Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Aby wdrożyć serwery federacyjne w usługach Active Directory Federation Services (AD FS), wykonaj każde z zadań na liście kontrolnej: Konfigurowanie serwera federacyjnego.
Uwaga
Jeśli używasz tej listy kontrolnej, zalecamy najpierw przeczytanie odwołań do planowania serwera federacyjnego w przewodniku projektowania usług AD FS w systemie Windows Server 2012 przed rozpoczęciem procedur konfigurowania serwerów. Korzystanie z listy kontrolnej w ten sposób zapewnia lepsze zrozumienie procesu projektowania i wdrażania serwerów federacyjnych.
Informacje o serwerach federacyjnych
Serwery federacyjne to komputery z systemem Windows Server 2008 z zainstalowanym oprogramowaniem usług AD FS, które zostały skonfigurowane do działania w roli serwera federacyjnego. Serwery federacyjne uwierzytelniają lub kierują żądania z kont użytkowników w innych organizacjach i z komputerów klienckich, które mogą znajdować się w dowolnym miejscu w Internecie.
Czynność instalowania oprogramowania usług AD FS na komputerze oraz użycie Kreatora konfiguracji serwera federacyjnego usług AD FS do skonfigurowania go w roli serwera federacyjnego sprawia, że ten komputer staje się serwerem federacyjnym. Udostępnia również przystawkę Zarządzanie usługami AD FS na tym komputerze w menu Start\Narzędzia administracyjne\ , aby można było określić następujące elementy:
Nazwa hosta usług AD FS, w którym organizacje partnerskie i aplikacje będą wysyłać żądania tokenu i odpowiedzi
Identyfikator usług AD FS używany przez organizacje partnerskie i aplikacje do identyfikowania unikatowej nazwy lub lokalizacji organizacji
Certyfikat podpisywania tokenu używany przez wszystkie serwery federacyjne w farmie serwerów do wystawiania i podpisywania tokenów
Lokalizacja dostosowanych ASP.NET stron Webowych do logowania, wylogowania i wyszukiwania partnera konta, które poprawią doświadczenie klienta.
Uwaga
Większość tych podstawowych ustawień interfejsu użytkownika znajduje się w pliku web.config na każdym serwerze federacyjnym. Nazwy hosta usług AD FS i wartości identyfikatora usług AD FS nie są określone w pliku web.config.
Serwery federacyjne hostują aparat wystawiania oświadczeń, który wystawia tokeny na podstawie poświadczeń (na przykład nazwy użytkownika i hasła), które są im prezentowane. Token zabezpieczający to kryptograficznie podpisana jednostka danych, która wyraża co najmniej jedno oświadczenie. Twierdzenie to stwierdzenie, które serwer składa (na przykład nazwę, tożsamość, klucz, grupę, uprawnienia lub możliwości) na temat klienta. Po zweryfikowaniu poświadczeń na serwerze federacyjnym (za pośrednictwem procesu logowania użytkownika) oświadczenia użytkownika są zbierane przez badanie atrybutów użytkownika przechowywanych w określonym magazynie atrybutów.
W federacyjnych projektach jednokrotnego logowania (SSO) w sieci Web (projektach AD FS, w których uczestniczą co najmniej dwie organizacje), oświadczenia mogą być modyfikowane przez reguły oświadczeń dla określonej relacji zaufanej. Oświadczenia są wbudowane w token wysyłany do serwera federacyjnego w organizacji partnera zasobów. Gdy serwer federacyjny partnera zasobów odbiera oświadczenia jako oświadczenia przychodzące, uruchamia mechanizm wystawiania oświadczeń, aby uruchomić zestaw reguł dotyczących oświadczeń do filtrowania, przekazywania lub przekształcania tych oświadczeń. Oświadczenia są następnie wbudowane w nowy token, który jest wysyłany do serwera sieci Web w partnerze zasobów.
W projekcie logowania jednokrotnego w sieci Web (projekt usług AD FS, w którym uczestniczy tylko jedna organizacja), można użyć jednego serwera federacyjnego, aby pracownicy mogli logować się raz i nadal uzyskiwać dostęp do wielu aplikacji.