ADFS เป็นคุณลักษณะใหม่ในระบบปฏิบัติการ Windows Server 2008 โดยเป็นโซลูชันการเข้าถึงแบบครบวงจรสำหรับการเข้าถึงผ่านเบราว์เซอร์สำหรับผู้ใช้ภายในและภายนอก คุณสมบัติใหม่นี้สามารถเปิดใช้งานการสื่อสารระหว่างบัญชีและแอปพลิเคชันระหว่างเครือข่ายหรือองค์กรที่แตกต่างกันโดยสิ้นเชิง
เพื่อทำความเข้าใจวิธีการทำงานของ ADFS ก่อนอื่นคุณต้องพิจารณาว่า Active Directory ทำงานอย่างไร เมื่อผู้ใช้ตรวจสอบสิทธิ์ผ่าน Active Directory ตัวควบคุมโดเมนจะตรวจสอบใบรับรองของผู้ใช้ หลังจากพิสูจน์ว่าเป็นผู้ใช้ที่ถูกต้องตามกฎหมาย ผู้ใช้จะสามารถเข้าถึงทรัพยากรที่ได้รับอนุญาตบนเครือข่าย Windows ได้อย่างอิสระ โดยไม่ต้องตรวจสอบสิทธิ์ใหม่ทุกครั้งที่เข้าถึงเซิร์ฟเวอร์อื่น ADFS ใช้แนวคิดเดียวกันนี้กับอินเทอร์เน็ต เราทุกคนทราบดีว่าเมื่อเว็บแอปพลิเคชันจำเป็นต้องเข้าถึงข้อมูลแบ็คเอนด์ที่อยู่ในฐานข้อมูลหรือทรัพยากรแบ็คเอนด์ประเภทอื่นๆ ปัญหาการตรวจสอบสิทธิ์ด้านความปลอดภัยสำหรับทรัพยากรแบ็คเอนด์มักจะซับซ้อน ปัจจุบันมีวิธีการรับรองความถูกต้องที่แตกต่างกันมากมายเพื่อให้การรับรองความถูกต้องดังกล่าว ตัวอย่างเช่น ผู้ใช้อาจใช้กลไกการตรวจสอบความเป็นเจ้าของผ่านเซิร์ฟเวอร์ RADIUS (Remote Authentication Dial-in User Service) หรือผ่านส่วนหนึ่งของรหัสแอปพลิเคชัน กลไกการตรวจสอบสิทธิ์เหล่านี้สามารถใช้ฟังก์ชันการตรวจสอบสิทธิ์ได้ทั้งหมด แต่ก็มีข้อบกพร่องบางประการเช่นกัน ข้อเสียเปรียบประการหนึ่งคือการจัดการบัญชี การจัดการบัญชีไม่ใช่ปัญหาใหญ่เมื่อมีเพียงพนักงานของบริษัทเท่านั้นที่เข้าถึงแอปพลิเคชันได้ อย่างไรก็ตาม หากซัพพลายเออร์และลูกค้าของบริษัททั้งหมดใช้แอปพลิเคชันนี้ ผู้ใช้จะพบว่าจำเป็นต้องสร้างบัญชีผู้ใช้ใหม่สำหรับพนักงานของบริษัทอื่นโดยทันที ข้อบกพร่องที่สองคือการบำรุงรักษา เมื่อพนักงานจากบริษัทอื่นลาออกและจ้างพนักงานใหม่ ผู้ใช้จำเป็นต้องลบบัญชีเก่าและสร้างบัญชีใหม่
ADFS สามารถทำอะไรให้คุณได้บ้าง?
จะเป็นอย่างไรหากผู้ใช้โอนงานการจัดการบัญชีให้กับลูกค้า ซัพพลายเออร์ หรือผู้อื่นโดยใช้แอปพลิเคชันเว็บ ลองนึกภาพว่าแอปพลิเคชันบนเว็บให้บริการแก่ธุรกิจอื่น ๆ และผู้ใช้ไม่จำเป็นต้องสร้างผู้ใช้สำหรับบัญชีพนักงานเหล่านั้นหรือรีเซ็ตอีกต่อไป รหัสผ่านของคุณ หากยังไม่เพียงพอ ผู้ใช้ไม่จำเป็นต้องลงชื่อเข้าใช้แอปอีกต่อไปเพื่อใช้งาน นั่นจะเป็นเรื่องที่น่าตื่นเต้นมาก
ADFS ต้องการอะไร?
