在 Windows Server 2003 R2 的“添加或删除程序”中安装联合身份验证服务组件时,或在 Windows Server 2008 或 Windows Server 2008 R2 中使用“添加角色向导”时,将安装 Active Directory 联合身份验证服务 (AD FS) Microsoft 管理控制台 (MMC) 管理单元。可以使用 Active Directory 联合身份验证服务管理单元执行以下操作:
-
配置联合身份验证服务或联合服务器场。
-
管理与联合身份验证服务关联的信任策略:
-
管理 Active Directory 域服务 (AD DS) 或 Active Directory 轻型目录服务 (AD LDS) 帐户存储。
-
管理将信任组织的帐户伙伴和资源伙伴。
-
管理声明、联合服务器使用的证书和受 AD FS 保护的 Web 应用程序。
-
管理 Active Directory 域服务 (AD DS) 或 Active Directory 轻型目录服务 (AD LDS) 帐户存储。
在 Active Directory 联合身份验证服务管理单元中所配置设置的一部分存储在 Web.config 文件中(该文件位于联合身份验证服务虚拟目录),一部分存储在信任策略文件中。可以直接编辑 Web.config 文件,然后将其推送到不同的服务器上,也可以使用 Active Directory 联合身份验证服务管理单元修改这些设置。
不应手动编辑信任策略文件。而应使用 Active Directory 联合身份验证服务管理单元编辑信任策略文件,或使用 AD FS 对象模型通过编程进行编辑。
 | 注意 |
|
AD FS 对象模型中提供脚本支持。有关详细信息,请参阅“Active Directory 联合身份验证服务概述”( |
打开 Active Directory 联合身份验证服务管理单元时,管理单元从联合身份验证服务虚拟目录读取 Web.config 文件,并记录信任策略文件的位置。然后,管理单元提供一个控制台树层次结构,代表联合身份验证服务以及信任策略的所有方面(包括组织声明、伙伴、帐户存储和应用程序)。此控制台树层次结构中的每一项包含选项,可以用于查看、修改、添加和删除信任策略实体。
“联合身份验证服务”节点
Active Directory 联合身份验证服务管理单元控制台树中的“联合身份验证服务”节点代表分配给查看管理单元所在的联合服务器的本地联合身份验证服务。在 AD FS 管理单元中通过此节点控制本地联合服务器配置。本地联合服务器配置与信任策略配置不同,因为信任策略配置在联合服务器场中的所有联合服务器之间共享。本地联合服务器配置存储在 Web.config 文件中,包含下列各项:
-
信任策略文件的路径
-
用于为令牌签名的本地证书
-
Microsoft ASP.NET 网页
-
调试日志记录级别和日志文件目录的路径
-
用于启用对组织组声明的匿名访问的选项