仅当使用适当的 AD FS 角色服务配置运行 Windows Server 2008 或 Windows Server 2008 R2 的服务器时,Active Directory 联合身份验证服务 (AD FS) 才可以运行。AD FS 角色服务是在运行 Windows Server 2008 或 Windows Server 2008 R2 的服务器上安装的单独的 AD FS 组件。可以使用添加角色服务向导安装下列 AD FS 角色服务:

  • 联合身份验证服务

  • 联合身份验证服务代理

  • 声明感知代理

  • 基于 Windows 令牌的代理

必须部署特定的 AD FS 服务器角色,具体做法取决于组织的环境。下面的部分介绍与可用于提供 AD FS 联合标识管理解决方案的每个 AD FS 角色服务相关联的服务器角色。

联合服务器

联合服务器承载 AD FS 的联合身份验证服务角色服务。这些服务器传送其他组织中的用户帐户 [在联合 Web 单一登录 (SSO) 设计中] 或可位于 Internet 上任意位置的客户端(在 Web SSO 设计中)发出的身份验证请求。有关各个 AD FS 设计的详细信息,请参阅了解联合身份验证设计

联合服务器也承载安全令牌服务,该服务发出的令牌基于为此服务提供的凭据(例如用户名和密码)。验证凭据(通过登录的用户)后,通过检查在 Active Directory 域服务 (AD DS) 或 Active Directory 轻型目录服务 (AD LDS) 中存储的用户属性来收集该用户的声明。

有关联合服务器的详细信息,请参阅了解联合身份验证服务角色服务

联合服务器代理

联合服务器代理承载 AD FS 的联合身份验证服务代理角色服务。可以在组织的外围网络(也称为隔离区、Extranet 或屏蔽子网)部署联合服务器代理,用于将请求转发到无法通过 Internet 访问的联合服务器。

注意

尽管可以部署单独的服务器来承载联合身份验证服务代理角色服务,但不必在帐户伙伴或资源伙伴的 intranet 林中部署单独的服务器来充当联合服务器代理。联合服务器将自动担当此角色。

有关联合服务器代理的详细信息,请参阅了解联合身份验证服务代理角色服务

启用 AD FS 的 Web 服务器

承载声明感知或基于 Windows 令牌的 AD FS Web 代理角色服务的 Web 服务器称为启用 AD FS 的 Web 服务器。这些服务器提供对在那些 Web 服务器上承载的 Web 应用程序的安全访问权限。AD FS Web 代理管理发送到启用 AD FS 的 Web 服务器上的安全令牌和身份验证 Cookie。启用 AD FS 的 Web 服务器要求与联合身份验证服务建立关系,以便所有身份验证令牌均来自该联合身份验证服务。

有关启用 AD FS 的 Web 服务器的详细信息,请参阅了解 AD FS Web 代理角色服务


目录