แน่นอนว่า บริการรวม Active Directory ยังจำเป็นต้องมีการกำหนดค่าอื่นๆ อีกด้วย และผู้ใช้จำเป็นต้องมีเซิร์ฟเวอร์บางตัวเพื่อทำหน้าที่เหล่านี้ พื้นฐานที่สุดคือเซิร์ฟเวอร์รวม ซึ่งรันส่วนประกอบบริการรวมของ ADFS บทบาทหลักของเซิร์ฟเวอร์รวมคือการส่งคำขอจากผู้ใช้ภายนอกที่แตกต่างกัน นอกจากนี้ยังรับผิดชอบในการออกโทเค็นให้กับผู้ใช้ที่ได้รับการรับรองความถูกต้อง
นอกจากนี้ในกรณีส่วนใหญ่จำเป็นต้องมีตัวแทนร่วม ลองจินตนาการดูว่า ถ้าเครือข่ายภายนอกจำเป็นต้องสร้างโปรโตคอลรวมเข้ากับเครือข่ายภายในของผู้ใช้ นั่นหมายความว่าเซิร์ฟเวอร์รวมของผู้ใช้จะต้องสามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต แต่การรวมกลุ่ม Active Directory ไม่ได้อาศัย Active Directory มากนัก ดังนั้นการเปิดเผยเซิร์ฟเวอร์รวมกับอินเทอร์เน็ตโดยตรงจะนำมาซึ่งความเสี่ยงอย่างมาก ด้วยเหตุนี้ เซิร์ฟเวอร์รวมจึงไม่สามารถเชื่อมต่อโดยตรงกับอินเทอร์เน็ตได้ แต่เข้าถึงได้ผ่านพร็อกซีรวม พร็อกซีสหพันธรัฐส่งต่อคำขอสหพันธรัฐจากภายนอกไปยังเซิร์ฟเวอร์สหพันธรัฐ เพื่อให้เซิร์ฟเวอร์สหพันธรัฐไม่ถูกเปิดเผยโดยตรงกับโลกภายนอก
องค์ประกอบหลักอีกประการหนึ่งของ ADFS คือ ADFS Web Agent เว็บแอปพลิเคชันต้องมีกลไกในการตรวจสอบสิทธิ์ผู้ใช้ภายนอก กลไกเหล่านี้เป็นเว็บพรอกซี ADFS เว็บพร็อกซี ADFS จัดการโทเค็นความปลอดภัยและคุกกี้การรับรองความถูกต้องที่ออกให้กับเว็บเซิร์ฟเวอร์
ในบทความต่อไปนี้ เราจะนำคุณผ่านสภาพแวดล้อมการทดสอบจำลองเพื่อสัมผัสประสบการณ์ใหม่ที่บริการ ADFS นำมาสู่องค์กร โดยไม่ต้องกังวลใจอีกต่อไป มาเริ่มการทดสอบการกำหนดค่า ADFS กันดีกว่า
ขั้นตอนที่ 1: งานก่อนการติดตั้ง
เพื่อให้การทดลองต่อไปนี้เสร็จสมบูรณ์ ผู้ใช้ต้องเตรียมคอมพิวเตอร์อย่างน้อยสี่เครื่องก่อนที่จะติดตั้ง ADFS
1) กำหนดค่าระบบปฏิบัติการของคอมพิวเตอร์และสภาพแวดล้อมเครือข่าย
ใช้ตารางต่อไปนี้เพื่อกำหนดค่าระบบคอมพิวเตอร์และสภาพแวดล้อมเครือข่ายของคุณสำหรับการทดสอบ
2) ติดตั้ง AD DS
ผู้ใช้ใช้เครื่องมือ Dcpromo เพื่อสร้างฟอเรสต์ Active Directory ใหม่สำหรับแต่ละเซิร์ฟเวอร์รวม (FS) สำหรับชื่อเฉพาะ โปรดดูตารางการกำหนดค่าด้านล่าง
3) สร้างบัญชีผู้ใช้และบัญชีทรัพยากร
หลังจากตั้งค่าฟอเรสต์ทั้งสองแล้ว ผู้ใช้สามารถใช้เครื่องมือ "บัญชีผู้ใช้และคอมพิวเตอร์" (ผู้ใช้ Active Directory และคอมพิวเตอร์) เพื่อสร้างบัญชีบางส่วนเพื่อเตรียมพร้อมสำหรับการทดลองต่อไปนี้ รายการต่อไปนี้เป็นตัวอย่างสำหรับการอ้างอิงผู้ใช้:
