若要在 Active Directory 同盟服務 (AD FS) 中部署同盟伺服器,請完成 檢查清單:設定同盟伺服器中的每個工作。
Note
當您使用此檢查清單時,建議您先閱讀 Windows Server 2012 AD FS 設計指南 中的同盟伺服器規劃參考,再開始設定伺服器的程式。 以這種方式遵循檢查清單,可進一步瞭解同盟伺服器的設計和部署程式。
關於同盟伺服器
同盟伺服器是執行 Windows Server 2008 且已安裝 AD FS 軟體的電腦,這些軟體已設定為在同盟伺服器角色中運作。 聯盟伺服器會驗證或路由來自其他組織用戶帳戶的請求,以及來自互聯網上任何位置的用戶端電腦的請求。
在計算機上安裝 AD FS 軟體,並使用 AD FS 同盟伺服器組態精靈來設定它,讓該電腦成為同盟伺服器。 它也會讓 AD FS 管理嵌入式管理單元在該電腦的 [開始]\[系統管理工具\ ] 功能表中可用,以便您可以指定下列項目:
合作夥伴組織和應用程式將傳送令牌要求和回應的 AD FS 主機名稱
合作夥伴組織和應用程式將用來識別組織的唯一名稱或位置的AD FS識別碼
伺服器陣列中所有同盟伺服器的令牌簽署憑證將用來發行和簽署令牌
用於用戶端登入、註銷和帳戶合作夥伴探索的自定義 ASP.NET 網頁位置,可增強客戶端體驗
Note
這些核心使用者介面 (UI) 設定大部分都包含在每個同盟伺服器上的 web.config 檔案中。 AD FS 主機名和 AD FS 識別碼值不會在 web.config 檔案中指定。
同盟伺服器裝載宣告發行引擎,它會根據提供給它的認證來發行令牌(例如,使用者名稱和密碼)。 安全性令牌是密碼編譯簽署的數據單位,表示一或多個宣告。 宣告是伺服器針對用戶端所做的語句(例如名稱、身分識別、金鑰、群組、許可權或功能)。 在聯盟伺服器上驗證身份之後(透過使用者登入程序),會透過檢查儲存在指定屬性存放區中的用戶屬性來收集用戶宣告。
在同盟 Web 單一Sign-On (SSO) 設計中,宣告可由特定信賴憑證者的宣告規則修改。 宣告被嵌入在一個令牌中,該令牌會被傳送到資源合作夥伴組織中的同盟伺服器。 在資源夥伴中的同盟伺服器收到宣告做為傳入宣告之後,它會執行宣告發行引擎來執行一組宣告規則,以篩選、傳遞或轉換這些宣告。 宣告接著會被建立成新的令牌,並發送到資源夥伴的 Web 伺服器。
在 Web SSO 設計中(只涉及一個組織的 AD FS 設計),可以使用單一同盟伺服器,讓員工能夠登入一次,而且仍然可以存取多個應用程式。