Služba AD FS (Active Directory Federation Services) má následující požadavky na hardware a software:

Požadavky na hardware

  • Rychlost procesoru: 133 MHz pro počítače s procesorem řady x86

  • Minimální doporučená velikost paměti RAM: 256 megabajtů (MB)

  • Volné místo na disku pro instalaci: 10 MB

Požadavky na software

Služba AD FS využívá funkce serveru, které jsou součástí systému Windows Server 2003 R2, Windows Server 2008 a Windows Server 2008 R2. Služby rolí Federation Service, FSP (Federation Service Proxy) a webového agenta služby AD FS nelze spustit v předchozích operačních systémech. V této části jsou popsány požadavky na software jednotlivých služeb rolí služby AD FS. Je zde také popsána celková konfigurace softwaru, která je nutná pro službu AD FS v prostředí sítě.

Poznámka

Služby Federation Service a Federation Service Proxy nelze nainstalovat současně v jednom počítači.

Služba Federation Service

V počítačích se službou Federation Service musí být nainstalován následující software:

  • Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise nebo Windows Server 2008 R2 Datacenter

  • služba IIS,

  • Microsoft ASP.NET 2.0,

  • platforma Microsoft .NET Framework 2.0.

Poznámka

Po dokončení instalace služby Federation Service je nutné nakonfigurovat výchozí web ve službě IIS s protokoly TLS/SSL (Transport Layer Security / Secure Sockets Layer).

Požadavky úložiště účtů služeb AD DS a AD LDS

Služba AD FS vyžaduje přítomnost uživatelských účtů ve službě AD DS (Active Directory Domain Services) nebo AD LDS (Active Directory Lightweight Directory Services) pro službu Federation Service poskytující účty. V řadičích domény služby AD DS nebo počítačích hostujících úložiště účtů musí být nainstalován některý z následujících operačních systémů:

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows Server 2003 R2

  • Windows Server 2003

  • Windows 2000 s aktualizací Service Pack 4 (SP4) s důležitými aktualizacemi

Služba AD FS nevyžaduje změny schématu nebo úpravy služby AD DS na funkční úrovni. Pokud chcete zajistit, že služba AD LDS spolupracuje se službou AD FS, nainstalujte verzi služby AD LDS dodanou se systémem Windows Server 2008.

Služba FSP (Federation Service Proxy)

V počítačích se službou FSP (Federation Service Proxy) musí být nainstalován následující software:

  • Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise nebo Windows Server 2008 R2 Datacenter

  • Internetová informační služba

  • ASP.NET 2.0

  • Microsoft .NET Framework 2.0

Poznámka

Po dokončení instalace služby FSP (Federation Service Proxy) je nutné nakonfigurovat výchozí web ve službě IIS s protokoly TLS/SSL.

Webový agent služby AD FS

V počítačích s webovým agentem služby AD FS (buď agent pracující s deklaracemi nebo agent pracující s tokeny systému Windows) musí být nainstalován následující software:

  • Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise nebo Windows Server 2008 R2 Datacenter

  • Internetová informační služba

  • ASP.NET 2.0

  • Microsoft .NET Framework 2.0

Poznámka

Po dokončení instalace webového agenta služby AD FS je nutné nakonfigurovat minimálně jeden web ve službě IIS s protokolem TLS/SSL, aby federovaní uživatelé mohli získat přístup k webovým aplikacím, které jsou hostovány na webovém serveru s povolenou službou AD FS.

Důvěryhodné certifikační autority

Vzhledem k tomu, že protokoly TLS/SSL a podepisování pomocí tokenů využívá digitální certifikáty, jsou certifikační autority důležitou součástí služby AD FS. Veřejné certifikační autority, jako VeriSign, Inc., představují vzájemně důvěryhodnou třetí stranu, která umožňuje identifikovat identitu nositele certifikátu. Pro podepisování tokenů a další interní certifikační služby můžete použít certifikační autority rozlehlé sítě, jako je například Certifikační služba společnosti Microsoft.

Pokud je klientovi předložen ověřovací certifikát serveru, ověří klientský počítač, že certifikační autorita, která vydala certifikát, se nachází na seznamu důvěryhodných certifikačních autorit klienta a že příslušná certifikační autorita tento certifikát neodvolala. Toto ověřování zajišťuje, že se klient dostane na požadovaný server. Když se používá certifikát pro ověřování podepsaných tokenů, používá klient tento certifikát k ověření toho, že byl token vydán správným federačním serverem a že nebyl zfalšován.

Dostupnost připojení k síti TCP/IP

Podmínkou fungování služby AD FS je připojení k síti TCP/IP mezi klientem, řadičem domény a počítači, které hostují služby Federation Service, FSP (Federation Service Proxy), pokud se používá, a webového agenta služby AD FS.

Služba DNS

Pro účely ověřování uživatelů v intranetu, musí být interní servery DNS (Domain Name System) v doménové struktuře intranetu konfigurovány tak, aby vracely kanonický název (CNAME) interního serveru, na kterém je spuštěna služba Federation Service. Nejlepších výsledků dosáhnete, pokud nebudete se službou DNS používat hostitelské soubory.

Webový prohlížeč

Ačkoli všechny aktuální webové prohlížeče s povoleným jazykem JScript by měly fungovat jako klienti služby AD FS, testovala společnost Microsoft v počítačích Apple Macintosh pouze aplikace Internet Explorer 8, Internet Explorer 7, Internet Explorer 6, Internet Explorer 5 a 5.5, Mozilla Firefox a Safari. Aby byl zachován co nejvyšší výkon, důrazně doporučujeme aktivaci jazyka JScript. Pro používané federační servery a webové aplikace je nutné povolit soubory cookie, nebo je alespoň označit jako důvěryhodné.

Další odkazy

Obsah