4) เข้าร่วมคอมพิวเตอร์ทดสอบกับโดเมนที่เหมาะสม
ปฏิบัติตามตารางด้านล่างเพื่อเพิ่มคอมพิวเตอร์ที่เกี่ยวข้องลงในโดเมนที่เหมาะสม ควรสังเกตว่าก่อนที่จะเพิ่มคอมพิวเตอร์เหล่านี้ในโดเมน ผู้ใช้จำเป็นต้องปิดการใช้งานไฟร์วอลล์บนตัวควบคุมโดเมนที่เกี่ยวข้อง
ขั้นตอนที่ 2: ติดตั้งบริการบทบาท AD FS และกำหนดค่าใบรับรอง
ตอนนี้เราได้กำหนดค่าคอมพิวเตอร์และเพิ่มลงในโดเมนแล้ว เราได้ติดตั้งส่วนประกอบ ADFS บนแต่ละเซิร์ฟเวอร์ด้วย
1) ติดตั้งบริการพันธมิตร
ติดตั้งบริการพันธมิตรบนคอมพิวเตอร์สองเครื่อง หลังจากการติดตั้งเสร็จสิ้น คอมพิวเตอร์ทั้งสองเครื่องจะกลายเป็นเซิร์ฟเวอร์พันธมิตร ขั้นตอนต่อไปนี้จะแนะนำเราเกี่ยวกับการสร้างไฟล์นโยบายความน่าเชื่อถือและ SSL และใบรับรองใหม่:
คลิกเริ่ม เลือกเครื่องมือการดูแลระบบ และคลิกตัวจัดการเซิร์ฟเวอร์ คลิกขวาที่ จัดการบทบาท และเลือก เพิ่มบทบาท เพื่อเริ่มตัวช่วยสร้างเพิ่มบทบาท คลิกถัดไปในหน้าก่อนที่คุณจะเริ่มต้น บนเพจ Select Server Roles เลือก Active Directory Federation Services และคลิก Next เลือกช่องทำเครื่องหมาย Federation Service ใน Select Role Services หากระบบแจ้งให้ผู้ใช้ติดตั้งบริการตามบทบาทของ Web Server (IIS) หรือ Windows Activation Service (WAS) ให้คลิก Add Required Role Services เพื่อเพิ่ม และคลิก Next เมื่อดำเนินการเสร็จสิ้น ในหน้าเลือกใบรับรองสำหรับการเข้ารหัส SSL คลิกสร้างใบรับรองที่ลงนามด้วยตนเองสำหรับการเข้ารหัส SSL คลิกถัดไปเพื่อดำเนินการต่อ ในหน้าเลือกใบรับรองการลงนามโทเค็น คลิกสร้างใบรับรองการลงนามโทเค็นด้วยตนเอง คลิกถัดไป เลือกนโยบายความน่าเชื่อถือ บนเพจ เลือกสร้างนโยบายความน่าเชื่อถือใหม่ ถัดไป เข้าสู่เพจเลือกบริการบทบาท และคลิกถัดไปเพื่อยืนยันค่าเริ่มต้น หลังจากตรวจสอบข้อมูลในยืนยันตัวเลือกการติดตั้งแล้ว คุณสามารถคลิกติดตั้งเพื่อเริ่มการติดตั้งได้
[ตัดหน้า]
2) กำหนดบัญชีระบบภายในเครื่องให้กับข้อมูลประจำตัว ADFSAppPool
คลิก Start ในตัวจัดการบริการข้อมูลทางอินเทอร์เน็ต (IIS) ในเครื่องมือการดูแลระบบ ดับเบิลคลิก ADFSRESOURCE หรือ ADFSACCOUNT เลือก Application Pools คลิกขวาที่ ADFSAppPool ในแผงกลาง เลือก Set Application Pool Defaults ใน Identity Type คลิก LocalSystem จากนั้น เลือก ตกลง
3) ติดตั้ง AD FS เว็บตัวแทน
