共用方式為

在 Windows Server 2012 R2 中設定 AD FS 的實驗室環境

本篇文章概述了配置測試環境所需的步驟,這些環境可用來完成下列指南中的逐步操作:

Note

我們不建議您在同一部計算機上安裝網頁伺服器和同盟伺服器。

若要設定此測試環境,請完成下列步驟:

  1. 步驟 1:設定域控制器 (DC1)

  2. 步驟 2:使用裝置註冊服務設定同盟伺服器 (ADFS1)

  3. 步驟 3:設定網頁伺服器 (WebServ1) 和範例宣告型應用程式

  4. 步驟 4:設定用戶端電腦 (Client1)

步驟 1:設定域控制器 (DC1)

在此測試環境中,您可以呼叫根 Active Directory 網域 contoso.com ,並將 pass@word1 指定為系統管理員密碼。

  • 安裝 AD DS 角色服務,並安裝 Active Directory Domain Services (AD DS),讓您的電腦成為 Windows Server 2012 R2 中的域控制器。 此動作在建立網域控制站時升級您的 AD DS 架構。 如需詳細資訊和逐步指示,請參閱https://technet.microsoft.com/library/hh472162.aspx

建立測試 Active Directory 帳戶

域控制器正常運作之後,您可以在此網域中建立測試群組和測試用戶帳戶,並將用戶帳戶新增至群組帳戶。 您使用這些帳戶來完成本主題稍早提到的逐步解說指南。

建立下列帳戶:

  • 使用者: Robert Hatley ,具有下列認證:使用者名稱: RobertH ,密碼: P@ssword

  • 組別: 金融

如需如何在 Active Directory 中建立使用者和組帳戶的詳細資訊,請參閱 https://technet.microsoft.com/library/cc783323%28v.aspx

Robert Hatley 帳戶新增至 Finance 群組。 如需如何將使用者新增至 Active Directory 中群組的資訊,請參閱 https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx

建立 GMSA 帳戶

在 Active Directory 同盟服務 (AD FS) 安裝和設定期間,需要群組受控服務帳戶 (GMSA) 帳戶。

建立 GMSA 帳戶

  1. 開啟 Windows PowerShell 命令視窗,然後輸入:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

步驟 2:使用裝置註冊服務設定同盟伺服器 (ADFS1)

若要設定另一個虛擬機器,請安裝 Windows Server 2012 R2 並將其連線到網域 contoso.com。 將計算機加入網域後,先設置計算機,然後繼續安裝及設定 AD FS 角色。

如需影片,請參閱 Active Directory 同盟服務 How-To 影片系列:安裝 AD FS 伺服器陣列。

安裝伺服器 SSL 憑證

您必須在本機電腦存放區的ADFS1伺服器上安裝伺服器安全套接字層 (SSL) 憑證。 憑證必須具有下列屬性:

  • 主體名稱(CN):adfs1.contoso.com

  • 主體別名 (DNS):adfs1.contoso.com

  • 主體別名 (DNS):enterpriseregistration.contoso.com

如需設定 SSL 憑證的詳細資訊,請參閱 使用企業 CA 在網域的網站上設定 SSL/TLS

Active Directory 聯合服務 How-To 影片系列:憑證更新。

安裝 AD FS 伺服器角色

安裝同盟服務角色服務

  1. 使用網域系統管理員帳戶 administrator@contoso.com登入伺服器。

  2. 啟動 [伺服器管理員]。 若要啟動伺服器管理員,請按一下 Windows 開始畫面上的 [伺服器管理員],或按一下 Windows 桌面上 Windows 工作列上的 [伺服器管理員]。 在 [儀表板] 頁面上 [歡迎] 磚的 [快速入門] 索引標籤上,按一下 [新增角色和功能]。 或者,您也可以按兩下 [管理] 功能表上的 [新增角色和功能]。

  3. [開始之前] 頁面上,按 [下一步]

  4. 在 [ 選取安裝類型 ] 頁面上,按兩下 [ 角色型或功能型安裝],然後按 [ 下一步]。

  5. 在 [ 選取目的地伺服器 ] 頁面上,按兩下 [ 從伺服器集區選取伺服器],確認已選取目標計算機,然後按 [ 下一步]。

  6. 在 [ 選取伺服器角色] 頁面上,按兩下 [Active Directory 同盟服務],然後按 [ 下一步]。

  7. [ 選取功能 ] 頁面上,按一下 [下一步]。

  8. [Active Directory 聯合服務 (AD FS)] 頁面上,按 [下一步]

