了解联合身份验证服务角色服务

联合身份验证服务是可以独立于其他 AD FS 角色服务安装的 Active Directory 联合身份验证服务 (AD FS) 的角色服务。联合身份验证服务充当安全令牌服务。在计算机上安装联合身份验证服务角色服务将使该计算机成为联合服务器。还使该计算机上的“管理工具”菜单中可以使用 Active Directory 联合身份验证服务管理单元。有关 AD FS 管理单元的详细信息，请参阅使用 Active Directory 联合身份验证服务管理单元。

联合身份验证服务设计用于使用 Active Directory 域服务 (AD DS) 提供令牌来响应对安全令牌的请求。这样，Active Directory 域和林可以充当：

• 可以与符合标准的帐户伙伴和资源伙伴联合的标识提供方。作为标识提供方，联合身份验证服务可以在 Internet 上规划 Active Directory 身份，以便在符合标准的服务提供方与应用程序进行交互。
  
  
• 可以与符合标准的帐户伙伴和资源伙伴联合的服务提供方。作为服务提供方，联合身份验证服务可以允许其他组织中的身份访问伙伴的基于 Windows 和基于 ASP.NET 的应用程序。
  
  
• 符合 WS 联合身份验证被动请求者配置文件 (WS-F PRP) 规范的应用程序的安全令牌提供方。
  
  

作为帐户伙伴，联合身份验证服务允许用户访问伙伴组织的资源。响应资源伙伴的请求时，联合身份验证服务收集用户凭据并根据 AD DS 或 Active Directory 轻型目录服务 (AD LDS) 的一个实例验证这些用户凭据。联合身份验证服务可以根据用户帐户的轻型目录访问协议 (LDAP) 属性填充一组组织声明。然后，组织声明映射到资源伙伴的相应声明并封装到由联合身份验证服务的令牌签名证书签名的安全令牌中。生成的安全令牌作为对资源伙伴的原始请求的响应张贴。然后，资源伙伴使用令牌允许用户的访问。

作为资源伙伴，联合身份验证服务所起的作用相反。用户尝试访问受 AD FS 保护的应用程序时，联合身份验证服务确定应对用户进行身份验证的帐户伙伴。然后将身份验证请求发送到该伙伴。在为用户返回安全令牌时，联合身份验证服务验证该令牌是否已由伙伴正确地签名。然后从令牌中提取声明。声明映射到组织声明，并应用特定应用程序的筛选策略。筛选的组织声明封装到由联合身份验证服务的令牌签名证书签名的或由 Web 应用程序的 Kerberos 会话密钥保护的安全令牌中。生成的安全令牌张贴回原始应用程序的统一资源定位器 (URL)。然后，应用程序使用令牌允许用户的访问。

AD FS 使用 WS-F PRP 协议在由联合身份验证服务颁发给 Web 应用程序的安全令牌中携带声明。有关 WS-F PRP 规范的详细信息，请参阅AD FS 的资源。

这些声明最初是从帐户存储（AD DS 或 AD LDS 帐户存储）填充的。联合身份验证服务根据提供的凭据来颁发令牌。帐户存储验证用户的凭据之后，会根据信任策略的规则生成用户的声明。联合身份验证服务将入站声明映射到适合资源伙伴的出站声明中。生成的声明映射添加到颁发给资源伙伴的安全令牌中。有关声明的详细信息，请参阅了解声明。

联合身份验证服务验证令牌之后，身份验证 Cookie 将发送到并写入客户端浏览器。每次必须对客户端进行身份验证时，联合身份验证服务都会使用此 Cookie，这样客户端就不必再次输入凭据。这会启用单一登录 (SSO)。有关 Cookie 的详细信息，请参阅了解 AD FS 所使用的 Cookie。

联合身份验证服务网页

帐户伙伴发现