ใน Server Manager ใน Administrative Tools คลิกขวาที่ Manage Roles เลือก Add Roles เลือก Active Directory Federation Services บนเพจ Select Server Roles ตามวิซาร์ด คลิก Next และเลือกกล่องกาเครื่องหมาย Claims-aware Agent ในหน้าต่าง Select Role Services . หากวิซาร์ดแจ้งให้ผู้ใช้ติดตั้งบริการบทบาทของเว็บเซิร์ฟเวอร์ (IIS) หรือ Windows Activation Service (WAS) ให้คลิกเพิ่มบริการบทบาทที่จำเป็นเพื่อทำการติดตั้งให้เสร็จสมบูรณ์ หลังจากเสร็จสิ้น ในหน้า เลือกบริการบทบาท ให้เลือกกล่องกาเครื่องหมาย การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ (เพื่อให้บรรลุขั้นตอนนี้ IIS จำเป็นต้องสร้างการตรวจสอบสิทธิ์บริการที่ลงนามด้วยตนเอง) หลังจากตรวจสอบข้อมูลแล้ว คุณสามารถเริ่มการติดตั้งได้
เพื่อให้การตั้งค่าเว็บเซิร์ฟเวอร์และเซิร์ฟเวอร์พันธมิตรสำเร็จ ขั้นตอนสำคัญอีกขั้นตอนหนึ่งคือการสร้าง นำเข้า และส่งออกใบรับรอง ก่อนหน้านี้เราได้ใช้วิซาร์ดการเพิ่มบทบาทเพื่อสร้างใบรับรองการอนุญาตเซิร์ฟเวอร์ระหว่างเซิร์ฟเวอร์พันธมิตร สิ่งที่คุณต้องทำคือสร้างใบรับรองการอนุญาตที่เกี่ยวข้องสำหรับคอมพิวเตอร์ adfsweb เนื่องจากมีพื้นที่จำกัด ฉันจะไม่แนะนำโดยละเอียดที่นี่ สำหรับเนื้อหาที่เกี่ยวข้อง คุณสามารถตรวจสอบบทความที่เกี่ยวข้องกับใบรับรองในซีรีส์ได้
ขั้นตอนที่ 3: กำหนดค่าเว็บเซิร์ฟเวอร์
ในขั้นตอนนี้ สิ่งที่เราต้องการทำให้เสร็จสิ้นเป็นหลักคือวิธีการตั้งค่าแอปพลิเคชันที่รับรู้การอ้างสิทธิ์บนเว็บเซิร์ฟเวอร์ (adfsweb)
ขั้นแรกเรากำหนดค่า IIS สิ่งที่เราต้องทำคือเปิดใช้งานการตั้งค่า SSL ของเว็บไซต์เริ่มต้นของ adfsweb หลังจากเสร็จสิ้น เราคลิกสองครั้งที่เว็บไซต์ใน ADFSWEB ของ IIS คลิกขวาที่เว็บไซต์เริ่มต้น เลือกเพิ่มแอปพลิเคชัน และพิมพ์ allowanceapp ใน นามแฝงของกล่องโต้ตอบเพิ่มแอปพลิเคชัน คลิกปุ่ม... สร้างโฟลเดอร์ใหม่ชื่อ allowanceapp แล้วยืนยัน ควรสังเกตว่าเป็นการดีที่สุดที่จะไม่ใช้อักษรตัวพิมพ์ใหญ่ในการตั้งชื่อโฟลเดอร์ใหม่ มิฉะนั้น คุณจะต้องใช้อักษรตัวพิมพ์ใหญ่ที่เกี่ยวข้องเมื่อใช้งานในภายหลัง
ขั้นตอนที่ 4: กำหนดค่าเซิร์ฟเวอร์พันธมิตร
ตอนนี้เราได้ติดตั้งบริการ ADFS และกำหนดค่าเว็บเซิร์ฟเวอร์เพื่อเข้าถึงแอปพลิเคชันที่รับรู้การอ้างสิทธิ์แล้ว เรามากำหนดค่าบริการพันธมิตรของทั้งสองบริษัท (Trey Research และ A. Datum Corporation) ในสภาพแวดล้อมการทดสอบกันดีกว่า
