Windows Server2008 ADFS配置攻略(2)

日期: 2008-04-07 来源:TechTarget中国

  第2步:安装 AD FS 角色服务,配置证书

     现在我们已经配置好计算机并且将它们加入到域中,同时对于每台服务器我们也已经安装好了ADFS组件。

  1)安装同盟服务

    两台计算机上安装同盟服务,安装完成后,这两台计算机就变成了同盟服务器。下面的操作将会引导我们创建一个新的信任策略文件以及SSL和证书:

    点击Start ,选择 Administrative Tools ,点击 Server Manager。右击 Manage Roles, 选中Add roles 启动添加角色向导。在Before You Begin 页面点击 Next。在 select Server Roles 页选择 Active Directory Federation Services 点击Next 。在select Role Services 选择 Federation Service 复选框,如果系统提示用户安装 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服务,那么点击 Add Required Role Services 添加它们,完成后点击 Next 。在 Choose a Certificate for SSL Encryption 页面点击 create a self-signed certificate for SSL encryption, 点击 Next 继续,在 Choose Token-Signing Certificate 页面点击create a self-signed token-signing certificate, 点击 Next. 接下来的select Trust Policy 页面选择 create a new trust policy,下一步进入 select Role Services 页面点击 Next 来确认默认值。在 Confirm Installation Options 校验完信息后,就可以点击Install 开始安装了。

  2)将本地系统帐户分配到 ADFSAppPool identity

    点击Start ,在 Administrative Tools中的 Internet Information Services (IIS) Manager中,双击ADFSRESOURCE 或者 ADFSACcount ,选择 Application Pools ,在中心面板上右击ADFSAppPool ,选择Set Application Pool Defaults.在Identity Type, 点击 LocalSystem ,然后选择 OK。

  3)安装 AD FS Web 代理

    在 Administrative Tools中 Server Manager 右击 Manage Roles ,选择 Add roles ,根据向导在select Server Roles 页面选择 Active Directory Federation Services.,点击Next 后在 select Role Services 窗口中选择 Claims-aware Agent 复选框。如果向导提示用户安装 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服务,那么点击 Add Required Role Services 来完成安装。完成后在select Role Services 页面,选择 Client Certificate Mapping Authentication 复选框(要想实现这步操作,IIS需要创建一个self-signed 服务认证。),验证完信息后,就可以开始安装了。

    要想成功的设置Web服务器和同盟服务器,还有一个重要的环节就是证书的创建和导入导出。前面我们已经使用角色添加向导为同盟服务器之间创建了服务器授权认证,剩下要做的就是为adfsweb计算机创建对应的授权认证。由于篇幅有限在此就不作详细介绍,相关内容可以查询系列中证书相关的文章。
  
  第3步: 配置 Web 服务器

    在这个步骤中,我们主要要完成的有如何在一个Web 服务器上(adfsweb),设置一个claims-a 
ware 应用程序。

    首先我们来配制IIS,需要做的就是启用adfsweb默认网站的SSL设置,完成后我们在IIS的ADFSWEB 中双击 Web Sites, 右击 Default Web Site, 选择Add Application,在Add Application 对话框的 Alias 中键入 claimapp 点击… 按键, 新建一个文件夹命名为claimapp, 然后确定。需要注意的是命名新文件夹时最好不要使用大写字母,不然在后面使用时也要使用对应的大写字母。

  第4步: 配置同盟服务器

    现在我们已经安装好了ADFS服务,也已经配置好了访问claims-aware 应用程序的Web服务器,下面我们就来配置试验环境中两家公司(Trey Research 和 A. Datum Corporation )的同盟服务。

    我们首先来配置信任策略,在Administrative Tools 中点击 Active Directory Federation Services 双击 Federation Service, 右击选择 Trust Policy, 选择其中的Properties。在 General 页签的Federation Service URI 选项中键入urn:federation:adatum 。然后在Federation Service endpoint URL 文本框中验证下面的网址是否正确https://adfsaccount.adatum.com/adfs/ls/ 最后在Display Name 页签的 Display name for this trust policy中键入 A. Datum 然后选择OK确定。完成后我们再次进入Active Directory Federation Services.双击Federation Service, Trust Policy, My Organization, 右击 Organization Claims, 点击 New, 然后点击 Organization Claim.在create a New Organization Claim 对话框的Claim name中键入Trey ClaimApp Claim。确定 Group claim 选中后,点击 OK。另外一家公司的配置与上面的操作基本类似,再次不做累述。

  第 5步: 通过客户计算机访问试验应用程序  

  配置adfsaccount 同盟服务的浏览器设置

    使用alansh用户登录到adfsclient ,启动IE,在Tools 菜单中点击 Internet Options 在 Security 页签点击 Local intranet,然后点击 Sites.然后点击 Advanced.在 Add this Web site to the zone, 中键入https://adfsaccount.adatum.com, 点击 Add 。然后在IE浏览器中键入https://adfsweb.treyresearch.net/claimapp/.但提示home realm时,点击A. Datum 然后点击Submit 。这样Claims-aware Sample Application 出现在浏览器上,用户可以在SingleSignOnIdentity.SecurityPropertyCollection 中看到应用程序选定的声明。如果在访问时出现问题,那么用户可以运行iisreset 或者重启adfsweb计算机,然后再次尝试访问。

    至此一个基本的ADFS试验模型已经搭建完成,当然ADFS依然是一个全面而复杂的新技术,在真正的生产环境中,我们还会有许多许多的操作和配置要做,不过,不管配置如何,正如上文所说的, ADFS将极大地扩充Web应用的能力,扩充企业外部业务的信息化程度,让我们拭目以待Windows Server 2008中ADFS技术在实际应用中使用情况吧。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