创建声明提供方信任
若要使用 AD FS 管理管理单元添加新的声明提供程序信任并手动配置设置,请在资源伙伴组织中的资源伙伴联合身份验证服务器上执行以下步骤。
本地计算机上的 Administrators 中的成员身份或等效身份是完成这些过程所需的最低要求。 查看有关使用适当帐户和本地和域默认组中组成员身份的详细信息。
手动创建声明提供方信任的步骤
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在“操作”下,单击“添加声明提供方信任”。
在“欢迎使用”页面上,单击“启动”。
在“选择数据源”页面上,单击“手动输入声明提供方信任数据”,然后单击“下一步”。
在“指定显示名称”页面上键入一个显示名称,在“注释”下键入此声明提供方信任的描述,然后单击“下一步”。
在“配置 URL”页上,指定“WS 联合身份验证被动 URL”(如果适用),然后单击“下一步”。
在“配置标识符”页面上的“声明提供方信任标识符”下,键入相应的标识符,然后单击“下一步”。
在“配置证书”页面上,单击“添加”找到证书文件并将它添加到证书列表,然后单击“下一步”。
在“准备好添加信任”页面上,单击“下一步”保存声明提供方信任信息。
在“完成”页面上,单击“关闭”。 执行此操作会自动显示“编辑声明规则”对话框。 有关如何为此声明提供方信任添加声明规则的详细信息,请参阅以下附加参考。
使用联合元数据创建声明提供方信任
若要使用 AD FS 管理单元,通过从合作伙伴发布到本地网络或 Internet 的联合元数据自动导入有关合作伙伴的配置数据来添加新的声明提供方信任,请在资源合作伙伴组织中的联合身份验证服务器上执行以下过程。
注意
虽然使用主机名不合格(例如 https://myserver)的证书是长期以来的普遍做法,但这些证书没有安全价值,并且可以使攻击者模拟正在发布联合元数据的联合身份验证服务。 因此,当你查询联合元数据时,应当只使用完全限定的域名,例如 https://myserver.contoso.com
。
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在“操作”下,单击“添加声明提供方信任”。
在“欢迎使用”页面上,单击“启动”。
在“选择数据源”页面上,单击“导入有关在线或在本地网络上发布的声明提供方的数据”。 在“联合元数据地址(主机名或 URL)”中,键入伙伴的联合元数据 URL 或主机名,然后单击“下一步”。
在“指定显示名称”页面上键入一个显示名称,在“注释”下键入此声明提供方信任的描述,然后单击“下一步”。
在“准备好添加信任”页面上,单击“下一步”保存声明提供方信任信息。
在“完成” 页面上,单击“关闭” 。 这将自动显示“编辑声明规则”对话框。 有关如何为此声明提供方信任添加声明规则的详细信息,请参阅下文中的“其他参考”部分。