共用方式為


部署同盟伺服器

若要在 Active Directory 同盟服務 (AD FS) 中部署同盟伺服器,請完成檢查清單:設定同盟伺服器中的每個工作

注意

當您使用此檢查清單時,建議您先閱讀 Windows Server 2012 AD FS 設計指南中的同盟伺服器規劃參考,再開始設定伺服器的程式。 以這種方式遵循檢查清單,可進一步了解同盟伺服器的設計和部署程式。

關於同盟伺服器

同盟伺服器是執行 Windows Server 2008 且已安裝 AD FS 軟體的電腦,這些電腦已設定為以同盟伺服器角色進行運作。 同盟伺服器會對來自其他組織的使用者帳戶,或可能位於網際網路任何位置的用戶端,進行驗證或路由要求。

在電腦上安裝 AD FS 軟體並使用 AD FS 同盟伺服器組態精靈以將其設定為同盟角色,會讓該電腦成為同盟伺服器。 它也可在 Start\Administrative Tools\ 功能表中的該電腦上使用 AD FS 管理嵌入式管理單元,以便您可以指定下列項目:

  • 合作夥伴組織和應用程式將傳送權杖要求和回應的 AD FS 主機名稱

  • 合作夥伴組織和應用程式將用來識別您組織的唯一名稱或位置的 AD FS 識別碼

  • 伺服器陣列中所有同盟伺服器的權杖簽署憑證將用來發行和簽署權杖

  • 用於用戶端登入、登出和帳戶合作夥伴探索的自訂 ASP.NET 網頁位置,可增強用戶端體驗

    注意

    其中大部分的核心使用者介面 (UI) 設定都包含在每個同盟伺服器上的 web.config 檔案中。 未在 web.config 檔案中指定 AD FS 主機名稱和 AD FS 識別碼值。

同盟伺服器裝載宣告發行引擎,該引擎會根據認證 (例如,使用者名稱和密碼) 來發出權杖。 安全性權杖表示一或多個宣告的密碼編譯簽署資料單位。 宣告是伺服器對用戶端所作的相關陳述 (例如,名稱、身分識別、金鑰、群組、權限或功能)。 在同盟伺服器上驗證認證之後 (透過使用者登入程序),使用者宣告會透過檢查儲存在指定屬性存放區中的使用者屬性來進行收集。

在同盟網頁單一登入 (SSO) 設計 (涉及兩個或多個組織的 AD FS 設計) 中,宣告可由特定信賴憑證者的宣告規則加以修改。 宣告內建於權杖中,該權杖會傳送至資源夥伴組織中的同盟伺服器。 在資源夥伴中的同盟伺服器收到宣告作為傳入宣告之後,它會執行宣告發行引擎來執行一組宣告規則,以篩選、傳遞或轉換這些宣告。 宣告接著會內建至資源夥伴中網頁伺服器的新權杖中。

在網頁 SSO 設計中 (只涉及一個組織的 AD FS 設計),可以使用單一同盟伺服器,讓員工能夠登入一次,而且仍然可以存取多個應用程式。