Windows Server 2008 R2 中的 AD FS 循序漸進(jìn)指南 更新時(shí)間: 2009年1月應(yīng)用到: Windows Server 2008 R2Active Directory? 聯(lián)合身

Windows Server 2008 R2 中的 AD FS 循序漸進(jìn)指南 更新時(shí)間: 2009年1月

應(yīng)用到: Windows Server 2008 R2

Active Directory? 聯(lián)合身份驗(yàn)證服務(wù) (AD FS) 是可以在 Windows Server? 2008 R2 操作系統(tǒng)中安裝的服務(wù)器角色?？墒褂?AD FS 服務(wù)器角色創(chuàng)建可高度擴(kuò)展、可通過(guò) Internet 升級(jí)和安全的身份訪問(wèn)解決方案，此解決方案可在多個(gè)平臺(tái)上工作，包括 Microsoft? Windows? 環(huán)境和非 Windows 環(huán)境。

有關(guān) AD FS 的其他信息，請(qǐng)參閱 Active Directory 聯(lián)合身份驗(yàn)證服務(wù)概述（可能為英文網(wǎng)頁(yè)）。 關(guān)于本指南

本指南提供了在 Hyper-V? 測(cè)試實(shí)驗(yàn)室中針對(duì)運(yùn)行 Windows Server 2008 R2 的計(jì)算機(jī)的設(shè)置 AD FS 的說(shuō)明。它介紹如何安裝和測(cè)試單個(gè)聲明感知應(yīng)用程序。有關(guān)設(shè)置 Hyper-V 服務(wù)器的詳細(xì)信息，請(qǐng)參閱“用 Hyper-V 虛擬化”(http://go.microsoft.com/fwlink/?LinkId=126326) （可能為英文網(wǎng)頁(yè)）。

可以使用本指南中的代碼創(chuàng)建一個(gè)示例聲明感知應(yīng)用程序。不需要使用任何其他下載內(nèi)容。本指南中的說(shuō)明大概需要花費(fèi)兩個(gè)小時(shí)才能完成。

可以使用該測(cè)試實(shí)驗(yàn)室環(huán)境評(píng)估 AD FS 技術(shù)以及評(píng)估如何在組織中部署該技術(shù)。當(dāng)完成本指南的步驟后，您將能夠： ? 設(shè)置四臺(tái)計(jì)算機(jī)（一個(gè)客戶端計(jì)算機(jī)、一個(gè)啟用了 AD FS 的 Web 服務(wù)器和兩臺(tái)聯(lián)合身份驗(yàn)證服務(wù)器），以參與兩個(gè)虛構(gòu)公司（A. Datum Corporation 和 Trey Research）之間的 AD FS 聯(lián)合身份驗(yàn)證。

?

?

?

? 創(chuàng)建兩個(gè)林，以用作聯(lián)合用戶的指定帳戶存儲(chǔ)。每個(gè)林將代表一個(gè)虛構(gòu)公司。 使用 AD FS 在兩個(gè)公司之間建立聯(lián)合信任關(guān)系。 使用 AD FS 創(chuàng)建、填充和映射聲明。 為一個(gè)公司的用戶提供訪問(wèn)位于另一個(gè)公司的聲明感知應(yīng)用程序的聯(lián)合訪問(wèn)權(quán)限。

為盡可能成功地完成本指南中的目標(biāo)，請(qǐng)務(wù)必執(zhí)行以下所有操作：

?

?

?

? 按順序執(zhí)行本指南中的步驟。 使用指定的精確 IP 地址。 使用指定的準(zhǔn)確計(jì)算機(jī)名、用戶名、組名、公司名、聲明名和域名。 如果使用虛擬化軟件時(shí)失敗，請(qǐng)嘗試使用四臺(tái)連接到專用網(wǎng)絡(luò)上的單個(gè)計(jì)算機(jī)。

Microsoft 已使用 Hyper-V 軟件成功測(cè)試本指南。對(duì)這些配置詳細(xì)信息所做的任何修改都可能會(huì)影響或限制首次嘗試時(shí)成功設(shè)置此實(shí)驗(yàn)室的可能性。

本指南未提供的內(nèi)容

本指南未提供以下內(nèi)容：

? 安裝和配置基于 Microsoft Windows NT? 令牌的應(yīng)用程序（如 Windows? SharePoint? Services 或

Microsoft Office SharePoint Portal Server 2003）以用于 AD FS 的說(shuō)明

? 將 Microsoft Office SharePoint Server 2007 配置為聲明感知應(yīng)用程序的說(shuō)明

有關(guān)將 Office SharePoint Server 2007 配置為聲明感知應(yīng)用程序以用于 AD FS 的信息，請(qǐng)參閱“使用 ADFS 配置 Web SSO 身份驗(yàn)證 (Office SharePoint Server)”(http://go.microsoft.com/fwlink/?LinkId=84805) （可能為英文網(wǎng)頁(yè)）。

