在您的組織中建立同盟伺服器 Proxy 會將額外的安全性層級新增至 Active Directory 同盟服務 (AD FS) 部署。 請考慮在組織的周邊網路中部署同盟伺服器 Proxy,以便在以下情況下使用:
防止外部客戶端電腦直接存取同盟伺服器。 透過在周邊網路部署同盟伺服器代理,您可以有效地隔離同盟伺服器,確保只有透過同盟伺服器代理登入公司網路的外部用戶端電腦才能存取,代理將代表外部用戶端計算機運行。 同盟伺服器 Proxy 無法存取用來產生令牌的私鑰。 如需詳細資訊,請參閱 Where to Place a Federation Server Proxy。
提供一種方便的方法,來區分因特網使用者與使用 Windows 整合式驗證從公司網路連線的使用者的登入體驗。 聯邦伺服器代理會通過使用儲存在聯邦伺服器代理上的登入、登出和身分提供者探索(homerealmdiscovery.aspx)頁面,從互聯網用戶端電腦收集憑證或主域詳細資料。
相反地,來自公司網路的用戶端電腦會根據同盟伺服器的設定,有不同的使用經驗。 公司網路同盟伺服器通常會針對 Windows 整合式驗證進行設定,為公司網路上的使用者提供順暢的登入體驗。
同盟伺服器 Proxy 在您的組織中扮演的角色取決於您將同盟伺服器 Proxy 放在帳戶夥伴組織或資源夥伴組織中。 例如,當同盟伺服器 Proxy 放置在帳戶夥伴的周邊網路中時,其角色是從瀏覽器用戶端收集使用者認證資訊。 當同盟伺服器 Proxy 放置在資源夥伴的周邊網路中時,會將安全性令牌要求轉送至資源同盟伺服器,併產生組織安全性令牌,以回應其帳戶夥伴所提供的安全性令牌。
如需詳細資訊,請參閱 檢閱帳戶夥伴中聯盟伺服器代理的角色 和 檢閱資源夥伴中聯盟伺服器代理的角色
如何建立聯盟伺服器代理
您可以使用 AD FS 同盟伺服器 Proxy 組態精靈或 Fsconfig.exe 命令行工具來建立同盟伺服器 Proxy。 如需有關如何執行這項作業的指示,請參閱 設定同盟伺服器代理角色的電腦。
如需如何設定部署同盟伺服器 Proxy 所需的所有必要條件的一般資訊,請參閱 檢查清單:設定同盟伺服器 Proxy。
另請參閱
Windows Server 2012 中的 AD FS 設計指南