Active Directory Federation Services (AD FS) 有下列軟硬體需求。
硬體需求
-
處理器速度:x86 型電腦需要 133 MHz
-
建議的基本 RAM:256 MB
-
安裝程式所需的可用磁碟空間:10 MB
軟體需求
AD FS 需依賴 Windows Server 2003 R2、Windows Server 2008 及 Windows Server 2008 R2 的內建伺服器功能。Federation Service、Federation Service Proxy 和 AD FS 網路代理程式角色服務無法執行於較早的作業系統上。本節說明每一個 AD FS 角色服務的軟體需求。也說明您的網路環境中的 AD FS 所需的整體軟體設定。
 | 附註 |
|
Federation Service 與 Federation Service Proxy 角色服務無法共存於相同電腦中。 |
Federation Service
執行 Federation Service 的電腦必須安裝下列軟體:
-
Windows Server 2003 R2, Enterprise Edition、Windows Server 2003 R2, Datacenter Edition、Windows Server 2008 Enterprise、Windows Server 2008 Datacenter、Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter
-
網際網路資訊服務 (IIS)
-
Microsoft ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| 附註 |
|
Federation Service 安裝完成之後,IIS 中的預設網站必須設定傳輸層安全性/安全通訊端層 (TLS/SSL)。 |
AD DS 與 AD LDS 帳戶存放區需求
必須在 Active Directory 網域服務 (AD DS) 或 Active Directory 輕量型目錄服務 (AD LDS) 中具有帳戶 Federation Service 的使用者帳戶,才能使用 ADFS。裝載帳戶存放區的 AD DS 網域控制站或電腦必須安裝下列其中一個作業系統:
-
Windows Server 2008 R2
-
Windows Server 2008
-
Windows Server 2003 R2
-
Windows Server 2003
-
內含重要更新的 Windows 2000 Service Pack 4 (SP4)
AD FS 不需要對 AD DS 進行架構變更或功能層級修改。若要確定 AD LDS 可搭配 AD FS 使用,請安裝 Windows Server 2008 所附的 AD LDS 版本。
Federation Service Proxy
執行 Federation Service Proxy 的電腦必須安裝下列軟體:
-
Windows Server 2003 R2, Enterprise Edition、Windows Server 2003 R2, Datacenter Edition、Windows Server 2008 Enterprise、Windows Server 2008 Datacenter、Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| 附註 |
|
Federation Service Proxy 安裝完成之後,IIS 中的預設網站必須設定 TLS/SSL。 |
AD FS 網路代理程式
執行 AD FS 網路代理程式 (宣告感知代理程式或 Windows 權杖型代理程式) 的電腦必須安裝下列軟體:
-
Windows Server 2003 R2 Standard Edition、Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Datacenter Edition、Windows Server 2008 Standard、Windows Server 2008 Enterprise、Windows Server 2008 Datacenter、Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| 附註 |
|
完成 AD FS 網路代理程式安裝後,至少必須以 TLS/SSL 設定 IIS 中的一個網站,同盟使用者才能存取啟用 AD FS 的網頁伺服器上裝載的網頁應用程式。 |
信任的憑證授權單位
由於 TLS/SSL 及權杖簽署都依賴數位憑證,所以憑證授權單位 (CA) 是 AD FS 的一個重要部分。公開 CA (例如 VeriSign, Inc.) 代表互信的第三方,它可允許識別憑證擁有者的身分。您可以使用企業 CA (例如 Microsoft 憑證服務) 來提供權杖簽署和其他內部憑證服務。
若用戶端看到伺服器的驗證憑證,則用戶端電腦會驗證發出憑證的 CA 位於用戶端的信任 CA 清單中,且 CA 尚未撤銷該憑證。此驗證可確保用戶端已連線到預定的伺服器。當憑證用來驗證簽章的權杖時,用戶端就會使用憑證來驗證權杖是由正確的同盟伺服器所發出,且權杖未經篡改。
TCP/IP 網路連線
若要讓 AD FS 運作,下列各項之間必須要有 TCP/IP 網路連線:用戶端;網域控制站;以及裝載 Federation Service、Federation Service Proxy (使用時) 與 AD FS 網路代理程式的電腦。
DNS
為驗證內部網路的使用者,必須設定內部網路樹系中的內部網域名稱系統 (DNS) 伺服器,使其傳回執行 Federation Service 之內部伺服器的正式名稱 (CNAME)。為了得到最好的效果,請不要使用含 DNS 的主機檔案。
網頁瀏覽器
雖然已啟用 JScript 的所有現行網頁瀏覽器都應能當做 AD FS 用戶端使用,但 Microsoft 目前只測試過 Internet Explorer 8、Internet Explorer 7、Internet Explorer 6、Internet Explorer 5 或 5.5、Mozilla Firefox 及 Apple Macintosh 上的 Safari。基於效能考量,強烈建議您啟用 JScript。必須為正在存取的同盟伺服器和網頁應用程式啟用 (或至少信任) Cookie。