Windows Server 2008

Rola Active Directory Federation Services Udostępnij na: Facebook

Opublikowano: 18 marca 2008

Active Directory® Federation Services (AD FS) to rola serwera w systemie operacyjnym Windows Server® 2008, która może zostać wykorzystana w celu utworzenia rozszerzalnego, skalowalnego i zabezpieczającego tożsamość rozwiązania dotyczącego dostępu, które może działać w wielu platformach - w tym zarówno w środowiskach obsługiwanych, jak i nieobsługiwanych przez system Windows. Poniżej przedstawiono informacje na temat usług AD FS w Windows Server 2008, w tym na temat dodatkowej funkcjonalności AD FS w Windows Server 2008 w porównaniu z AD FS w Windows Server 2003 R2.

*

Zawartość strony
Przeznaczenie funkcji  Przeznaczenie funkcji
Nowa funkcjonalność  Nowa funkcjonalność
Integracja z programem Office SharePoint Server 2007  Integracja z programem Office SharePoint Server 2007
Integracja z usługami AD RMS  Integracja z usługami AD RMS
Sprawniejsze zarządzanie podczas ustalania federacyjnych relacji zaufania  Sprawniejsze zarządzanie podczas ustalania federacyjnych relacji zaufania
Jakie ustawienia dodano lub zmieniono?  Jakie ustawienia dodano lub zmieniono?

Przeznaczenie funkcji

Usługi AD FS są przeznaczone do wdrażania w średnich i dużych organizacjach posiadających następującą infrastrukturę:

  • Przynajmniej jedną usługę katalogową: Active Directory Domain Services (AD DS) lub Active Directory Lightweight Directory Services (AD LDS) (poprzednio znana jako ADAM)
  • Komputery działające w oparciu o różne platformy systemu operacyjnego
  • Komputery należące do domeny
  • Komputery podłączone do Internetu
  • Co najmniej jedną aplikację opartą na sieci Web

Te informacje, jak również dodatkowa dokumentacja na temat usług AD FS, powinny zainteresować w szczególności następujące osoby:

  • Specjalistów IT odpowiedzialnych za obsługę istniejącej infrastruktury AD FS
  • Planistów, analityków lub architektów IT oceniających produkty federacji tożsamości

Jeżeli organizacja posiada istniejącą infrastrukturę AD FS, przed rozpoczęciem uaktualniania serwerów federacji, federacyjnych serwerów proxy oraz serwerów sieci Web z uruchomionymi usługami AD FS z systemu Windows Server 2003 R2 do Windows Server 2008 należy wziąć pod uwagę określone kwestie dodatkowe. Mają one znaczenie wyłącznie w sytuacji, gdy serwery z usługami AD FS zostały ręcznie skonfigurowane do używania unikatowych kont usług.

Usługi AD FS wykorzystują konto Network Service jako domyślne konto zarówno dla usługi AD FS Web Agent Authentication Service, jak i tożsamości puli aplikacji ADFSAppPool. Jeżeli co najmniej jeden serwer AD FS w bieżącym wdrożeniu usług AD FS został ręcznie skonfigurowany do używania konta usługi innego niż domyślne konto Network Service, należy sprawdzić, który z serwerów AD FS używa tych unikatowych kont usług i zanotować nazwę użytkownika i hasło dla każdego konta usługi.

Podczas uaktualniania serwera do systemu Windows Server 2008 proces aktualizacji automatycznie przywraca wszystkie konta usług do ich oryginalnych domyślnych wartości. Dlatego też po kompletnej instalacji systemu Windows Server 2008 należy ponownie wprowadzić informacje dotyczące konta usługi ręcznie dla każdego serwera .

 Do początku strony Do początku strony

Nowa funkcjonalność

W przypadku systemu Windows Server 2008 usługi AD FS zawierają nową funkcjonalność, niedostępną w Windows Server 2003 R2. Nowa funkcjonalność ma za zadanie zmniejszyć ogólne koszty związane z administrowaniem i rozszerzyć obsługę kluczowych aplikacji:

  • Ulepszona instalacja – usługi AD FS zostały uwzględnione w systemie Windows Server 2008 jako rola serwera, a kreator instalacji zawiera nowe testy sprawdzające poprawność serwera.

    Usługi AD FS w systemie Windows Server 2008 udostępniają różne ulepszenia w procesie instalacji. Aby zainstalować usługi AD FS w systemie Windows Server 2003 R2, konieczne było zastosowanie polecenia Add or Remove Programs w celu odnalezienia i zainstalowania składnika usług AD FS. Jednak w systemie Windows Server można zainstalować usługi AD FS jako rolę serwera za pomocą narzędzia Server Manager.

