Active Directory Federation Services (AD FS) 只在執行 Windows Server 2008 或 Windows Server 2008 R2 的伺服器設定了適當的 AD FS 角色服務時才能運作。AD FS 角色服務是個別的 AD FS 元件,可安裝在執行 Windows Server 2008 或 Windows Server 2008 R2 的伺服器上。您可以使用 [新增角色服務精靈] 安裝下列 AD FS 角色服務:

  • Federation Service

  • Federation Service Proxy

  • 宣告感知 (Claims-Aware) 代理程式

  • Windows 權杖型代理程式

隨著組織中的環境不同,您必須部署特定的 AD FS 伺服器角色。以下小節描述與每個 AD FS 角色服務相關的伺服器角色,您可以使用這些角色服務提供 AD FS 同盟身分識別管理方案。

同盟伺服器

同盟伺服器裝載 AD FS 的 Federation Service 角色服務。這些伺服器可用來路由其他組織中的使用者帳戶所提出的驗證要求 (在同盟網頁單一登入 (SSO) 設計中),或路由網際網路任何位置的用戶端所提出的驗證要求 (在網頁 SSO 設計中)。如需不同 AD FS 設計的相關資訊,請參閱了解同盟設計

同盟伺服器也可以裝載安全性權杖服務,該服務會根據呈現給它的認證 (例如,使用者名稱和密碼) 來發出權杖。驗證認證後 (在使用者登入時),會檢查 Active Directory 網域服務 (AD DS) 或 Active Directory 輕量型目錄服務 (AD LDS) 所儲存的使用者屬性來收集該使用者的宣告。

如需同盟伺服器的相關資訊,請參閱了解 Federation Service 角色服務

同盟伺服器 Proxy

同盟伺服器 Proxy 裝載 AD FS 的 Federation Service Proxy 角色服務。您可以在組織的周邊網路 (也稱為非軍事區域、外部網路或隔離的子網路) 中部署同盟伺服器 Proxy,以便將要求轉寄給無法自網際網路存取的同盟伺服器。

附註

雖然您可以部署個別的伺服器來裝載 Federation Service Proxy 角色服務,但是您不必將個別的伺服器部署為帳戶夥伴或資源夥伴的內部網路樹系中的同盟伺服器 Proxy。同盟伺服器可自動執行這個角色。

如需同盟伺服器 Proxy 的相關資訊,請參閱了解 Federation Service Proxy 角色服務

啟用 AD FS 的網頁伺服器

裝載宣告感知或 Windows 權杖型 AD FS 網路代理程式角色服務的網頁伺服器,稱為啟用 AD FS 的網頁伺服器。這些伺服器可安全存取網頁伺服器上裝載的網頁應用程式。AD FS 網路代理程式會管理傳至啟用 AD FS 的網頁伺服器的安全性權杖及驗證 Cookie。啟用 AD FS 的網頁伺服器會要求與 Federation Service 之間的關係,讓所有的驗證權杖都來自該 Federation Service。

如需啟用 AD FS 的網頁伺服器的相關資訊,請參閱了解 AD FS 網路代理程式角色服務


目錄