anda menggunakan daftar periksa ini, kami sarankan Anda terlebih dahulu membaca referensi ke perencanaan server federasi dalam Panduan Desain Layanan Federasi Direktori Aktif di Windows Server 2012 sebelum Anda memulai prosedur untuk mengonfigurasi server. Mengikuti daftar periksa dengan cara ini memberikan pemahaman yang lebih baik tentang proses desain dan penyebaran untuk server federasi.

Tentang server federasi

Server federasi adalah komputer yang menjalankan Windows Server 2008 dengan perangkat lunak Layanan Federasi Direktori Aktif yang diinstal yang telah dikonfigurasi untuk bertindak dalam peran server federasi. Server federasi mengautentikasi atau merutekan permintaan dari akun pengguna di organisasi lain dan dari komputer klien yang dapat ditemukan di mana saja di Internet.

Tindakan menginstal perangkat lunak Layanan Federasi Direktori Aktif di komputer dan menggunakan Wizard Konfigurasi Server Federasi Layanan Federasi Direktori Aktif untuk mengonfigurasinya untuk peran server federasi menjadikan komputer tersebut sebagai server federasi. Ini juga membuat snap-in Manajemen Layanan Federasi Direktori Aktif tersedia di komputer tersebut di menu Start\Administrative Tools\ sehingga Anda dapat menentukan hal berikut:

• Nama host Layanan Federasi Direktori Aktif tempat organisasi dan aplikasi mitra akan mengirim permintaan dan respons token

• Pengidentifikasi Layanan Federasi Direktori Aktif yang akan digunakan organisasi dan aplikasi mitra untuk mengidentifikasi nama atau lokasi unik organisasi Anda

• Sertifikat penandatanganan token yang akan digunakan semua server federasi di farm server untuk menerbitkan dan menandatangani token

• Lokasi halaman Web ASP.NET yang disesuaikan untuk masuk, keluar, dan penemuan mitra akun klien yang akan meningkatkan pengalaman klien

  Catatan

  Sebagian besar pengaturan antarmuka pengguna inti (UI) ini terkandung dalam file web.config di setiap server federasi. Nama host Layanan Federasi Direktori Aktif dan nilai pengidentifikasi Ad FS tidak ditentukan dalam file web.config.

Server federasi menghosting mesin penerbitan klaim yang mengeluarkan token berdasarkan kredensial (misalnya, nama pengguna dan kata sandi) yang disajikan kepadanya. Token keamanan adalah unit data yang ditandatangani secara kriptografis yang mengekspresikan satu atau beberapa klaim. Klaim adalah pernyataan yang dilakukan server (misalnya, nama, identitas, kunci, grup, hak istimewa, atau kemampuan) tentang klien. Setelah kredensial diverifikasi di server federasi (melalui proses masuk pengguna), klaim untuk pengguna dikumpulkan melalui pemeriksaan atribut pengguna yang disimpan di penyimpanan atribut yang ditentukan.

Dalam desain Federated Web Single-Sign-On (SSO) (desain LAYANAN Federasi Direktori Aktif tempat dua organisasi atau lebih terlibat), klaim dapat dimodifikasi oleh aturan klaim untuk pihak yang mengandalkan tertentu. Klaim dibangun ke dalam token yang dikirim ke server federasi di organisasi mitra sumber daya. Setelah server federasi di mitra sumber daya menerima klaim sebagai klaim masuk, ia menjalankan mesin penerbitan klaim untuk menjalankan serangkaian aturan klaim untuk memfilter, melewati, atau mengubah klaim tersebut. Klaim kemudian dibangun ke dalam token baru yang dikirim ke server Web di mitra sumber daya.

Dalam desain SSO Web (desain LAYANAN Federasi Direktori Aktif di mana hanya satu organisasi yang terlibat), satu server federasi dapat digunakan sehingga karyawan dapat masuk sekali dan masih mengakses beberapa aplikasi.