    Można także zastosować ulepszone strony kreatora konfiguracji usług AD FS w celu sprawdzenia poprawności konfiguracji serwera przed zainstalowaniem roli serwera AD FS. Ponadto narzędzie Server Manager automatycznie wyświetla listę i instaluje wszystkie usługi wymagane dla AD FS podczas instalacji roli serwera AD FS. Te usługi obejmują Microsoft ASP.NET 2.0 oraz inne usługi będące częścią roli serwera Web Server (IIS).

  • Lepsza obsługa aplikacji – usługi AD FS są lepiej zintegrowane z Microsoft Office SharePoint® Server 2007 oraz usługami Active Directory Rights Management Services (AD RMS).

    Usługi AD FS w systemie Windows Server 2008 zawierają ulepszenia zwiększające możliwość jego integracji z innymi aplikacjami, takimi jak Office SharePoint Server 2007 oraz AD RMS.

  • Sprawniejsze zarządzanie podczas ustalania federacyjnych relacji zaufania – ulepszony import zasad zaufania i eksport funkcjonalności pomaga zminimalizować problemy z konfiguracją używaną przez partnerów, które są zazwyczaj powiązane z ustanawianiem federacyjnych relacji zaufania.

 Do początku strony Do początku strony

Integracja z programem Office SharePoint Server 2007

Program Office SharePoint Server 2007 w pełni wykorzystuje możliwości SSO zintegrowane z tą wersją usług AD FS. Usługi AD FS w systemie Windows Server 2008 zawierają funkcjonalność obsługującą uczestnictwo w programie Office SharePoint Server 2007 oraz dostawców roli. To oznacza, że możliwe jest efektywne konfigurowanie programu Office SharePoint Server 2007 jako aplikacji obsługującej oświadczenia w usługach AD FS oraz administrowanie wszystkimi witrynami programu Office SharePoint Server 2007 przy użyciu uczestnictwa i kontroli dostępu opartej na roli. Dostawcy uczestnictwa i ról w tej wersji usług AD FS mogą być używani wyłącznie przez program Office SharePoint Server 2007.

 Do początku strony Do początku strony

Integracja z usługami AD RMS

Usługi AD RMS oraz AD FS zostały zintegrowane w taki sposób, aby umożliwić organizacjom wykorzystanie istniejących federacyjnych relacji zaufania do współpracy z zewnętrznymi partnerami w celu udostępniania zawartości chronionej prawnie. Przykładowo organizacja, która wdrożyła usługi AD RMS, może ustanowić federację z zewnętrzną organizacją za pomocą usług AD FS. Organizacja może następnie wykorzystać tę relację w celu udostępnienia zawartości chronionej prawami drugiej organizacji bez konieczności wdrożenia usługi AD RMS w obydwu organizacjach.

 Do początku strony Do początku strony

Sprawniejsze zarządzanie podczas ustalania federacyjnych relacji zaufania

Zarówno w systemie Windows Server 2003 R2, jak i Windows Server 2008, administratorzy usług AD FS mogą ustanowić federacyjną relację zaufania pomiędzy dwiema organizacjami za pomocą eksportu lub importu plików zasad lub ręcznego procesu obejmującego wzajemną wymianę wartości partnerów, takich jak identyfikatory Uniform Resource Indicators (URI), typów oświadczeń, mapowania oświadczeń, nazw wyświetlanych itd. Proces ręczny wymaga, aby administrator, który otrzyma te dane, wpisał wszystkie wymagane dane na odpowiednich stronach kreatora Add Partner Wizard, co może spowodować wystąpienie błędów topograficznych. Ponadto proces ręczny wymaga, aby administrator partnera kont wysłał kopię certyfikatu weryfikacji dla serwera federacji do administratora zasobów partnera w celu dodania tego certyfikatu za pomocą kreatora.

Mimo że możliwość importowania i eksportowania plików zasad była dostępna w systemie Windows Server 2003 R2, tworzenie federacyjnych relacji zaufania pomiędzy organizacjami partnerów jest prostsze w systemie Windows Server 2008 dzięki ulepszonej funkcjonalności eksportowania i importowania w oparciu o zasady. Te ulepszenia zostały wprowadzone w celu usprawnienia administracji poprzez zwiększenie elastyczności importu za pomocą kreatora Add Partner Wizard. Przykładowo podczas importowania zasad partnera administrator może zmodyfikować wszelkie wartości importowane za pomocą kreatora Add Partner Wizard przed ukończeniem jego działania. Obejmuje to możliwość określenia innego certyfikatu weryfikacji kont partnerów oraz możliwość mapowania przychodzących lub wychodzących oświadczeń pomiędzy partnerami.

