Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы развернуть серверы федерации в службах федерации Active Directory (AD FS), выполните все задачи в контрольном списке: Настройка сервера федерации.
Примечание.
Прежде чем приступить к настройке серверов, мы рекомендуем сначала ознакомиться с рекомендациями по планированию сервера федерации в руководстве по проектированию AD FS в Windows Server 2012. Следование контрольному списку в таком порядке позволяет лучше понять процесс проектирования и развертывания серверов федерации.
Сведения о серверах федерации
Серверы федерации — это компьютеры под управлением Windows Server 2008 с установленным программным обеспечением AD FS, настроенным для действий в роли сервера федерации. Серверы федерации проходят проверку подлинности или маршрутизацию запросов из учетных записей пользователей в других организациях и на клиентских компьютерах, которые могут находиться в любом месте в Интернете.
Действие установки программного обеспечения AD FS на компьютере и использование мастера настройки сервера федерации AD FS для настройки роли сервера федерации делает этот компьютер сервером федерации. Она также предоставляет доступ к оснастке управления AD FS на этом компьютере в меню Пуск\Административные инструменты\, чтобы указать следующее:
Имя узла AD FS, на который партнерские организации и приложения будут отправлять запросы токенов и ответы.
Идентификатор AD FS, используемый партнерскими организациями и приложениями для идентификации уникального имени или расположения организации.
Сертификат подписывания токенов, который будет использоваться всеми серверами федерации в ферме серверов для выпуска и подписания токенов
Расположение настраиваемых веб-страниц ASP.NET для входа и выхода клиента, а также для обнаружения партнеров учетной записи, которые улучшат взаимодействие с клиентом.
Примечание.
Большинство этих основных параметров пользовательского интерфейса содержатся в файле web.config на каждом сервере федерации. Имена узлов AD FS и значения идентификаторов AD FS не указаны в файле web.config.
Серверы федерации размещают движок выдачи утверждений, который выдает токены на основе учетных данных (например, имени пользователя и пароля), представленных ему. Маркер безопасности — это криптографически подписанный блок данных, который выражает одно или несколько утверждений. Утверждение — это заявление, делаемое сервером (например, касательно имени, удостоверения, ключа, группы, привилегий или возможностей) о клиенте. После проверки учетных данных на сервере федерации (через процесс входа пользователя) утверждения для пользователя собираются с помощью проверки атрибутов пользователя, хранящихся в указанном хранилище атрибутов.
В архитектурах федеративных веб-Sign-On (SSO) (проекты AD FS с участием двух или нескольких организаций) заявления могут быть изменены правилами заявлений для конкретной проверяющей стороны. Утверждения встроены в токен, который отправляется на сервер федерации в организации партнера по ресурсам. После того как сервер федерации в партнере ресурсов получает утверждения в качестве входящих утверждений, он выполняет обработчик выдачи утверждений для выполнения набора правил утверждений для фильтрации, передачи или преобразования этих утверждений. Затем утверждения встроены в новый токен, который отправляется на веб-сервер в ресурсном партнере.
В дизайне веб-единого входа (дизайн AD FS, предполагающий участие только одной организации) можно использовать один сервер федерации, чтобы сотрудники могли войти в систему один раз и при этом получить доступ к нескольким приложениям.