ขั้นแรกให้กำหนดค่านโยบายความน่าเชื่อถือ คลิก Active Directory Federation Services ใน Administrative Tools คลิกสองครั้งที่ Federation Service คลิกขวาและเลือก Trust Policy และเลือก Properties พิมพ์ urn:federation:adatum ในตัวเลือก Federation Service URI บนแท็บ General จากนั้นตรวจสอบว่า URL ต่อไปนี้ถูกต้องในกล่องข้อความ URL จุดสิ้นสุดของบริการสหพันธรัฐ https://adfsaccount.adatum.com/adfs/ls/ สุดท้าย พิมพ์ A. Datum ในชื่อที่แสดงสำหรับนโยบายความน่าเชื่อถือนี้บนแท็บชื่อที่แสดง และ เลือกตกลงแน่นอน หลังจากเสร็จสิ้น เราจะเข้าสู่ Active Directory Federation Services อีกครั้ง คลิกสองครั้งที่ Federation Service, Trust Policy, My Organization คลิกขวาที่ Organisation Claims คลิก New จากนั้นคลิก Organ Claim Type Trey ClaimApp Claim ในชื่อ Claim ในส่วน Create a กล่องโต้ตอบการอ้างสิทธิ์ขององค์กรใหม่ ตรวจสอบให้แน่ใจว่าได้เลือกการอ้างสิทธิ์แบบกลุ่มแล้วคลิกตกลง โดยพื้นฐานแล้วการกำหนดค่าของบริษัทอื่นจะคล้ายกับการดำเนินการข้างต้น ดังนั้นฉันจะไม่ลงรายละเอียดอีกครั้ง
ขั้นตอนที่ 5: เข้าถึงแอปพลิเคชันนำร่องผ่านคอมพิวเตอร์ไคลเอนต์
กำหนดการตั้งค่าเบราว์เซอร์สำหรับบริการการรวมบัญชี adfsaccount
เข้าสู่ระบบ adfsclient ในฐานะผู้ใช้ alansh เริ่ม IE คลิก Internet Options ในเมนู Tools คลิก Local intranet บนแท็บ Security แล้วคลิก Sites จากนั้นคลิก Advanced พิมพ์ https://adfsaccount adatum.com คลิกเพิ่ม จากนั้นพิมพ์ https://adfsweb.treyresearch.net/claimapp/ ในเบราว์เซอร์ IE แต่เมื่อได้รับแจ้งให้ระบุขอบเขตที่บ้าน ให้คลิก A. Datum แล้วคลิกส่ง วิธีนี้ทำให้แอปพลิเคชันตัวอย่างที่ทราบข้อเรียกร้องปรากฏบนเบราว์เซอร์ และผู้ใช้สามารถดูการอ้างสิทธิ์ที่เลือกของแอปพลิเคชันได้ใน SingleSignOnIdentity.SecurityPropertyCollection หากเกิดปัญหาระหว่างการเข้าถึง ผู้ใช้สามารถเรียกใช้ iisreset หรือรีสตาร์ทคอมพิวเตอร์ adfsweb แล้วลองเข้าถึงอีกครั้ง
ณ จุดนี้ มีการสร้างโมเดลการทดสอบ ADFS ขั้นพื้นฐานขึ้น แน่นอนว่า ADFS ยังคงเป็นเทคโนโลยีใหม่ที่ซับซ้อนและซับซ้อน ในสภาพแวดล้อมการผลิตจริง เราจะยังคงมีการดำเนินการและการกำหนดค่ามากมายที่ต้องทำ ตามที่กล่าวไว้ข้างต้น ADFS จะขยายขีดความสามารถของเว็บแอปพลิเคชันอย่างมากและขยายระดับข้อมูลของธุรกิจภายนอกของบริษัท ให้เรารอดูว่าเทคโนโลยี ADFS ใน Windows Server 2008 จะถูกนำไปใช้ในการใช้งานจริงอย่างไร
[ตัดหน้า]2) กำหนดบัญชีระบบภายในเครื่องให้กับข้อมูลประจำตัว ADFSAppPool
คลิก Start ในตัวจัดการบริการข้อมูลทางอินเทอร์เน็ต (IIS) ในเครื่องมือการดูแลระบบ ดับเบิลคลิก ADFSRESOURCE หรือ ADFSACCOUNT เลือก Application Pools คลิกขวาที่ ADFSAppPool ในแผงกลาง เลือก Set Application Pool Defaults ใน Identity Type คลิก LocalSystem จากนั้น เลือก ตกลง
