Active Directory 联合身份验证服务 (AD FS) Web 代理是可以独立于其他 AD FS 角色服务安装的 AD FS 角色服务。在计算机上安装 AD FS Web 代理角色服务会使该计算机成为启用 AD FS 的 Web 服务器。
启用 AD FS 的 Web 服务器使用安全令牌并允许或拒绝用户访问 Web 应用程序。若要实现此目的,启用 AD FS 的 Web 服务器需要与资源联合身份验证服务建立关系,以便可以根据需要将用户定向到联合身份验证服务。
AD FS Web 代理可以用于两种不同类型的应用程序:
-
声明感知应用程序:为发布的 AD FS 对象编写的 Microsoft ASP.NET 应用程序,这些对象允许查询 AD FS 安全令牌声明。这些应用程序根据这些声明做出授权决定。
-
基于 Windows NT 令牌的应用程序:使用基于 Windows 的授权机制的应用程序。AD FS Web 代理支持从 AD FS 安全令牌转换到模拟级别的 Windows NT(R) 访问令牌。
启用 AD FS 的 Web 服务器还会在需要使用 Cookie 的客户端上存储超文本传输协议 (HTTP) Cookie,以便进行单一登录 (SSO)。AD FS Web 代理由两个独立的组件组成:
-
AD FS 基于 Windows 令牌的代理扩展
-
AD FS Web 代理身份验证服务
AD FS 基于 Windows 令牌的代理扩展
AD FS 基于 Windows 令牌的代理扩展是 Internet 服务器应用程序编程接口 (ISAPI) 扩展,可以用于配置 Internet 信息服务 (IIS) 元数据库中的信息。在 IIS 管理器中,您可以使用“联合身份验证服务 URL”和“AD FS Web 代理”属性页来管理验证 AD FS 安全令牌和 Cookie 的策略和证书。
下表中的 AD FS Web 代理属性可以继承。如果 ISAPI 扩展要支持 WS 联合身份验证被动请求者配置文件 (WS-F PRP) 协议,IIS 资源上需要这些属性。
| 属性 | 描述 |
|---|---|
|
联合身份验证服务 URL |
联合身份验证服务的统一资源定位器 (URL)。需要此 URL,以便在其中查询信任信息。 |
|
Cookie 路径 |
写入身份验证 Cookie 时指定的路径。 |
|
Cookie 域 |
Cookie 生效的域。 |
|
返回 URL |
联合身份验证服务中的令牌在联合身份验证服务进行身份验证之后返回到的 URL。此 URL 应与令牌的 Audience 元素匹配。Windows 服务根据 Audience 元素执行检查。 |
AD FS Web 代理身份验证服务
AD FS Web 代理身份验证服务验证传入令牌和 Cookie。它作为本地系统运行,使用 Service-for-User (S4U) [S4U 允许您通过提供不带密码的用户主体名称 (UPN) 为客户端获取 Windows 令牌] 或 AD FS 身份验证包来生成令牌。但是,作为本地系统运行时不需要 IIS 应用程序池。
AD FS Web 代理身份验证服务包含的接口只能使用本地远程过程调用 (LRPC) 而非远程过程调用 (RPC) 进行调用。如果给定了 AD FS 安全令牌或 AD FS Cookie,此服务将返回模拟 Windows NT 访问令牌。