建立同盟伺服器 Proxy 的時機

在您的組織中建立一台同盟伺服器 Proxy 可為您的 Active Directory 同盟服務 (AD FS) 部署增加額外的安全層。 當您想要達到以下目的時，請考慮在您的組織的周邊網路中部署一台同盟伺服器 Proxy：

• 防止外部用戶端電腦直接存取您的同盟伺服器。 在周邊網路中部署同盟伺服器 Proxy，可讓您有效隔離同盟伺服器，使其只能由透過同盟伺服器 Proxy 登入公司網路而代表外部用戶端電腦運作的用戶端電腦存取。 同盟伺服器 Proxy 無法存取用來產生權杖的私密金鑰。 如需詳細資訊，請參閱 Where to Place a Federation Server Proxy。

• 提供便利的方式，以區別來自網際網路的使用者 (相對於來自您的公司網路、使用 Windows 整合式驗證之使用者的登入體驗。 同盟伺服器 Proxy 會使用同盟伺服器 Proxy 上所儲存的登入、登出和身分識別提供者探索 (homerealmdiscovery.aspx) 頁面，從網際網路用戶端電腦收集認證或主領域的詳細資料。

  相較之下，來自公司網路的用戶端電腦會有不同的體驗，視同盟伺服器的設定而定。 公司網路同盟伺服器通常是針對 Windows 整合式驗證而設定的，可為公司網路的使用者提供順暢的登入體驗。

同盟伺服器 Proxy 在您的組織中所扮演的角色，取決於您將同盟伺服器 Proxy 放置在帳戶夥伴組織中或資源夥伴組織中。 例如，當同盟伺服器 Proxy 位於帳戶夥伴的周邊網路時，其角色將是從瀏覽器用戶端收集使用者認證資訊。 當同盟伺服器 Proxy 位於資源夥伴的周邊網路時，它則會將安全性權杖要求轉送到資源同盟伺服器，並產生組織的安全性權杖以回應由其帳戶夥伴所提供的安全性權杖。

如需詳細資訊，請參閱 Review the Role of the Federation Server Proxy in the Account Partner 和 Review the Role of the Federation Server Proxy in the Resource Partner

如何建立同盟伺服器 Proxy

您可以使用 AD FS 同盟伺服器 Proxy 設定精靈或 Fsconfig.exe 命令列工具來建立同盟伺服器 Proxy。 如需有關如何執行這項操作的指示，請參閱 Configure a Computer for the Federation Server Proxy Role。

如需如何設定部署同盟伺服器 Proxy 所需之所有必要項目的一般資訊，請參閱 Checklist: Setting Up a Federation Server Proxy。

另請參閱

Windows Server 2012 中的 AD FS 設計指南