Active Directory 联合身份验证服务 (AD FS) 具有下列硬件要求和软件要求。

硬件要求

  • 处理器速度:133 兆赫 (MHz)(基于 x86 的计算机)

  • 建议的最小 RAM:256 MB

  • 用于安装的可用磁盘空间:10 MB

软件要求

AD FS 依赖于 Windows Server 2003 R2、Windows Server 2008 和 Windows Server 2008 R2 中内置的服务器功能。联合身份验证服务、联合身份验证服务代理和 AD FS Web 代理角色服务无法在早期操作系统上运行。本部分说明每个 AD FS 角色服务的软件要求。还说明网络环境中 AD FS 所需的整体软件配置。

注意

联合身份验证服务和联合身份验证服务代理角色服务无法共存于同一台计算机上。

联合身份验证服务

运行联合身份验证服务的计算机必须安装下列软件:

  • Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Datacenter Edition、Windows Server 2008 Enterprise、Windows Server 2008 Datacenter、Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter

  • Internet 信息服务 (IIS)

  • Microsoft ASP.NET 2.0

  • Microsoft .NET Framework 2.0

注意

完成联合身份验证服务安装之后,必须使用传输层安全性/安全套接字层 (TLS/SSL) 配置 IIS 中的默认网站。

AD DS 和 AD LDS 帐户存储要求

AD FS 要求在帐户联合身份验证服务的 Active Directory 域服务 (AD DS) 或 Active Directory 轻型目录服务 (AD LDS) 中存在用户帐户。承载帐户存储的 AD DS 域控制器或计算机必须安装下列操作系统之一:

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows Server 2003 R2

  • Windows Server 2003

  • 包含重要更新的 Windows 2000 Service Pack 4 (SP4)

AD FS 不要求对 AD DS 进行架构更改或功能级的修改。为了确保 AD LDS 可以与 AD FS 一起使用,请安装随 Windows Server 2008 提供的 AD LDS 版本。

联合身份验证服务代理

运行联合身份验证服务代理的计算机必须安装下列软件:

  • Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Datacenter Edition、Windows Server 2008 Enterprise、Windows Server 2008 Datacenter、Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter

  • IIS

  • ASP.NET 2.0

  • Microsoft .NET Framework 2.0

注意

完成联合身份验证服务代理安装之后,必须使用 TLS/SSL 配置 IIS 中的默认网站。

AD FS Web 代理

运行 AD FS Web 代理(声明感知代理或基于 Windows 令牌的代理)的计算机必须已安装下列软件:

  • Windows Server 2003 R2 Standard Edition、Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Datacenter Edition、Windows Server 2008 Standard、Windows Server 2008 Enterprise、Windows Server 2008 Datacenter、Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter

  • IIS

  • ASP.NET 2.0

  • Microsoft .NET Framework 2.0

注意

AD FS Web 代理安装完成之后,IIS 中必须至少有一个网站配置有 TLS/SSL,以便联合用户可以访问启用 AD FS 的 Web 服务器上承载的基于 Web 的应用程序。

受信任的证书颁发机构

因为 TLS/SSL 和令牌签名均依赖于数字证书,所以证书颁发机构 (CA) 是 AD FS 的重要组成部分。公共 CA(例如 VeriSign, Inc.)代表允许识别证书获得者身份的相互信任的第三方。可以使用企业 CA(例如 Microsoft 证书服务)提供令牌签名和其他内部证书服务。

如果为客户端提供了服务器的身份验证证书,客户端计算机将验证颁发该证书的 CA 是否在客户端的受信任 CA 列表中,以及该 CA 是否未吊销该证书。此验证确保客户端可以访问所需的服务器。在使用证书验证签名令牌时,客户端使用证书验证令牌是否由正确的联合服务器颁发,以及令牌是否未被篡改。

TCP/IP 网络连接

要使用 AD FS,在客户端、域控制器以及承载联合身份验证服务、联合身份验证服务代理(如果使用)和 AD FS Web 代理的计算机之间必须存在 TCP/IP 网络连接。

DNS

为了验证 intranet 中的用户,必须配置 intranet 林中的内部域名系统 (DNS) 服务器,使其返回运行联合身份验证服务的内部服务器的规范名称 (CNAME)。为了获得最佳效果,请勿使用 DNS 的主机文件。

Web 浏览器

尽管目前任何启用了 JScript 的 Web 浏览器应该都可作为 AD FS 客户端使用,但只有 Internet Explorer 8、Internet Explorer 7、Internet Explorer 6、Internet Explorer 5 或 5.5、Mozilla Firefox 和 Apple Macintosh 上的 Safari 经过了 Microsoft 的测试。因为性能的原因,强烈建议启用 JScript。必须为要访问的联合服务器和 Web 应用程序启用 Cookie,或者至少信任 Cookie。

请参阅


目录