Az Active Directory összevonási szolgáltatások (AD FS) használatához az alábbi hardverekre és szoftverekre van szükség.
Hardverkövetelmények
-
Processzor sebessége: 133 MHz (x86-alapú számítógépeken)
-
Minimálisan javasolt RAM memória: 256 MB
-
Szabad merevlemez-terület a telepítéshez: 10 MB
Szoftverkövetelmények
Az AD FS a Windows Server 2003 R2, Windows Server 2008 és Windows Server 2008 R2 operációs rendszerbe beépített kiszolgálói funkciókon alapul. Az Összevonási szolgáltatás, az Összevonás-szolgáltatási proxy és az AD FS-webügynök szerepkör-szolgáltatás a korábbi operációs rendszereken nem futtatható. Ez a szakasz az AD FS szerepkör-szolgáltatásainak szoftverkövetelményeit ismerteti. Ismertei azt az általános szoftverkonfigurációt is, amely az AD FS hálózati környezetben való működtetéséhez szükséges.
 | Megjegyzés |
|
Az Összevonási szolgáltatások és az Összevonás-szolgáltatási proxy szerepkör-szolgáltatások ugyanazon a számítógépen nem működtethetők. |
Összevonási szolgáltatás
Az összevonási szolgáltatást működtető számítógépen az alábbi szoftvereket kell telepíteni:
-
Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise vagy Windows Server 2008 R2 Datacenter
-
Internet Information Services (IIS)
-
Microsoft ASP.NET 2.0-s verzió
-
Microsoft .NET-keretrendszer 2.0-s verzió
| Megjegyzés |
|
Az összevonási szolgáltatás telepítése után az IIS szolgáltatásban be kell állítani egy TLS/SSL-alapú alapértelmezett webhelyet. |
Az AD DS- és AD LDS-fióktárolók követelményei
Az AD FS a fiók összevonási szolgáltatásához hozzárendelt felhasználói fiókok meglétét feltételezi az Active Directory tartományi szolgáltatásokban (AD DS) vagy az Active Directory Lightweight Directory-szolgáltatásokban (AD LDS). Az AD DS-tartományvezérlőkön vagy a fióktárolókat működtető számítógépen az alábbi operációs rendszerek egyikének kell működni:
-
Windows Server 2008 R2
-
Windows Server 2008
-
Windows Server 2003 R2
-
Windows Server 2003
-
Service Pack 4 (SP4) szervizcsomaggal és fontos frissítésekkel bővített Windows 2000
Az AD FS használatához nincs szükség a séma megváltoztatására vagy az AD DS működési szintű módosítására. Az AD LDS és az AD FS együttműködésének biztosításához a Windows Server 2008 rendszer integrált AD LDS-verzióját telepítse.
Összevonás-szolgáltatási proxy
Az Összevonás-szolgáltatási proxy összetevőt futtató számítógépen az alábbi szoftvereket kell telepíteni:
-
Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise vagy Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0-s verzió
-
Microsoft .NET-keretrendszer 2.0-s verzió
| Megjegyzés |
|
Az összevonás-szolgáltatási proxy telepítése után az IIS szolgáltatásban be kell állítani egy TLS/SSL-alapú alapértelmezett webhelyet. |
AD FS-webügynök
A (jogcímbarát vagy Windows NT-jogkivonatalapú) AD FS-webügynök szolgáltatást működtető számítógépeken a következő szoftvereket kell telepíteni:
-
Windows Server 2003 R2, Standard Edition; Windows Server 2003 R2, Enterprise Edition; Windows Server 2003 R2, Datacenter Edition; Windows Server 2008 Standard; Windows Server 2008 Enterprise; Windows Server 2008 Datacenter; Windows Server 2008 R2 Standard; Windows Server 2008 R2 Enterprise vagy Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0-s verzió
-
Microsoft .NET-keretrendszer 2.0-s verzió
| Megjegyzés |
|
Az AD FS-webügynök telepítése után az IIS szolgáltatásban legalább egy webhelyet be kell állítani a TLS/SSL protokoll használatára ahhoz, hogy az összevont felhasználók hozzáférhessenek az AD FS-t támogató webkiszolgálón lévő webalkalmazásokhoz. |
Megbízható hitelesítésszolgáltatók
Mivel mind a TLS/SSL, mind a jogkivonat-alapú aláíráshoz digitális tanúsítványokra van szükség, a hitelesítésszolgáltatók az AD FS kulcsfontosságú részét képezik. A nyilvános hitelesítésszolgáltatók (például a VeriSign, Inc), mint két fél által megbízhatónak ítélt harmadik fél, lehetővé teszik a tanúsítványhasználók azonosítását. Jogkivonat-aláírás és más belső tanúsítványszolgáltatások biztosításához használhat vállalati hitelesítésszolgáltatót (például a Microsoft tanúsítványszolgáltatásokat) is.
Ha egy ügyfél egy kiszolgálótól hitelességi tanúsítványt kap, az ügyfélszámítógép ellenőrzi, hogy a tanúsítványt kibocsátó hitelesítésszolgáltató szerepel-e az ügyfél megbízható hitelesítésszolgáltatókat tartalmazó listáján, és hogy a hitelesítésszolgáltató nem vonta-e vissza a tanúsítványt. Ez az ellenőrzés biztosítja annak megállapítását, hogy az ügyfél eljutott a kívánt kiszolgálóhoz. Aláírt jogkivonatok tanúsítvánnyal való ellenőrzésekor az ügyfél a tanúsítvány alapján ellenőrzi, hogy a jogkivonatot a megfelelő összevonási kiszolgáló bocsátotta-e ki, és hogy a jogkivonat sértetlen-e.
TCP/IP-alapú hálózati kapcsolat
Az AD FS működéséhez TCP/IP-alapú hálózati kapcsolatnak kell lennie az ügyfél, a tartományvezérlő és az összevonási szolgáltatást, az összevonás-szolgáltatási proxyt (ha használatban van) és az AD FS-webügynököt működtető számítógépek között.
A DNS
A felhasználók intraneten történő hitelesítéséhez az intranetes erdőben lévő belső DNS-kiszolgálókat úgy kell beállítani, hogy az összevonási szolgáltatást futtató belső kiszolgáló kanonikus nevét (CNAME) adják vissza. A legjobb eredmény elérése érdekében ne használjon host fájlokat a DNS szolgáltatással.
Webböngésző
Jóllehet bármely JScript-kompatibilis webböngésző használható AD FS-ügyfélként, a Microsoft csak az Internet Explorer 8-as, 7-es, 6-os, 5-ös vagy 5.5-ös verzióját, a Mozilla Firefox, továbbá az Apple Macintosh-alapú Safari böngészőt tesztelte. Teljesítménybeli megfontolásokból javasoljuk a JScript engedélyezését. A használatban lévő összevonási kiszolgálók és webalkalmazások cookie-jait engedélyezni kell, vagy legalábbis megbízhatóként kell beállítani.