? 在生產(chǎn)環(huán)境中設(shè)置和配置 AD FS 的指南

有關(guān)如何部署或管理 AD FS 的信息，請(qǐng)?jiān)?Active Directory 聯(lián)合身份驗(yàn)證服務(wù)

(http://go.microsoft.com/fwlink/?LinkId=133130) （可能為英文網(wǎng)頁(yè)）上查找 AD FS 規(guī)劃、部署和操作內(nèi)容。

? 設(shè)置和配置 Microsoft 證書服務(wù)以用于 AD FS 的說(shuō)明

有關(guān)設(shè)置和配置 Microsoft 證書服務(wù)的信息，請(qǐng)參閱“Windows Server 2003 公鑰基礎(chǔ)結(jié)

構(gòu)”(http://go.microsoft.com/fwlink/?LinkId=19936) （可能為英文網(wǎng)頁(yè)）。

? 設(shè)置和配置聯(lián)合身份驗(yàn)證服務(wù)器代理的說(shuō)明

Windows Server 2008 R2 中的 AD FS 的要求

若要完成本指南中的這些步驟，必須配置四臺(tái)使用以下操作系統(tǒng)的測(cè)試計(jì)算機(jī)：

?

? Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter，用于聯(lián)合身份驗(yàn)證服務(wù)器 Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2

Datacenter ，用于啟用了 AD FS 的 Web 服務(wù)器

? Windows 7，用于 AD FS 客戶端計(jì)算機(jī)。

步驟 1：預(yù)安裝任務(wù)

更新時(shí)間: 2009年1月

應(yīng)用到: Windows Server 2008 R2

在安裝 Active Directory 聯(lián)合身份驗(yàn)證服務(wù) (AD FS) 之前，請(qǐng)先對(duì)將用于評(píng)估 AD FS 技術(shù)的四個(gè)主要虛擬機(jī) (VM) 進(jìn)行設(shè)置。

預(yù)安裝任務(wù)包括以下內(nèi)容：

?

? 配置計(jì)算機(jī)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)置 安裝并配置 AD DS

查看有關(guān)使用適當(dāng)帳戶和組成員關(guān)系的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)本地默認(rèn)組和域默認(rèn)組

(http://go.microsoft.com/fwlink/?LinkId=83477)（可能為英文鏈接）。

管理憑據(jù)

若要執(zhí)行本步驟中的所有任務(wù)，請(qǐng)使用本地 Administrator 帳戶逐個(gè)登錄這四臺(tái)計(jì)算機(jī)。若要在 Active Directory 域服務(wù) (AD DS) 中創(chuàng)建帳戶，請(qǐng)使用域的 Administrator 帳戶進(jìn)行登錄。

配置計(jì)算機(jī)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)置

參照下表設(shè)置完成本指南中步驟所需的適當(dāng)計(jì)算機(jī)名稱、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)置。

務(wù)必在客戶端上分別設(shè)置首選和備用域名系統(tǒng) (DNS) 服務(wù)器這兩項(xiàng)設(shè)置。如果未按指定要求配置這兩種類型的值，則 AD FS 方案將無(wú)法正常運(yùn)行。

安裝并配置 AD DS

本節(jié)包括以下過(guò)程：

? ? ?

安裝 AD DS

創(chuàng)建帳戶

將測(cè)試計(jì)算機(jī)加入相應(yīng)的域

安裝 AD DS

可以使用添加角色向?qū)Х謩e在兩個(gè)聯(lián)合身份驗(yàn)證服務(wù)器上新建一個(gè) AD DS 林。在向?qū)ы?yè)中鍵入值時(shí)，請(qǐng)使用下表中的公司名稱和 AD DS 域名。若要啟動(dòng)添加角色向?qū)?，?qǐng)依次單擊「開始」、“管理工具”、“服務(wù)器管理器”，然后單擊右側(cè)窗格中的“添加角色”。