  9. 確認 [ 確認安裝選取 專案] 頁面上的信息之後,請選取 [ 視需要自動重新啟動目的地伺服器 ] 複選框,然後按兩下 [ 安裝]。

  10. [ 安裝進度 ] 頁面上,確認所有專案都已正確安裝,然後按一下 [ 關閉]。

設定同盟伺服器

下一個步驟是設定同盟伺服器。

設定同盟伺服器

  1. 在 [伺服器管理員 儀表板] 頁面上,按一下 [通知] 旗標,然後按一下 [在伺服器上設定同盟服務]。

    [ Active Directory 同盟服務組態精靈 ] 隨即開啟。

  2. 在 [ 歡迎使用 ] 頁面上,選取 [ 在同盟伺服器陣列中建立第一個同盟伺服器陣列],然後按一下 [ 下一步]。

  3. 在 [ 連線到 AD DS ] 頁面上,為這部計算機加入 的 contoso.com Active Directory 網域指定網域系統管理員許可權的帳戶,然後按 [ 下一步]。

  4. 在 [ 指定服務屬性 ] 頁面上,執行下列動作,然後按 [ 下一步] :

    • 匯入您稍早取得的 SSL 憑證。 此憑證是必要的服務驗證憑證。 瀏覽到您的 SSL 憑證所在的位置。

    • 若要提供同盟服務的名稱,請輸入 adfs1.contoso.com。 此值與您在 Active Directory 憑證服務 (AD CS) 中註冊 SSL 憑證時所提供的值相同。

    • 若要提供同盟服務的顯示名稱,請輸入 Contoso Corporation

  5. 在 [ 指定服務帳戶 ] 頁面上,選取 [使用現有的網域使用者帳戶或群組受管理的服務帳戶],然後指定您在建立域控制器時建立的 GMSA 帳戶 fsgmsa

  6. 在 [ 指定組態資料庫] 頁面上,選取 [ 使用 Windows 內部資料庫在此伺服器上建立資料庫],然後按 [ 下一步]。

  7. 在 [ 檢閱選項] 頁面上,驗證您的組態選取項目,然後按一下 [下一步]。

  8. [ 先決條件檢查 ] 頁面上,確認所有先決條件檢查都已順利完成,然後按一下 [ 設定]。

  9. [結果] 頁面上,檢閱結果,檢查設定是否已成功完成,然後按一下 [ 完成同盟服務部署所需的後續步驟]。

設定裝置註冊服務

下一個步驟是在ADFS1伺服器上設定裝置註冊服務。 如需影片,請參閱 Active Directory Federation Services How-To 影片系列:啟用裝置註冊服務

設定 Windows Server 2012 RTM 的裝置註冊服務

  1. Important

    下列步驟適用於 Windows Server 2012 R2 RTM 組建。

    開啟 Windows PowerShell 命令視窗,然後輸入:

    Initialize-ADDeviceRegistration

    當系統提示您輸入服務帳戶時,請輸入 contoso\fsgmsa$

    現在執行 Windows PowerShell Cmdlet。

    Enable-AdfsDeviceRegistration

  2. 在ADFS1伺服器上,在 AD FS管理控制台 中,流覽至 [驗證原則]。 選取 [編輯全域主要驗證]。 選取 [啟用裝置驗證] 旁的複選框,然後按兩下 [ 確定]。

將主機 (A) 和別名 (CNAME) 資源記錄新增至 DNS

在 DC1 上,您必須確定已為裝置註冊服務建立下列域名系統 (DNS) 記錄。

Entry 類型 Address
adfs1 主機 (A) AD FS 伺服器的IP位址
enterpriseregistration 別名 (CNAME) adfs1.contoso.com

您可以使用下列程式,將主機 (A) 資源記錄新增至同盟伺服器和裝置註冊服務的公司 DNS 名稱伺服器。

成為 Administrators 群組或具相同權限的其他群組的成員是完成此程序的最低要求。 檢閱有關在「https://go.microsoft.com/fwlink/?LinkId=83477」本機和網域預設群組(https://go.microsoft.com/fwlink/p/?LinkId=83477)中使用適當帳戶和群組成員資格的詳細資訊。

