簡述Windows Server 2008-ADFS配置

　　要理解ADFS的工作原理，可以先考慮活動目錄的工作原理。當用戶通過活動目錄進行認證時，域控制器檢查用戶的證書。當證明是合法用戶后，用戶就可以隨意訪問Windows網絡的任何授權資源，而無需在每次訪問不同服務器時重新認證。ADFS將同樣的概念應用到Internet。我們都知道當Web應用需要訪問位于數據庫或其他類型后端資源上的后端數據時，對后端資源的安全認證問題往往比較復雜�，F在可以使用的有很多不同的認證方法提供這樣的認證。例如，用戶可能通過RADIUS(遠程撥入用戶服務認證)服務器或者通過應用程序代碼的一部分實現所有權認證機制。這些認證機制都可實現認證功能，但是也有一些不足之處。不足之一是賬戶管理。當應用僅被企業自己的員工訪問時，賬戶管理并不是個大問題。但是，如果企業的供應商、客戶都使用該應用時，就會突然發現用戶需要為其他企業的員工建立新的用戶賬戶。不足之二是維護問題。當其他企業的員工離職，雇傭新員工時，用戶還需要刪除舊的賬戶和創建新的賬戶。

　　ADFS能為您做什么?

　　如果用戶將賬戶管理的任務轉移到他們的客戶、供應商或者其他使用Web應用的人那里會是什么樣子哪? 設想一下， Web應用為其他企業提供服務，而用戶再也不用為那些員工創建用戶賬戶或者重設密碼。如果這還不夠，使用這一應用的用戶也不再需要登錄應用。那將是一件多么令人興奮的事情。

　　ADFS需要什么?

　　當然，活動目錄聯合服務還需要其它的一些配置才能使用，用戶需要一些服務器執行這些功能。最基本的是聯合服務器，聯合服務器上運行ADFS的聯合服務組件。 聯合服務器的主要作用是發送來自不同外部用戶的請求，它還負責向通過認證的用戶發放令牌。

　　另外在大多數情況下還需要聯合代理。試想一下，如果外部網絡要能夠和用戶內部網絡建立聯合協議，這就意味著用戶的聯合服務器要能通過Internet訪問。但是活動目錄聯合并不很依賴于活動目錄，因此直接將聯合服務器暴露在Internet上將帶來很大的風險。正因為這樣，聯合服務器不能直接和 Internet相連，而是通過聯合代理訪問。聯合代理向聯合服務器中轉來自外部的聯合請求，聯合服務器就不會直接暴露給外部。

　　另一ADFS的主要組件是ADFS Web代理。Web應用必須有對外部用戶認證的機制。這些機制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 服務器發放的認證cookies。

　　在下面的文章中我們將帶領大家通過一個模擬的試驗環境來一起感受ADFS服務帶給企業的全新感受，閑言少敘，我們下面就開始ADFS的配置試驗。

　　第1步：預安裝任務

　　要想完成下面的試驗，用戶在安裝ADFS之前先要準備好至少四臺計算機。

　　1)配置計算機的操作系統和網絡環境

　　使用下表來配置試驗的計算機系統以及網絡環境。

　　2)安裝 AD DS

　　用戶使用Dcpromo工具為每個同盟服務器(FS)創建一個全新的活動目錄森林，具體的名稱可以參考下面的配置表。

　　3)創建用戶帳戶以及資源帳戶

　　設置好兩個森林后，用戶就可以通過“用戶帳戶和計算機”(Active Directory Users and Computers )工具來創建一些帳戶為下面的試驗做好準備。下面的列表給出了一些例子，供用戶參考：

　　4)將測試計算機加入到適當的域

　　按照下表將對應的計算機加入到適當的域中，需要注意的是將這些計算機加入域前，用戶需要先將對應域控制器上的防火墻禁用掉。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]