3) ติดตั้ง AD FS เว็บตัวแทน
ใน Server Manager ใน Administrative Tools คลิกขวาที่ Manage Roles เลือก Add Roles เลือก Active Directory Federation Services บนเพจ Select Server Roles ตามวิซาร์ด คลิก Next และเลือกกล่องกาเครื่องหมาย Claims-aware Agent ในหน้าต่าง Select Role Services . หากวิซาร์ดแจ้งให้ผู้ใช้ติดตั้งบริการบทบาทของเว็บเซิร์ฟเวอร์ (IIS) หรือ Windows Activation Service (WAS) ให้คลิกเพิ่มบริการบทบาทที่จำเป็นเพื่อทำการติดตั้งให้เสร็จสมบูรณ์ หลังจากเสร็จสิ้น ในหน้า เลือกบริการบทบาท ให้เลือกกล่องกาเครื่องหมาย การตรวจสอบสิทธิ์การแมปใบรับรองไคลเอ็นต์ (เพื่อให้บรรลุขั้นตอนนี้ IIS จำเป็นต้องสร้างการตรวจสอบสิทธิ์บริการที่ลงนามด้วยตนเอง) หลังจากตรวจสอบข้อมูลแล้ว คุณสามารถเริ่มการติดตั้งได้
เพื่อให้การตั้งค่าเว็บเซิร์ฟเวอร์และเซิร์ฟเวอร์พันธมิตรสำเร็จ ขั้นตอนสำคัญอีกขั้นตอนหนึ่งคือการสร้าง นำเข้า และส่งออกใบรับรอง ก่อนหน้านี้เราได้ใช้วิซาร์ดการเพิ่มบทบาทเพื่อสร้างใบรับรองการอนุญาตเซิร์ฟเวอร์ระหว่างเซิร์ฟเวอร์พันธมิตร สิ่งที่คุณต้องทำคือสร้างใบรับรองการอนุญาตที่เกี่ยวข้องสำหรับคอมพิวเตอร์ adfsweb เนื่องจากมีพื้นที่จำกัด ฉันจะไม่แนะนำโดยละเอียดที่นี่ สำหรับเนื้อหาที่เกี่ยวข้อง คุณสามารถตรวจสอบบทความที่เกี่ยวข้องกับใบรับรองในซีรีส์ได้
ขั้นตอนที่ 3: กำหนดค่าเว็บเซิร์ฟเวอร์
ในขั้นตอนนี้ สิ่งที่เราต้องการทำให้เสร็จสิ้นเป็นหลักคือวิธีการตั้งค่าแอปพลิเคชันที่รับรู้การอ้างสิทธิ์บนเว็บเซิร์ฟเวอร์ (adfsweb)
ขั้นแรกเรากำหนดค่า IIS สิ่งที่เราต้องทำคือเปิดใช้งานการตั้งค่า SSL ของเว็บไซต์เริ่มต้นของ adfsweb หลังจากเสร็จสิ้น เราคลิกสองครั้งที่เว็บไซต์ใน ADFSWEB ของ IIS คลิกขวาที่เว็บไซต์เริ่มต้น เลือกเพิ่มแอปพลิเคชัน และพิมพ์ allowanceapp ใน นามแฝงของกล่องโต้ตอบเพิ่มแอปพลิเคชัน คลิกปุ่ม... สร้างโฟลเดอร์ใหม่ชื่อ allowanceapp แล้วยืนยัน ควรสังเกตว่าเป็นการดีที่สุดที่จะไม่ใช้อักษรตัวพิมพ์ใหญ่ในการตั้งชื่อโฟลเดอร์ใหม่ มิฉะนั้น คุณจะต้องใช้อักษรตัวพิมพ์ใหญ่ที่เกี่ยวข้องเมื่อใช้งานในภายหลัง
ขั้นตอนที่ 4: กำหนดค่าเซิร์ฟเวอร์พันธมิตร
ตอนนี้เราได้ติดตั้งบริการ ADFS และกำหนดค่าเว็บเซิร์ฟเวอร์เพื่อเข้าถึงแอปพลิเคชันที่รับรู้การอ้างสิทธิ์แล้ว เรามากำหนดค่าบริการพันธมิตรของทั้งสองบริษัท (Trey Research และ A. Datum Corporation) ในสภาพแวดล้อมการทดสอบกันดีกว่า
