Создание изолированного сервера федерации
После установки службы ролей службы федерации и настройки необходимых сертификатов на компьютере можно настроить компьютер, чтобы стать сервером федерации. Для настройки компьютера можно использовать следующую процедуру, чтобы стать автономным сервером федерации. Процесс создания автономного сервера федерации также создает новую службу федерации. Вы создаете сервер федерации с помощью мастера настройки сервера федерации AD FS.
Примечание.
Для разработки федеративного единого входа (SSO) необходимо иметь по крайней мере один сервер федерации в партнерской организации учетной записи и по крайней мере один сервер федерации в партнерской организации ресурсов. Дополнительные сведения см. в разделе Where to Place a Federation Server.
Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Ознакомьтесь с подробными сведениями об использовании соответствующих учетных записей и членства в группах по умолчанию в локальных и доменных группах (http://go.microsoft.com/fwlink/?LinkId=83477).
Создание автономного сервера федерации
Существует два способа запуска мастера настройки сервера федерации AD FS. Чтобы запустить мастер, выполните одно из следующих действий.
После завершения установки службы роли федерации откройте оснастку управления AD FS и щелкните ссылку мастера настройки сервера федерации AD FS на странице обзора или на панели действий .
В любое время после завершения мастера установки откройте Windows Обозреватель, перейдите в папку C:\Windows\ADFS, а затем дважды щелкните FsConfigWizard.exe.
На странице Приветствие убедитесь, что установлен флажок Создание новой службы федерации, а затем нажмите кнопку Далее.
На странице "Выбор автономного" или "Развертывание фермы" щелкните автономный сервер федерации и нажмите кнопку "Далее".
Внимание
При выборе параметра автономного сервера федерации в мастере настройки сервера федерации AD FS учетная запись службы, связанная со службой федерации, автоматически будет назначена учетной записи NETWORK SERVICE. Использование NETWORK SERVICE в качестве учетной записи службы рекомендуется только в ситуациях, когда вы оцениваете AD FS в тестовой лабораторной среде. Если вы планируете использовать автономный сервер федерации для развертывания сервера федерации в рабочей среде, важно изменить эту учетную запись службы на более подходящую учетную запись службы, которая может быть выделена для обслуживания запросов для этой новой службы федерации. Изменение учетной записи службы на учетную запись, отличной от NETWORK SERVICE, приведет к устранению возможных векторов атак, которые в противном случае помогут вашему серверу федерации уязвимы для вредоносных атак.
На странице Указание имени службы федерации убедитесь, что отображаемый SSL-сертификат верен. В противном случае выберите соответствующий сертификат из списка SSL-сертификатов .
Этот сертификат создается на основе параметров SSL для веб-сайта по умолчанию. Если для веб-сайта по умолчанию настроен только один SSL-сертификат, он представлен и автоматически выбран для использования. Если для веб-сайта по умолчанию настроено несколько SSL-сертификатов, все эти сертификаты перечислены здесь и пользователь должен самостоятельно выбрать нужный. Если параметры SSL для веб-сайта по умолчанию не настроены, создается список из сертификатов, доступных в хранилище личных сертификатов на локальном компьютере.
Примечание.
Этот мастер не позволяет переопределить сертификат, если для IIS настроен SSL-сертификат. Это гарантирует сохранность любой нужной конфигурации IIS для SSL-сертификатов. Чтобы обойти это ограничение, можно удалить сертификат или перенастроить его вручную с помощью консоли управления IIS.
Если выбранная база данных AD FS уже существует, откроется страница "Обнаруженная база данных конфигурации AD FS". Если это происходит, нажмите кнопку "Удалить базу данных" и нажмите кнопку "Далее".
Внимание
Выберите этот параметр, только если вы уверены, что данные в этой базе данных AD FS не важны или не используются в рабочей ферме серверов федерации.
Просмотрите подробные сведения на странице Готовность к применению настроек. Если параметры отображаются правильными, нажмите кнопку "Далее ", чтобы начать настройку AD FS с помощью этих параметров.
Просмотрите результаты на странице Результаты конфигурации. Завершив все действия по настройке конфигурации, щелкните Закрыть, чтобы выйти из мастера.
Дополнительная справка
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по