创建信赖方信任

以下文档提供有关手动创建信赖方信任和使用联合元数据的信息。

手动创建声明感知信赖方信任

要通过使用 AD FS 管理管理单元添加新的依赖方信任并手动配置设置,请在联合服务器上执行以下过程。

若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 查看有关使用适当帐户和本地和域默认组中组成员身份的详细信息。

  1. 在服务器管理器中,单击“工具”,选择“AD FS 管理”

  2. “操作”下,单击“ 添加信赖方信任”。

    Screenshot of the AD FS dialog box with the Add Relying Party Trust option in the Actions pane called out.

  3. 在“欢迎”页上,选择“声明感知”,并单击“启动”

    Screenshot of the Welcome page of the Add Relying Party Trust Wizard showing the Claims aware option selected.

  4. 在“选择数据源”页上,单击“手动输入信赖方数据”,然后单击“下一步”

    Screenshot of the Select Data Source page of the Add Relying Party Trust Wizard showing the Enter data about the relying party manually option selected.

  5. 在“指定显示名称”页上的“显示名称”中键入一个名称,在“说明”下键入有关此信赖方信任的描述,然后单击“下一步”

    Screenshot of the Specify Display Name page of the Add Relying Party Trust Wizard.

  6. “配置证书 ”页上,如果有可选的令牌加密证书,请单击“ 浏览 ”以找到证书文件,然后单击“ 下一步”。

    Screenshot of the Configure Certificate page of the Add Relying Party Trust Wizard showing the Browse button called out.

  7. “配置 URL ”页上,执行以下一项或两项操作,单击“ 下一步”,然后转到步骤 8:

    • 选中“启用对 WS 联合身份验证被动协议的支持”复选框。 在“信赖方 WS 联合身份验证被动协议 URL”下,键入此信赖方信任的 URL,然后单击“下一步”

    • 选中“启用对 SAML 2.0 WebSSO 的支持” 复选框。 在“信赖方 SAML 2.0 SSO 服务 URL”下,键入此信赖方信任的安全断言标记语言 (SAML) 服务终结点 URL,然后单击“下一步”

    Screenshot of the Configure Certificate page of the Add Relying Party Trust Wizard showing the configuration explained above.

  8. 在“配置标识符”页上,为此信赖方指定一个或多个标识符、单击“添加”以将其添加到列表中,然后单击“下一步”

    Screenshot of the Configure Identifiers page of the Add Relying Party Trust Wizard showing identifiers added to the Relying party trust identifiers section.

  9. 在“选择访问控制策略”上选择一个策略,然后单击“下一步”。 有关访问控制策略的详细信息,请参阅 AD FS 中的访问控制策略

    Screenshot of the Choose Access Control Policy page of the Add Relying Party Trust Wizard showing the Permit everyone and require MFA option highlighted.

  10. 在“准备好添加信任”页上,复查设置,然后单击“下一步”来保存信赖方信任的信息。

    Screenshot of the Ready to Add Trust page of the Add Relying Party Trust Wizard.

  11. 在“完成”页面上,单击“关闭”。 执行此操作会自动显示“编辑声明规则”对话框

    Screenshot of the Finish page of the Add Relying Party Trust Wizard.

使用联合元数据创建声明感知信赖方信任

若要使用 AD FS 管理管理单元添加新信赖方信任,通过从合作伙伴发布到本地网络或 Internet 的联合元数据自动导入有关合作伙伴的配置数据,请在帐户合作伙伴组织中的联合服务器上执行以下过程。

注意

尽管使用具有不合格主机名的证书一直很常见,但这些 https://myserver证书没有安全价值,并且可以让攻击者模拟发布联合元数据的联合身份验证服务。 因此,查询联合元数据时,应仅使用完全限定的域名,例如 https://myserver.contoso.com

若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 查看有关使用适当帐户和本地和域默认组中组成员身份的详细信息。

  1. 在服务器管理器中,单击“工具”,选择“AD FS 管理”

  2. “操作”下,单击“ 添加信赖方信任”。

    Another screenshot of the AD FS dialog box with the Add Relying Party Trust option in the Actions pane called out.

  3. 在“欢迎”页上,选择“声明感知”,并单击“启动”

    Another screenshot of the Welcome page of the Add Relying Party Trust Wizard showing the Claims aware option selected.

  4. 在“选择数据源”页上,单击“导入有关在线或在本地网络上发布的信赖方的数据”。 在“联合元数据地址(主机名或 URL)”中,键入伙伴的联合元数据 URL 或主机名,然后单击“下一步”

    Screenshot of the Select Data Source page of the Add Relying Party Trust Wizard showing the Import data about the relying party published online or on a local network option selected.

  5. 在“指定显示 名称”页上,在“备注”下键入此信赖方信任的说明,然后单击“ 下一步”。

  6. 在“选择颁发授权规则” 页上,选择“允许所有用户访问此信赖方” 或“拒绝所有用户访问此信赖方” ,然后单击“下一步”

  7. 在“准备添加信任”页上,查看设置,然后单击“ 下一步 ”保存信赖方信任信息。

  8. 在“完成” 页面上,单击“关闭” 。 执行此操作会自动显示“编辑声明规则”对话框。 有关如何为此信赖方信任添加声明规则的详细信息,请参阅“其他参考”。

另请参阅

AD FS 操作