ขั้นแรกให้กำหนดค่านโยบายความน่าเชื่อถือ คลิก Active Directory Federation Services ใน Administrative Tools คลิกสองครั้งที่ Federation Service คลิกขวาและเลือก Trust Policy และเลือก Properties พิมพ์ urn:federation:adatum ในตัวเลือก Federation Service URI บนแท็บ General จากนั้นตรวจสอบว่า URL ต่อไปนี้ถูกต้องในกล่องข้อความ URL จุดสิ้นสุดของบริการสหพันธรัฐ https://adfsaccount.adatum.com/adfs/ls/ สุดท้าย พิมพ์ A. Datum ในชื่อที่แสดงสำหรับนโยบายความน่าเชื่อถือนี้บนแท็บชื่อที่แสดง และ เลือกตกลงแน่นอน หลังจากเสร็จสิ้น เราจะเข้าสู่ Active Directory Federation Services อีกครั้ง คลิกสองครั้งที่ Federation Service, Trust Policy, My Organization คลิกขวาที่ Organisation Claims คลิก New จากนั้นคลิก Organ Claim Type Trey ClaimApp Claim ในชื่อ Claim ในส่วน Create a กล่องโต้ตอบการอ้างสิทธิ์ขององค์กรใหม่ ตรวจสอบให้แน่ใจว่าได้เลือกการอ้างสิทธิ์แบบกลุ่มแล้วคลิกตกลง โดยพื้นฐานแล้วการกำหนดค่าของบริษัทอื่นจะคล้ายกับการดำเนินการข้างต้น ดังนั้นฉันจะไม่ลงรายละเอียดอีกครั้ง
ขั้นตอนที่ 5: เข้าถึงแอปพลิเคชันนำร่องผ่านคอมพิวเตอร์ไคลเอนต์
กำหนดการตั้งค่าเบราว์เซอร์สำหรับบริการการรวมบัญชี adfsaccount
เข้าสู่ระบบ adfsclient ในฐานะผู้ใช้ alansh เริ่ม IE คลิก Internet Options ในเมนู Tools คลิก Local intranet บนแท็บ Security แล้วคลิก Sites จากนั้นคลิก Advanced พิมพ์ https://adfsaccount adatum.com คลิกเพิ่ม จากนั้นพิมพ์ https://adfsweb.treyresearch.net/claimapp/ ในเบราว์เซอร์ IE แต่เมื่อได้รับแจ้งให้ระบุขอบเขตที่บ้าน ให้คลิก A. Datum แล้วคลิกส่ง วิธีนี้ทำให้แอปพลิเคชันตัวอย่างที่ทราบข้อเรียกร้องปรากฏบนเบราว์เซอร์ และผู้ใช้สามารถดูการอ้างสิทธิ์ที่เลือกของแอปพลิเคชันได้ใน SingleSignOnIdentity.SecurityPropertyCollection หากเกิดปัญหาระหว่างการเข้าถึง ผู้ใช้สามารถเรียกใช้ iisreset หรือรีสตาร์ทคอมพิวเตอร์ adfsweb แล้วลองเข้าถึงอีกครั้ง
ณ จุดนี้ มีการสร้างโมเดลการทดสอบ ADFS ขั้นพื้นฐานขึ้น แน่นอนว่า ADFS ยังคงเป็นเทคโนโลยีใหม่ที่ซับซ้อนและซับซ้อน ในสภาพแวดล้อมการผลิตจริง เราจะยังคงมีการดำเนินการและการกำหนดค่ามากมายที่ต้องทำ ตามที่กล่าวไว้ข้างต้น ADFS จะขยายขีดความสามารถของเว็บแอปพลิเคชันอย่างมากและขยายระดับข้อมูลของธุรกิจภายนอกของบริษัท ให้เรารอดูว่าเทคโนโลยี ADFS ใน Windows Server 2008 จะถูกนำไปใช้ในการใช้งานจริงอย่างไร