Active Directory Federation Services (AD FS) 網路代理程式是 AD FS 的一項角色服務,可獨立安裝於其他 AD FS 角色服務之外。電腦上若安裝了 AD FS 網路代理程式角色服務,就會成為啟用 AD FS 的網頁伺服器。
啟用 AD FS 的網頁伺服器利用安全性權杖,允許或拒絕使用者存取網頁應用程式。為了完成此作業,啟用 AD FS 的網頁伺服器必須建立與資源 Federation Service 之間的關係,以便能夠在必要時將使用者導向至 Federation Service。
AD FS 網路代理程式可用於兩種類型的應用程式:
-
宣告感知應用程式:這是一種寫入已發佈之 AD FS 物件的 Microsoft ASP.NET 應用程式,查詢 AD FS 安全性權杖宣告需要 AD FS 物件才能進行。應用程式會根據這些宣告做出授權決策。
-
Windows NT 權杖型應用程式:使用 Windows 型授權機制的應用程式。AD FS 網路代理程式可支援將 AD FS 安全性權杖轉換為模擬層級的 Windows NT(R) 存取權杖。
啟用 AD FS 的網頁伺服器亦可將超文字傳輸通訊協定 (HTTP) Cookie 儲存在需要 Cookie 來執行單一登入 (SSO) 的用戶端。AD FS 網路代理程式由兩項個別的元件組成:
-
AD FS Windows 權杖型代理程式延伸
-
AD FS 網路代理程式驗證服務
AD FS Windows 權杖型代理程式延伸
AD FS Windows 權杖型代理程式延伸是一種網際網路伺服器應用程式開發介面 (ISAPI) 延伸,可讓您用來設定網際網路資訊服務 (IIS) Metabase 中的資訊。在 IIS 管理員中,可以使用 [Federation Services URL] 以及 [AD FS 網路代理程式] 內容頁,管理確認 AD FS 安全性權杖與 Cookie 的原則與憑證。
下表中的 AD FS 網路代理程式內容是可繼承的。若 ISAPI 擴充功能需要支援 WS-同盟被動式要求者設定檔 (WS-F PRP) 通訊協定,則必須在 IIS 資源上使用這些內容。
| 內容 | 描述 |
|---|---|
|
Federation Service URL |
Federation Service 的統一資源定位器 (URL)。必須使用此 URL,以便對其查詢信任資訊。 |
|
Cookie 路徑 |
這是寫入驗證 cookie 時所指定的路徑。 |
|
Cookie 網域 |
cookie 具有效力的網域。 |
|
傳回 URL |
這是指在 Federation Service 中進行驗證後,Federation Service 所發行的權杖應傳回哪個 URL。此 URL 應與權杖的 Audience 元素相符。與 Audience 元素進行對照檢查的作業由 Windows 服務執行。 |
AD FS 網路代理程式驗證服務
AD FS 網路代理程式驗證服務可驗證連入的權杖與 cookie。它以本機系統的身分執行,產生權杖的方法有兩種:使用 Service-for-User (S4U),可讓您藉由提供無密碼的使用者主要名稱 (UPN) 取得用戶端的 Windows 權杖,或是使用 AD FS 驗證封裝。但以本機系統的角色執行時,並不需要 IIS 應用程式集區。
AD FS 網路代理程式驗證服務具有僅能以本機遠端程序呼叫 (LRPC) 的介面,遠端程序呼叫 (RPC) 無法呼叫此介面。若將 AD FS 安全性權杖或 AD FS cookie 指定給此服務,則它會傳回模擬 Windows NT 存取權杖。