作為最佳安全操作，在生產(chǎn)環(huán)境下不要將域控制器同時(shí)作為聯(lián)合身份驗(yàn)證服務(wù)器和域控制器運(yùn)行。

在本指南中，A. Datum 代表帳戶伙伴組織，Trey Research 代表資源伙伴組織。

創(chuàng)建帳戶

設(shè)置了兩個(gè)林后，啟動(dòng)“Active Directory 用戶和計(jì)算機(jī)”管理單元，以創(chuàng)建某些可用于測(cè)試和驗(yàn)證跨這兩個(gè)林進(jìn)行聯(lián)合訪問(wèn)的帳戶。在 adfsaccount 計(jì)算機(jī)上配置下表中的值。

將測(cè)試計(jì)算機(jī)加入相應(yīng)的域

使用下表中的值來(lái)指定哪些計(jì)算機(jī)將加入哪個(gè)域。在 adfsclient 和 adfsweb 計(jì)算機(jī)上執(zhí)行此操作。

步驟 2：安裝 AD FS 角色服務(wù)并配置證書

更新時(shí)間: 2009年1月

應(yīng)用到: Windows Server 2008 R2

此時(shí)您已完成計(jì)算機(jī)配置并將其加入到域中，現(xiàn)在即可在每臺(tái)服務(wù)器上安裝 Active Directory 聯(lián)合身份驗(yàn)證服務(wù) (AD FS) 角色服務(wù)。此步驟包括以下過(guò)程：

?

?

?

? 安裝聯(lián)合身份驗(yàn)證服務(wù) 配置兩個(gè)聯(lián)合身份驗(yàn)證服務(wù)器上的 IIS 以要求 SSL 安裝 AD FS Web 代理 創(chuàng)建、導(dǎo)出和導(dǎo)入證書

管理憑據(jù)

若要執(zhí)行本步驟中的所有過(guò)程，請(qǐng)使用域的 Administrator 帳戶登錄到 adfsaccount 計(jì)算機(jī)和 adfsresource 計(jì)算機(jī)。使用本地 Administrator 帳戶登錄到 adfsweb 計(jì)算機(jī)。

安裝聯(lián)合身份驗(yàn)證服務(wù)

按照下面的過(guò)程在 adfsaccount 計(jì)算機(jī)和 adfsresource 計(jì)算機(jī)上安裝 AD FS 的聯(lián)合身份驗(yàn)證服務(wù)組件。在計(jì)算機(jī)上安裝聯(lián)合身份驗(yàn)證服務(wù)后，該計(jì)算機(jī)就成了聯(lián)合身份驗(yàn)證服務(wù)器。

此聯(lián)合身份驗(yàn)證服務(wù)安裝過(guò)程將引導(dǎo)您完成為每臺(tái)聯(lián)合身份驗(yàn)證服務(wù)器新建信任策略文件、自簽名安全套接字層 (SSL) 證書和令牌簽名證書的過(guò)程。

安裝聯(lián)合身份驗(yàn)證服務(wù)的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“服務(wù)器管理器”。

2. 右鍵單擊“角色”，然后單擊“添加角色”以啟動(dòng)添加角色向?qū)А?/p>

3. 在“開始之前”頁(yè)上，單擊“下一步”。

4. 在“選擇服務(wù)器角色”頁(yè)上，單擊“Active Directory 聯(lián)合身份驗(yàn)證服務(wù)”。單擊兩次“下一步”。 5. 在“選擇角色服務(wù)”頁(yè)上，選中“聯(lián)合身份驗(yàn)證服務(wù)”復(fù)選框。如果提示您安裝其他 Web 服務(wù)器 (IIS) 或 Windows 進(jìn)程激活服務(wù)角色服務(wù)，則單擊“添加必需的角色服務(wù)”安裝它們，然后單擊“下一步”。 6. 在“選擇 SSL 加密的服務(wù)器身份驗(yàn)證證書”頁(yè)上，單擊“為 SSL 加密創(chuàng)建自簽名證書”，然后單擊“下一步”。

7. 在“選擇令牌簽名證書”頁(yè)上，單擊“創(chuàng)建自簽名令牌簽名證書”，然后單擊“下一步”。

8. 在“選擇信任策略”頁(yè)上，單擊“新建信任策略”，然后單擊“下一步”兩次。

9. 在“選擇角色服務(wù)”頁(yè)上，單擊“下一步”以接受默認(rèn)值。

10. 驗(yàn)證“確認(rèn)安裝選擇”頁(yè)上的信息，然后單擊“安裝”。

11. 在“安裝結(jié)果”頁(yè)上，確認(rèn)所有內(nèi)容均已正確安裝，然后單擊“關(guān)閉”。

配置兩個(gè)聯(lián)合身份驗(yàn)證服務(wù)器上的 IIS 以要求 SSL

按照下面的過(guò)程將 adfsresource 和 adfsaccount 這兩個(gè)聯(lián)合身份驗(yàn)證服務(wù)器默認(rèn)網(wǎng)站的 Internet 信息服務(wù) (IIS) 配置為要求 SSL。

