Оснастка «Службы федерации Active Directory (AD FS)» консоли управления (MMC) устанавливается при установке компонента «Служба федерации» в служебной программе Установка и удаление программ операционной системы Windows Server 2003 R2 или при использовании мастера добавления ролей в Windows Server 2008 или Windows Server 2008 R2. Оснастка «Службы федерации Active Directory» позволяет выполнять следующие действия:

  • Настраивать службу федерации или ферму серверов федерации.

  • Управлять политикой доверия, которая связана со службой федерации:

    • Администрировать хранилища учетных записей доменных служб Active Directory или служб Active Directory облегченного доступа к каталогам.

    • Управлять партнерами по учетными записям и партнерами по ресурсам, которые доверяют вашей организации.

    • Управлять утверждениями, сертификатами, используемыми серверами федерации и веб-приложениями, защищаемыми службой AD FS.

Параметры, настраиваемые в оснастке «Службы федерации Active Directory», хранятся частично в файле Web.config, который находится в виртуальном каталоге службы федерации, и частично в файле политики доверия. Файл Web.config можно редактировать напрямую и записывать его на разные серверы или можно воспользоваться оснасткой «Службы федерации Active Directory» для изменения параметров.

Файл политики доверия не должен редактироваться вручную. Вместо этого файл политики доверия следует редактировать при помощи оснастки «Службы федерации Active Directory» или изменять его программно при помощи объектной модели AD FS.

Примечание

В объектной модели AD FS предоставляется поддержка сценариев. Дополнительные сведения см. в обзоре служб федерации Active Directory (https://go.microsoft.com/fwlink/?LinkId=91836).

При открытии оснастки «Службы федерации Active Directory» она считывает файл Web.config из виртуального каталога службы федерации и отмечает местоположение файла политики доверия. Затем оснастка представляет иерархию дерева консоли, отображающую службу федерации и все аспекты политики доверия, включая утверждения организации, партнеров, хранилища учетных записей и приложения. Каждый элемент в иерархии этого дерева консоли имеет параметры, которые можно использовать для просмотра, изменения, добавления и удаления объектов политики доверия.

Узел «Служба федерации»

Узел Служба федерации в дереве консоли оснастки «Службы федерации Active Directory» представляет локальную службу федерации, назначенную серверу федерации, на котором просматривается оснастка. Управление настройкой локального сервера федерации осуществляется с помощью данного узла в оснастке AD FS. Настройка локального сервера федерации отличается от настройки политики доверия тем, что настройка политики доверия используется совместно всеми серверами федерации в ферме серверов федерации. Локальная настройка сервера федерации хранится в файле Web.config и содержит следующие элементы:

  • путь к файлу политики доверия;

  • локальный сертификат, используемый для подписи токенов;

  • веб-страницы ASP.NET;

  • уровень журнала отладки и путь к каталогу файлов журналов;

  • параметр для включения анонимного доступа к утверждениям организационной группы.


Содержание