Voor AD FS (Active Directory Federation Services) zijn de volgende hardware en software vereist.
Hardwarevereisten
-
Processorsnelheid: 133 megahertz (MHz) voor x86-computers
-
Aanbevolen minimum RAM: 256 MB (megabyte)
-
Vrije schijfruimte voor de installatie: 10 MB
Softwarevereisten
AD FS is afhankelijk van serverfunctionaliteit die is ingebouwd in Windows Server 2003 R2, Windows Server 2008 en Windows Server 2008 R2. De de functieservices Federation-service, Federation-serviceproxy en Webagent voor AD FS kunnen niet onder eerdere versies van het besturingssysteem worden uitgevoerd. In deze sectie worden de softwarevereisten voor elke AD FS-functieservice beschreven. Ook worden in deze sectie de algehele softwareconfiguraties beschreven die nodig zijn voor AD FS in uw netwerkomgeving.
 | Opmerking |
|
De functieservices Federation-service en Federation-serviceproxy kunnen kunnen niet beide op dezelfde computer worden geïnstalleerd. |
Federation Service
Op computers waarop de Federation-service wordt uitgevoerd, moet de volgende software zijn geïnstalleerd:
-
Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise of Windows Server 2008 R2 Datacenter
-
Internet Information Services (IIS)
-
Microsoft ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Opmerking |
|
Nadat de installatie van de Federation-service is voltooid, moet een standaardwebsite in IIS worden geconfigureerd met TLS/SSL (Transport Layer Security / Secure Sockets Layer). |
Vereisten voor AD DS- en AD LDS-accountarchieven
Voor AD FS moeten gebruikersaccounts aanwezig zijn in AD DS (Active Directory Domain Services) of AD LDS (Active Directory Lightweight Directory Services) voor de Federation-service van de accountpartner. Op AD DS-domeincontrollers of computers die host zijn van de accountarchieven moet een van de volgende besturingssystemen zijn geïnstalleerd:
-
Windows Server 2008 R2
-
Windows Server 2008
-
Windows Server 2003 R2
-
Windows Server 2003
-
Windows 2000 met Service Pack 4 (SP4) met essentiële updates
Voor AD FS hoeven geen wijzigingen in het schema of op functionaliteitsniveau in AD DS te worden aangebracht. Installeer de versie van AD LDS die bij Windows Server 2008 is geleverd om er zeker van te zijn dat AD LDS werkt met AD FS.
Federation Service Proxy
Op computers waarop de Federation-serviceproxy wordt uitgevoerd, moet de volgende software zijn geïnstalleerd:
-
Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise of Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Opmerking |
|
Nadat de installatie van de Federation-serviceproxy is voltooid, moet een standaardwebsite in IIS worden geconfigureerd met TLS/SSL. |
Webagent voor AD FS
Op computers waarop de webagent voor AD FS (de claimbewuste agent of de agent voor op tokens gebaseerde Windows-toepassingen) wordt uitgevoerd, moet de volgende software zijn geïnstalleerd:
-
Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Enterprise Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise of Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Opmerking |
|
Nadat de installatie van de webagent voor AD FS is voltooid, moet er ten minste één website in IIS worden geconfigureerd met TLS/SSL, zodat de federatieve gebruikers toegang hebben tot webtoepassingen op de AD FS-webserver. |
Vertrouwde certificeringsinstanties
Omdat zowel TLS/SSL als tokenhandtekeningen digitale certificaten nodig hebben, vormen certificeringsinstanties een belangrijk onderdeel van AD FS. Openbare certificeringsinstanties, zoals VeriSign, Inc., vertegenwoordigen een wederzijds vertrouwde derde partij die toestaat dat de identiteit van de drager van een certificaat wordt geïdentificeerd. U kunt ondernemingscertificeringsinstanties, zoals Microsoft Certificate Services, gebruiken voor tokenhandtekeningen en andere interne certificaatservices.
Als een client een verificatiecertificaat van een server krijgt, verifieert de clientcomputer of de certificeringsinstantie die het certificaat heeft uitgegeven in de lijst van de client met vertrouwde certificeringsinstanties voorkomt en of de certificeringsinstantie dat certificaat niet heeft ingetrokken. Deze verificatie zorgt ervoor dat de client de beoogde server bereikt. Wanneer een certificaat wordt gebruikt voor het verifiëren van ondertekende tokens, gebruikt de client het certificaat om te controleren of het token is uitgegeven door de juiste Federation-server en of er niet met het token is geknoeid.
TCP/IP-netwerkverbinding
Er moet een TCP/IP-netwerkverbinding bestaan tussen de client, een domeincontroller en de computers die als host optreden van de Federation-service, de Federation-serviceproxy (wanneer deze wordt gebruikt) en de webagent voor AD FS, omdat AD FS anders niet functioneert.
DNS (Domain Name System)
Er moeten interne DNS-servers in het intranetforest worden geconfigureerd om de canonieke naam (CNAME) te retourneren van de interne server waarop de Federation-service wordt uitgevoerd. Dit heeft tot doel de gebruikers in het intranet te verifiëren. Gebruik voor de beste resultaten geen hostbestanden met DNS.
Webbrowser
Hoewel elke huidige webbrowser waarin JScript is ingeschakeld bruikbaar is als AD FS-client, zijn alleen Internet Explorer 8, Internet Explorer 7, Internet Explorer 6, Internet Explorer 5 of 5.5, Mozilla Firefox en Safari op Apple Macintosh door Microsoft getest. Voor betere prestaties wordt u sterk aangeraden JScript in te schakelen. Cookies moeten worden ingeschakeld, of ten minste worden vertrouwd, voor de federatieservers en webtoepassingen die worden gebruikt.