部署联合服务器

若要在 Active Directory 联合身份验证服务 (AD FS) 中部署联合服务器，请完成清单：设置联合服务器中的每个任务。

注意

使用此清单时，建议你在开始配置服务器的过程之前，首先阅读 Windows Server 2012 中的 AD FS 设计指南中的联合服务器规划参考。 以这种方式根据清单进行操作可以更好地了解联合服务器的设计和部署过程。

关于联合服务器

联合服务器是运行 Windows Server 2008 并安装了 AD FS 软件的计算机，这些计算机已配置为充当联合服务器角色。 联合服务器验证或路由来自其他组织中的用户帐户和来自可位于 Internet 上的任何位置的客户端计算机的请求。

在计算机上安装 AD FS 软件并使用 AD FS 联合服务器配置向导将其配置为充当联合服务器角色的行为使该计算机成为联合服务器。 它还使 AD FS 管理单元在该计算机上的“开始\管理工具\”菜单中可用，以便你可以指定以下内容：

• 合作伙伴组织和应用程序用来发送令牌请求和响应的 AD FS 主机名

• 合作伙伴组织和应用程序用于标识组织的独特名称或位置的 AD FS 标识符

• 服务器场中的所有联合服务器用于颁发和签署令牌的令牌签名证书

• 用于可增强客户端体验的客户端登录、注销和帐户合作伙伴发现的自定义 ASP.NET 网页的位置

  注意

  这些核心用户界面 (UI) 设置的大部分都包含在每个联合服务器上的 web.config 文件中。 未在 web.config 文件中指定 AD FS 主机名和 AD FS 标识符值。

联合服务器托管一个声明颁发引擎，该引擎颁发的令牌基于为此服务提供的凭据（例如用户名和密码）。 安全令牌是表示一个或多个声明的加密签名数据单元。 声明是服务器生成的与客户端有关的语句（例如名称、标识、密钥、组、权限或功能）。 在联合服务器上（通过用户登录过程）验证凭据后，通过检查存储在指定属性存储中的用户属性来收集用户的声明。

在联合 Web 单一登录 (SSO) 设计（涉及两个或多个组织的 AD FS 设计）中，可以通过特定信赖方的声明规则修改声明。 声明内置于发送到资源伙伴组织中的联合服务器的令牌中。 在资源合作伙伴中的联合服务器接收到作为传入声明的声明后，它会执行声明颁发引擎来运行一组声明规则，以便筛选、传递或转换这些声明。 然后将声明内置到一个发送到资源合作伙伴中的 Web 服务器的新令牌中。

在 Web SSO 设计（一种只涉及一个组织的 AD FS 设计）中，可以使用单个联合服务器，以便员工登录一次就可以访问多个应用程序。