將主機(A)和別名(CNAME)資源記錄新增至您的同盟伺服器 DNS 系統中

  1. 在 DC1 上,從伺服器管理員的 [工具] 功能表上,按一下 DNS 以開啟 DNS 嵌入式管理單元。

  2. 在主控台樹中,依序展開 [DC1]、[正向查閱區域],右鍵按一下 contoso.com,然後選擇 [新增主機 (A 或 AAAA)]。

  3. 在 [ 名稱 ] 中,輸入您要用於 AD FS 伺服器陣列的名稱。 針對本逐步解說,請輸入 adfs1

  4. [IP 位址] 中,輸入 ADFS1 伺服器的 IP 位址。 按一下 新增主機

  5. 以滑鼠右鍵按一下 contoso.com,然後按一下 [新增別名 (CNAME)]。

  6. 在 [新增資源記錄] 對話框中,於 [別名名稱] 方塊中輸入 enterpriseregistration

  7. 在 [目標主機的完整網域名稱 (FQDN)] 方塊中,輸入 adfs1.contoso.com,然後按一下 [ 確定]。

    Important

    在真實世界的部署中,如果您的公司有多個用戶主體名稱 (UPN) 後綴,您必須為 DNS 中的每個 UPN 後綴建立多個 CNAME 記錄。

步驟 3:設定網頁伺服器 (WebServ1) 和範例宣告型應用程式

安裝 Windows Server 2012 R2 作業系統來設定虛擬機器 (WebServ1),並將它連線到網域 contoso.com。 加入網域之後,您可以繼續安裝及設定 Web 伺服器角色。

若要完成本主題稍早所參考的逐步解說,您必須有受同盟伺服器 #ADFS1 保護的範例應用程式。

您必須完成下列步驟,才能使用此範例宣告型應用程式來設定網頁伺服器。

Note

這些步驟已在執行 Windows Server 2012 R2作系統的網頁伺服器上進行測試。

  1. 安裝網頁伺服器角色和 Windows 身分識別基礎結構

  2. 安裝 Windows Identity Foundation SDK

  3. 在 IIS 中設定簡單的宣告應用程式

  4. 在聯邦伺服器上建立信任第三方

安裝 Web 伺服器角色和 Windows Identity Foundation

  1. Note

    您必須能夠存取 Windows Server 2012 R2 安裝媒體。

    使用 administrator@contoso.com 登入 WebServ1,密碼 pass@word1

  2. 從伺服器管理員中,在 [儀表板] 頁面上 [歡迎] 磚的 [快速入門] 索引標籤上,按一下 [新增角色和功能]。 或者,您也可以按兩下 [管理] 功能表上的 [新增角色和功能]。

  3. [開始之前] 頁面上,按 [下一步]

  4. 在 [ 選取安裝類型 ] 頁面上,按兩下 [ 角色型或功能型安裝],然後按 [ 下一步]。

  5. 在 [ 選取目的地伺服器 ] 頁面上,按兩下 [ 從伺服器集區選取伺服器],確認已選取目標計算機,然後按 [ 下一步]。

  6. 在 [ 選取伺服器角色] 頁面上,選取 網頁伺服器 (IIS) 旁的複選框,按兩下[ 新增功能],然後按 [ 下一步]。

  7. 在 [ 選取功能 ] 頁面上,選取 [Windows Identity Foundation 3.5],然後按一下 [ 下一步]。

  8. [Web 伺服器角色 (IIS)] 頁面上,按 [下一步]。

  9. 在 [ 選取角色服務] 頁面上,選取並展開 [應用程式開發]。 選取 ASP.NET 3.5,按一下 新增功能,然後按一下 下一步

  10. 確認安裝選取專案 頁面上,點擊 指定替代來源路徑。 輸入 Windows Server 2012 R2 安裝媒體中 Sxs 目錄的路徑。 例如 D:\Sources\Sxs。 按一下 確定,然後按一下 安裝

安裝 Windows Identity Foundation SDK

  1. 執行 WindowsIdentityFoundation-SDK-3.5.msi 以安裝 Windows Identity Foundation SDK 3.5。 選擇所有預設選項。

在 IIS 中設定簡單的憑證應用程式

  1. 在計算機證書存儲中安裝有效的SSL憑證。 憑證應包含網頁伺服器的名稱, webserv1.contoso.com

  2. 將 C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp 的內容複製到 C:\Inetpub\Claimapp。

  3. 編輯 Default.aspx.cs 檔案,以免發生宣告篩選。 此步驟會執行,以確保範例應用程式會顯示同盟伺服器發出的所有宣告。 執行下列動作:

    1. 在文字編輯器中開啟 Default.aspx.cs

    2. 搜尋檔案中第二次出現的 ExpectedClaims

    3. 將整個 IF 語句及其大括號註解掉。 在行開頭輸入 「「來指出批注(不含引號)。

    4. 您的 FOREACH 語句現在看起來應該像這個程式代碼範例。

      Foreach (claim claim in claimsIdentity.Claims)
{
   //Before showing the claims validate that this is an expected claim
   //If it is not in the expected claims list then don't show it
   //if (ExpectedClaims.Contains( claim.ClaimType ) )
   // {
      writeClaim( claim, table );
   //}
}

    5. 儲存並關閉 Default.aspx.cs

    6. 在文字編輯器中開啟 web.config

    7. 拿掉整個 <microsoft.identityModel> 區段。 從 including <microsoft.identityModel> 開始,移除一切內容,直至並包括 </microsoft.identityModel>

