Active Directory 联合身份验证服务概述

2024年1月15日发(作者：)

Active Directory 联合身份验证服务概述

应用到: Windows Server 2008

可以使用 Windows Server® 2008 和 Windows Server 2008 R2 操作系统中的 Active

Directory(R) 联合身份验证服务 (AD FS) 服务器角色，创建可高度扩展、可 Internet 伸缩和安全的身份访问解决方案，此解决方案可在多个平台上工作，包括 Windows 和非 Windows

环境。

在下面的部分中，将了解到有关 AD FS 的详细信息，包括技术概述以及如何进行安装和管理。

什么是 AD FS？

AD FS 是一个身份访问解决方案，即使用户帐户和应用程序分别处于完全不同的网络或组织中，它也使基于浏览器的客户端（网络内部或外部）能够对一个或多个面向 Internet 的受保护应用程序进行无缝的“一次提示”访问。

当应用程序处于一个网络中而用户帐户处于另一个网络中时，用户在尝试访问该应用程序时通常会遇到要求输入辅助凭据的提示。这些辅助凭据代表应用程序所驻留的领域中的用户身份。承载该应用程序的 Web 服务器通常需要这些凭据，以便能够做出最适当的身份认证决策。

AD FS 通过提供信任关系来避免使用辅助帐户及其凭据，您可以使用此信任关系将用户的数字身份和访问权限投影到受信任的伙伴。在联合的环境中，每个组织除了能继续管理自己的身份外，还能安全地投影和接受来自其他组织的身份。

此外，可以将联合身份验证服务器部署在多个组织中，以便简化受信任伙伴组织之间的企业对企业 (B2B) 事务。联合的 B2B 合作关系将商业伙伴识别为下列组织类型之一：

 资源组织：如果组织拥有并管理可从 Internet 访问的资源，则可以部署 AD FS 联合服务器和启用 AD FS 的 Web 服务器，这些服务器管理受信任伙伴对受保护资源的访问。这些受信任的伙伴可以包括外部的第三方或同一组织中的其他部门或分支机构。

 帐户组织：如果组织拥有并管理用户帐户，则可以部署对本地用户进行身份验证的

AD FS 联合服务器，并创建资源组织中的联合服务器以后可以做出授权决策的安全令牌。

在访问其他网络中的资源时对一个网络进行身份验证的过程称为单一登录 (SSO)，它消除了重复登录操作的负担。AD FS 提供基于 Web 的 SSO 解决方案，该解决方案在一个浏览器会话的整个期间针对多个 Web 应用程序对用户进行身份验证。

AD FS 角色服务

AD FS 服务器角色包括联合身份验证服务、代理服务和 Web 代理服务，可以对这些服务进行配置，以启用 Web SSO、联合基于 Web 的资源、自定义访问体验，以及管理如何授权现有用户访问应用程序。

根据组织的要求，可以对运行下列任一 AD FS 角色服务的服务器进行部署：

 联合身份验证服务：联合身份验证服务包含一台或多台共享公共信任策略的联合服务器。可以使用联合服务器路由来自其他组织中用户帐户的身份验证请求，或者来自

Internet 上任意位置的客户端的身份验证请求。

 联合身份验证服务代理：联合身份验证服务代理是针对外围网络（也称为网络隔离区和屏蔽子网）中联合身份验证服务的代理。联合身份验证服务代理使用 WS 联合身份验证被动请求者配置文件 (WS-F PRP) 协议从浏览器客户端收集用户凭据信息，并代表它们将用户凭据信息发送到联合身份验证服务。

 声明感知代理：在承载声明感知应用程序的 Web 服务器上使用声明感知代理，可以对

AD FS 安全令牌声明进行查询。声明感应应用程序是 Microsoft 应用程序，它使用 AD FS 安全令牌中存在的声明来做出授权决策，并个性化应用程序。

 基于 Windows 令牌的代理：在承载基于 Windows NT 令牌的应用程序的 Web

服务器上使用基于 Windows 令牌的代理，可以支持从 AD FS 安全令牌转换成模拟级别的、基于 Windows NT 的访问令牌。基于 Windows NT 令牌的应用程序是使用基于 Windows 的授权机制的应用程序。

安装 AD FS 角色

操作系统安装完成后，将出现初始配置任务列表。若要安装 AD FS，请在任务列表中单击“添加角色”，然后单击“Active Directory 联合身份验证服务”。

有关安装和配置 AD FS 测试实验室环境的详细说明，请参阅“Windows Server 2008 R2 中的 AD FS 循序渐进指南”(/fwlink/?LinkId=133009)（可能为英文网页）。

管理 AD FS 角色

可以使用 Microsoft 管理控制台 (MMC) 管理单元来管理服务器角色。安装 AD FS 后，可以使用 Active Directory 联合身份验证服务管理单元来管理联合身份验证服务和联合身份验证服务代理角色服务。若要打开此管理单元，请单击“开始”，再单击“管理工具”，然后单击“Active

Directory 联合身份验证服务”。

若要管理基于 Windows 令牌的代理，请依次单击“开始”、“管理工具”、“Internet 信息服务 (IIS) 管理器”以及“连接到 localhost”。

详细信息

若要了解有关 AD FS 的详细信息，可以查看服务器上的帮助。若要显示帮助，请按上文所述打开 Active Directory 联合身份验证服务管理单元，然后按 F1。