配置 adfsaccount 服務(wù)器上的 IIS 的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(wù)(IIS)管理器”。

2. 在控制臺(tái)樹中，依次雙擊 ADFSACCOUNT 和“站點(diǎn)”，然后單擊“默認(rèn)網(wǎng)站”。

3. 在“操作”窗格中，單擊“綁定”。

4. 在“站點(diǎn)綁定”對(duì)話框中，單擊“添加”。

5. 在“類型”中，單擊 https 。

6. 在“SSL 證書”下，依次單擊 adfsaccount.adatum.com 、“確定”和“關(guān)閉”。

7. 在中心窗格中，雙擊“SSL 設(shè)置”，然后選中“要求 SSL”復(fù)選框。

8. 在“客戶端證書”下，單擊“接受”，然后單擊“應(yīng)用”。

配置 adfsresource 服務(wù)器上的 IIS 的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(wù)(IIS)管理器”。

2. 在控制臺(tái)樹中，依次雙擊 ADFSRESOURCE 和“站點(diǎn)”，然后單擊“默認(rèn)網(wǎng)站”。

3. 在中心窗格中，雙擊“SSL 設(shè)置”，然后選中“要求 SSL”復(fù)選框。

4. 在“客戶端證書”下，單擊“接受”，然后單擊“應(yīng)用”。

安裝 AD FS Web 代理

按照下面的過(guò)程在 Web 服務(wù)器 (adfsweb) 上安裝聲明感知 Web 代理。

安裝 AD FS Web 代理的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“服務(wù)器管理器”。

2. 右鍵單擊“角色”，然后單擊“添加角色”以啟動(dòng)添加角色向?qū)А?/p>

3. 在“開始之前”頁(yè)上，單擊“下一步”。

4. 在“選擇服務(wù)器角色”頁(yè)上，單擊“Active Directory 聯(lián)合身份驗(yàn)證服務(wù)”。單擊兩次“下一步”。 5. 在“選擇角色服務(wù)”頁(yè)上，選中“聲明感知代理”復(fù)選框。如果提示您安裝其他 Web 服務(wù)器 (IIS) 或

Windows 進(jìn)程激活服務(wù)角色服務(wù)，則單擊“添加必需的角色服務(wù)”安裝它們，然后單擊“下一步”。

6. 在“Web 服務(wù)器(IIS)”頁(yè)上，單擊“下一步”。

7. 在“選擇角色服務(wù)”頁(yè)上，除預(yù)先選中的復(fù)選框以外，還要選中“客戶端證書映射身份驗(yàn)證”和“IIS 管理

控制臺(tái)”復(fù)選框，然后單擊“下一步”。

如果選中“客戶端證書映射身份驗(yàn)證”復(fù)選框，系統(tǒng)將安裝在創(chuàng)建自簽名服務(wù)器所要求的身份驗(yàn)證證書時(shí) IIS 必須具有的組件。

8. 在驗(yàn)證了“確認(rèn)安裝選擇”頁(yè)上的信息后，單擊“安裝”。

9. 在“安裝結(jié)果”頁(yè)上，確認(rèn)所有內(nèi)容均已正確安裝，然后單擊“關(guān)閉”。

創(chuàng)建、導(dǎo)出和導(dǎo)入證書

Web 服務(wù)器和聯(lián)合身份驗(yàn)證服務(wù)器設(shè)置成功最重要的因素是正確創(chuàng)建并導(dǎo)出所需證書。因?yàn)橹笆褂锰砑咏巧驅(qū)б褳閮蓚€(gè)聯(lián)合身份驗(yàn)證服務(wù)器創(chuàng)建了服務(wù)器身份驗(yàn)證證書，所以此時(shí)只需為 adfsweb 計(jì)算機(jī)創(chuàng)建服務(wù)器身份驗(yàn)證證書。本節(jié)包括以下過(guò)程：

?

?

?