    8. 儲存並關閉 web.config

  4. 設定 IIS 管理員

    1. 開啟 Internet Information Services (IIS) 管理員

    2. 移至 [應用程式集區],以滑鼠右鍵按一下 [DefaultAppPool] 以選取 [進階設定]。[載入使用者配置檔] 設定為 True,然後按兩下 [ 確定]。

    3. 以滑鼠右鍵按一下 DefaultAppPool 以選取 [基本設定]。.NET CLR 版本 變更為 .NET CLR 版本 v2.0.50727

    4. 以滑鼠右鍵按兩下 [預設網站 ] 以選取 [編輯系結]。

    5. 使用您已安裝的 SSL 憑證,將 HTTPS 繫結新增至連接埠 443

    6. 以滑鼠右鍵按兩下 [預設網站 ] 以選取 [ 新增應用程式]。

    7. 將別名設定為 claimapp ,並將實體路徑設定為 c:\inetpub\claimapp

  5. 若要設定 claimapp 以與同盟伺服器搭配使用,請執行下列動作:

    1. 執行 FedUtil.exe,其位於 C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5 中。

    2. 將應用程式組態位置設定為 C:\inetpub\claimapp\web.config ,並將應用程式 URI 設定為您網站的 URL / https://webserv1.contoso.com claimapp/。 按一下 [下一步] 。

    3. 選取 使用現有的 STS,並瀏覽至 AD FS 伺服器的元資料 URL https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml。 按一下 [下一步] 。

    4. 選取 [停用憑證鏈結驗證],然後按 [ 下一步]。

    5. 選取 [ 無加密],然後按一下 [下一步]。 在 [ 提供的宣告 ] 頁面上,按一下 [下一步]。

    6. 選取 [排程工作] 旁的複選框,以執行每日 WS-Federation 元數據更新。 按一下 [完成]。

    7. 您的範例應用程式現已設定完成。 如果您測試應用程式 URL https://webserv1.contoso.com/claimapp,它應該會將您重新導向至同盟伺服器。 同盟伺服器應該會顯示錯誤頁面,因為您尚未設定信賴方信任。 換句話說,您尚未透過AD FS保護此測試應用程式。

您現在必須使用AD FS來保護在 Web 伺服器上執行的範例應用程式。 您可以透過在您的同盟伺服器(ADFS1)上新增信賴方信任來完成此操作。 如需影片,請參閱 Active Directory 同盟服務 How-To 影片系列:新增信賴方信任。

在同盟伺服器上建立信賴方信任

  1. 在您的同盟伺服器(ADFS1)上的 AD FS 管理控制台中,導航至 信賴憑證者信任,然後按 新增信賴憑證者信任

  2. 在 [ 選取數據源] 頁面上,選取 [ 匯入在線或局域網络上發佈之信賴憑證者的相關數據],輸入 claimapp 的元數據 URL,然後按 [ 下一步]。 執行 FedUtil.exe 建立元數據 .xml 檔案。 它位於 https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml

  3. 在 [指定顯示名稱] 頁面上,指定顯示名稱給您的依賴方信任claimapp,然後按 [下一步]。

  4. 在 [立即設定多重驗證?] 頁面上,選取 [我暫時不想為此信賴憑證者信任設定多重驗證],然後按 [下一步]。

  5. 在 [ 選擇發行授權規則 ] 頁面上,選取 [允許所有使用者存取此信賴憑證者],然後按 [ 下一步]。

  6. 在 [ 準備新增信任 ] 頁面上,按 [下一步]。

  7. 在 [ 編輯宣告規則] 對話框中,按兩下 [ 新增規則]。

  8. 在 [ 選擇規則類型 ] 頁面上,選取 [ 使用自定義規則傳送宣告],然後按 [ 下一步]。

  9. 在 [ 設定宣告規則] 頁面上的 [ 宣告規則名稱 ] 方塊中,輸入 [所有宣告]。 在 [自訂規則] 方塊中,輸入下列宣告規則。

    c:[ ]
=> issue(claim = c);

  10. 按一下 [完成],然後按一下 [確定]。

步驟 4:設定用戶端電腦 (Client1)

設定另一部虛擬機並安裝 Windows 8.1。 此虛擬機必須與其他機器位於相同的虛擬網路上。 此電腦不應加入 Contoso 網域。

客戶端必須信任用於同盟伺服器 (ADFS1) 的 SSL 憑證,您在 步驟 2:使用裝置註冊服務設定同盟伺服器 (ADFS1) 中設定的 SSL 憑證。 它也必須能夠驗證憑證吊銷資訊。

您也必須設定並使用Microsoft帳戶登入 Client1。

另請參閱

  • Last updated on