Aby działanie usług Active Directory Federation Services (AD FS) było możliwe, należy na serwerach z systemem Windows Server 2008 lub Windows Server 2008 R2 skonfigurować odpowiednie usługi roli AD FS. Usługi roli AD FS to indywidualne składniki usług AD FS instalowane na serwerach z systemem Windows Server 2008 lub Windows Server 2008 R2. Za pomocą Kreatora dodawania usług ról można zainstalować następujące usługi ról programu AD FS:
-
Usługa federacyjna
-
Serwer proxy usługi federacyjnej
-
Agent obsługujący oświadczenia
-
Agent używający tokenów systemu Windows
W zależności od środowiska w organizacji należy wdrożyć określone role serwera programu AD FS. W poniższych sekcjach opisano role serwera skojarzone z poszczególnymi usługami ról programu AD FS, które umożliwiają federacyjne zarządzanie tożsamościami przy użyciu programu AD FS.
Serwery federacyjne
Serwery federacyjne obsługują usługi ról usługi federacyjnej programu AD FS. Służą one do przesyłania żądań uwierzytelniania pochodzących z kont użytkowników w innych organizacjach (w projektach federacyjnej usługi rejestracji jednokrotnej w sieci Web) lub od klientów zlokalizowanych w Internecie (w projekcie usługi rejestracji jednokrotnej w sieci Web). Aby uzyskać więcej informacji o poszczególnych projektach programu AD FS, zobacz temat Opis projektów federacji.
Serwery federacyjne obsługują też usługę tokenu zabezpieczającego, która wystawia tokeny na podstawie przedstawionych jej poświadczeń (na przykład nazwy użytkownika i hasła). Po zweryfikowaniu poświadczeń (przez logującego się użytkownika) oświadczenia dla użytkownika są uzyskiwane przez sprawdzenie atrybutów użytkownika przechowywanych w usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) lub w usługach LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services).
Aby uzyskać więcej informacji o serwerach federacyjnych, zobacz temat Opis usługi roli usługi federacyjnej.
Serwery proxy usługi federacyjnej
Serwery proxy usługi federacyjnej obsługują usługę roli Serwer proxy usługi federacyjnej programu AD FS. Serwery proxy usługi federacyjnej można wdrożyć w sieci obwodowej organizacji (nazywanej też strefą zdemilitaryzowaną, ekstranetem lub podsiecią ekranowaną) w celu przesyłania dalej żądań skierowanych do serwerów, które są niedostępne z poziomu Internetu.
 | Uwaga |
|
Wprawdzie można wdrożyć oddzielne serwery obsługujące usługę roli Serwer proxy usługi federacyjnej, ale nie jest konieczne wdrażanie oddzielnego serwera proxy usługi federacyjnej w lesie intranetu partnera kont ani partnera zasobów. Serwer federacyjny będzie automatycznie pełnić tę rolę. |
Aby uzyskać więcej informacji o serwerach proxy usługi federacyjnej, zobacz temat Opis usługi roli Serwer proxy usługi federacyjnej.
Serwery sieci Web z włączonym programem AD FS
Serwery sieci Web, które obsługują usługę roli agenta sieci Web programu AD FS obsługującego oświadczenia lub używającego tokenów systemu Windows, są nazywane serwerami sieci Web z włączonym programem AD FS. Służą one do zapewniania bezpiecznego dostępu do aplikacji sieci Web obsługiwanych na tych serwerach. Agent sieci Web programu AD FS zarządza tokenami zabezpieczającymi i plikami cookie uwierzytelniania wysyłanymi do serwera sieci Web z włączonym programem AD FS. Serwer sieci Web z włączonym programem AD FS i usługa federacyjna muszą być powiązane relacją, tak aby wszystkie tokeny uwierzytelniania pochodziły z odpowiedniej usługi federacyjnej.
Aby uzyskać więcej informacji o serwerach sieci Web z włączonym programem AD FS, zobacz temat Opis usługi roli agenta sieci Web usług AD FS.