Program Active Directory Federation Services (AD FS) ma następujące wymagania sprzętowe i wymagania dotyczące oprogramowania.
Wymagania sprzętowe
-
Szybkość procesora: 133 MHz w przypadku komputerów z procesorem x86
-
Zalecana minimalna ilość pamięci RAM: 256 MB
-
Ilość wolnego miejsca na dysku na potrzeby instalacji: 10 MB
Wymagania dotyczące oprogramowania
Działanie usług AD FS jest oparte na funkcjach serwera wbudowanych w systemy operacyjne Windows Server 2003 R2, Windows Server 2008 i Windows Server 2008 R2. Usługi ról usługi federacyjnej, serwera proxy usługi federacyjnej i agenta sieci Web programu ADFS nie mogą działać w starszych systemach operacyjnych. W tej sekcji opisano wymagania programowe poszczególnych usług ról programu AD FS. Przedstawiono także ogólne konfiguracje programowe niezbędne do korzystania z programu AD FS w danym środowisku sieciowym.
 | Uwaga |
|
Usługi ról usługi federacyjnej i serwera proxy usługi federacyjnej nie mogą występować na jednym komputerze. |
Usługa federacyjna
Na komputerach, na których ma być uruchamiana usługa federacyjna, musi być zainstalowane następujące oprogramowanie:
-
Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise lub Windows Server 2008 R2 Datacenter
-
Internet Information Services (IIS)
-
Microsoft ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Uwaga |
|
Po zakończeniu instalacji usługi federacyjnej należy skonfigurować domyślną witrynę sieci Web z użyciem protokołu TLS/SSL (Transport Layer Security/Secure Sockets Layer) w usługach IIS. |
Wymagania magazynu kont usług domenowych w usłudze AD oraz usług LDS w usłudze AD
Program AD FS wymaga obecności kont użytkowników w usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) lub w usługach LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) na potrzeby usługi federacyjnej kont. Na kontrolerach domeny usług domenowych w usłudze AD lub na komputerach obsługujących magazyny kont musi być zainstalowany jeden z następujących systemów operacyjnych:
-
Windows Server 2008 R2
-
Windows Server 2008
-
Windows Server 2003 R2
-
Windows Server 2003
-
Windows 2000 z dodatkiem Service Pack 4 (SP4) i aktualizacjami krytycznymi
Program AD FS nie wymaga zmian schematu ani modyfikacji usług AD DS na poziomie funkcjonalnym. Aby mieć pewność, że usługi LDS w usłudze AD będą współdziałać z usługami AD FS, należy zainstalować wersję usług LDS w usłudze AD dostarczaną razem z systemem Windows Server 2008.
Serwer proxy usługi federacyjnej
Na komputerach, na których ma być uruchamiany serwer proxy usługi federacyjnej, musi być zainstalowane następujące oprogramowanie:
-
Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise lub Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Uwaga |
|
Po zakończeniu instalacji serwera proxy usługi federacyjnej należy skonfigurować domyślną witrynę sieci Web z użyciem protokołu TLS/SSL w usługach IIS. |
Agent sieci Web programu AD FS
Na komputerach, na których ma być uruchamiany agent sieci Web usług AD FS (agent obsługujący oświadczenia lub agent używający tokenów systemu Windows), musi być zainstalowane następujące oprogramowanie:
-
Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise lub Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Uwaga |
|
Po zakończeniu instalacji agenta sieci Web programu AD FS należy skonfigurować co najmniej jedną witrynę sieci Web z użyciem protokołu TLS/SSL w usługach IIS, aby zapewnić użytkownikom federacyjnym dostęp do aplikacji opartych na sieci Web, które będą obsługiwane na serwerze sieci Web z włączonym programem AD FS. |
Zaufane urzędy certyfikacji
Ponieważ protokół TLS/SSL oraz podpisywanie tokenów są oparte na certyfikatach cyfrowych, urzędy certyfikacji są ważną częścią programu AD FS. Publiczne urzędy certyfikacji, takie jak VeriSign, Inc., reprezentują inną firmę, której ufają obie strony i która umożliwia identyfikację tożsamości jednostki przenoszącej certyfikat. Urzędu certyfikacji przedsiębiorstwa, takiego jak Usługi certyfikatów Microsoft, można używać w celu podpisywania tokenów i świadczenia innych wewnętrznych usług certyfikatów.
Jeśli klient jest przedstawiany za pomocą certyfikatu uwierzytelniania serwera, komputer kliencki sprawdza, czy urząd certyfikacji, który wystawił certyfikat, znajduje się na liście zaufanych urzędów certyfikacji klienta i czy urząd certyfikacji nie odwołał tego certyfikatu. Taka weryfikacja gwarantuje klientowi dostęp do odpowiedniego serwera. W przypadku weryfikowania podpisanych tokenów klient sprawdza za pomocą certyfikatu, czy token został wystawiony przez odpowiedni serwer federacyjny i czy nie został zmodyfikowany.
Łączność w sieci TCP/IP
Aby program AD FS mógł działać, musi istnieć łączność w sieci TCP/IP między klientem, kontrolerem domeny i komputerami obsługującymi usługę federacyjną, serwer proxy usługi federacyjnej (jeśli jest używany) oraz agenta sieci Web programu AD FS .
Usługa DNS
W celu uwierzytelniania użytkowników w intranecie wewnętrzne serwery systemu DNS w lesie intranetu muszą być skonfigurowane tak, aby zwracały nazwę kanoniczną (CNAME) wewnętrznego serwera, na którym jest uruchomiona usługa federacyjna. Aby uzyskać najlepsze wyniki, nie należy używać plików hosta z systemem DNS.
Przeglądarka sieci Web
Jako klient usług AD FS powinna działać dowolna aktualna przeglądarka sieci Web obsługująca język JScript, ale firma Microsoft przetestowała tylko przeglądarki Internet Explorer 8, Internet Explorer 7, Internet Explorer 6, Internet Explorer 5 i 5.5, Mozilla Firefox oraz Safari dla komputerów Apple Macintosh. Ze względu na wydajność zdecydowanie zaleca się włączenie obsługi języka JScript. Na potrzeby serwerów federacyjnych i aplikacji sieci Web, do których uzyskuje się dostęp, należy włączyć obsługę plików cookie lub co najmniej określić te pliki jako zaufane.