? 為 adfsweb 創(chuàng)建服務(wù)器身份驗(yàn)證證書 將 adfsaccount 中的令牌簽名證書導(dǎo)出到文件 將 adfsresource 服務(wù)器身份驗(yàn)證證書導(dǎo)出到文件 將 adfsresource 的服務(wù)器身份驗(yàn)證證書導(dǎo)入 adfsweb

為 adfsweb 創(chuàng)建服務(wù)器身份驗(yàn)證證書

按照下面的過(guò)程在 Web 服務(wù)器 (adfsweb) 上創(chuàng)建自簽名服務(wù)器身份驗(yàn)證證書。

為 adfsweb 創(chuàng)建服務(wù)器身份驗(yàn)證證書的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(wù)(IIS)管理器”。

2. 在控制臺(tái)樹中，單擊 ADFSWEB 。

3. 在中心窗格中，雙擊“服務(wù)器證書”。

4. 在“操作”窗格中，單擊“創(chuàng)建自簽名證書”。

5. 在“創(chuàng)建自簽名證書”對(duì)話框中，鍵入 adfsweb ，然后單擊“確定”。

將 adfsaccount 中的令牌簽名證書導(dǎo)出到文件

按照下面的過(guò)程在帳戶聯(lián)合服務(wù)器 (adfsaccount) 上將 adfsaccount 中的令牌簽名證書導(dǎo)出到文件。 將 adfsaccount 中的令牌簽名證書導(dǎo)出到文件的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Active Directory 聯(lián)合身份驗(yàn)證服務(wù)”。

2. 右鍵單擊“聯(lián)合身份驗(yàn)證服務(wù)”，然后單擊“屬性”。

3. 在“常規(guī)”選項(xiàng)卡上，單擊“查看”。

4. 在“詳細(xì)信息”選項(xiàng)卡上，單擊“復(fù)制到文件”。

5. 在“歡迎使用證書導(dǎo)出向?qū)А表?yè)上，單擊“下一步”。

6. 在“導(dǎo)出私鑰”頁(yè)上，單擊“否，不導(dǎo)出私鑰”，然后單擊“下一步”。

7. 在“導(dǎo)出文件格式”頁(yè)上，單擊“DER 編碼二進(jìn)制 X.509 (.CER)”，然后單擊“下一步”。 8. 在“要導(dǎo)出的文件”頁(yè)上，鍵入 d:?fsaccount_ts.cer，然后單擊“下一步”。

9. 在“完成證書導(dǎo)出向?qū)А鄙?，單擊“完成”?/p>

將 adfsresource 服務(wù)器身份驗(yàn)證證書導(dǎo)出到文件

僅當(dāng) Web 服務(wù)器 (adfsweb) 信任資源聯(lián)合身份驗(yàn)證服務(wù)器 (adfsresource) 的根證書時(shí)，資源聯(lián)合身份驗(yàn)證服務(wù)器和 Web 服務(wù)器之間才能正常通信。

由于在本指南介紹的方案中使用的是自簽名證書，因此服務(wù)器身份驗(yàn)證證書是根證書。因此，必須通過(guò)將資源聯(lián)合服務(wù)器 (adfsresource) 身份驗(yàn)證證書導(dǎo)出到文件，然后將該文件導(dǎo)入 Web 服務(wù)器 (adfsweb) 來(lái)建立此信任關(guān)系。若要將 adfsresource 服務(wù)器身份驗(yàn)證證書導(dǎo)出到文件，請(qǐng)?jiān)?adfsresource 上執(zhí)行下面的過(guò)程。

將 adfsresource 服務(wù)器身份驗(yàn)證證書導(dǎo)出到文件的步驟

1. 單擊「開始」，指向“管理工具”，然后單擊“Internet 信息服務(wù)(IIS)管理器”。

2. 在控制臺(tái)樹中，單擊 ADFSRESOURCE 。

3. 在中心窗格中，雙擊“服務(wù)器證書”。

4. 在中心窗格中，右鍵單擊 adfsresource.treyresearch.net ，然后單擊“導(dǎo)出”。

5. 在“導(dǎo)出證書”對(duì)話框中，單擊 ? 按鈕。

6. 在“文件名”中，鍵入 d:?fsresource，然后單擊“打開”。

7. 為證書鍵入一個(gè)密碼，確認(rèn)該密碼，然后單擊“確定”。

將 adfsresource 的服務(wù)器身份驗(yàn)證證書導(dǎo)入 adfsweb

若要導(dǎo)入 adfsresource 的服務(wù)器身份驗(yàn)證證書，請(qǐng)?jiān)?Web 服務(wù)器 (adfsweb) 上執(zhí)行下面的過(guò)程。

將 adfsresource 的服務(wù)器身份驗(yàn)證證書導(dǎo)入 adfsweb 的步驟

1. 依次單擊「開始」、“運(yùn)行”，鍵入 mmc ，然后單擊“確定”。