Używając funkcji eksportowania i importowania zawartych w usługach AD FS w systemie Windows Server 2008, administratorzy mogą po prostu eksportować swoje ustawienia zasad zaufania do pliku .xml, a następnie wysłać ten plik do administratora partnera. Ta wymiana plików zasad partnerów udostępnia wszystkie adresy URL, typy oświadczeń, mapowania oświadczeń oraz inne wartości i certyfikaty weryfikacji, które są konieczne do utworzenia federacyjnej relacji zaufania pomiędzy dwoma organizacjami partnerskimi.

Poniższy rysunek wraz z dołączonymi instrukcjami pokazuje, w jaki sposób pomyślna wymiana zasad pomiędzy partnerami – w tym przypadku zainicjowana przez administratora organizacji partnera kont – może pomóc w usprawnieniu procesu ustanowienia federacyjnej relacji zaufania pomiędzy dwoma fikcyjnymi organizacjami:. Datum Corporation oraz Trey Research.

rys. 1

  1. Administrator partnera kont określa opcję Export Basic Partner Policy, klikając prawym klawiszem myszy folder Trust Policy i eksportując plik zasad partnera zawierający identyfikator URI, nazwę wyświetlaną, adres URL federacyjnego serwera proxy oraz certyfikat weryfikacji dla A. Datum Corporation. Administrator partnera kont wysyła następnie plik zasad partnera (za pomocą poczty elektronicznej lub w inny sposób) do administratora partnera zasobów.
  2. Administrator partnera zasobów tworzy nowego partnera kont za pomocą kreatora Add Account Partner Wizard i wybiera opcję importu pliku zasad partnera kont. Administrator partnera zasobów określa lokalizację pliku zasad partnera i sprawdza, czy wszystkie wartości przedstawione na każdej stronie kreatora, które zostały wstawione wcześniej w wyniku zastosowania importu zasad, są prawidłowe. Administrator kończy działanie kreatora.
  3. Administrator partnera zasobów może skonfigurować dodatkowe oświadczenia lub ustawienia zasad zaufania charakterystyczne dla danego partnera kont. Po zakończeniu konfiguracji administrator określa opcję Export Policy, klikając prawym klawiszem myszy partnera kont A. Datum Corporation. Administrator partnera zasobów eksportuje plik zasad partnera zawierający wartości, takie jak identyfikator URI, adres URL federacyjnego serwera proxy, nazwę wyświetlaną, typy oświadczeń oraz mapowania oświadczeń dla organizacji Trey Research. Administrator partnera kont wysyła następnie plik zasad partnera do administratora partnera zasobów.
  4. Administrator partnera zasobów tworzy nowego partnera kont za pomocą kreatora Add Resource Partner Wizard i wybiera opcję importu pliku zasad partnera zasobów. Administrator partnera kont określa lokalizację pliku zasad partnera zasobów i sprawdza, czy wszystkie wartości przedstawione na każdej stronie kreatora, które zostały wstawione wcześniej w wyniku zastosowania importu zasad, są prawidłowe. Administrator kończy działanie kreatora.

Po zakończeniu tego procesu federacyjna relacja zaufania pomiędzy obydwoma partnerami zostaje pomyślnie ustanowiona. Administratorzy partnera zasobów mogą także zainicjować proces importu oraz eksportu zasad, pomimo, iż nie został on tutaj opisany.

 Do początku strony Do początku strony

Jakie ustawienia dodano lub zmieniono?

Ustawienia agentów sieci Web używających tokenów w systemie Windows NT jest konfigurowane za pomocą przystawki IIS Manager. W celu umożliwienia obsługi nowej funkcjonalności udostępnionej w usługach Internet Information Services (IIS) 7.0, usługi AD FS w systemie Windows Server 2008 zawierają aktualizacje interfejsu użytkownika dla roli usługi AD FS Web Agent. Poniższa tabela przedstawia listę różnych lokalizacji w narzędziu IIS Manager dla usług IIS 6.0 lub IIS 7.0 dla każdej ze stron właściwości agenta AD FS Web Agent, w zależności od wersji używanych usług IIS.

Strona właściwości IIS 6.0 Dotychczasowa lokalizacja Strona usług IIS 7.0 Nowa lokalizacja
Karta AD FS Web Agent < COMPUTERNAME>\Web Sites Federation Service URL < COMPUTERNAME> (w sekcji Other w środkowym okienku)
Karta AD FS Web Agent < COMPUTERNAME>\Web Sites\<Site or Virtual Directory> AD FS Web Agent < COMPUTERNAME>\Web Sites\<Site or Virtual Directory> (w sekcji IIS\Authentication w środkowym okienku)

 

Uwaga

Nie ma znaczących różnic w interfejsie użytkownika pomiędzy przystawką Active Directory Federation Services w systemie Windows Server 2008, a przystawką Active Directory Federation Services w systemie Windows Server 2003 R2.

 Do początku strony Do początku strony

Windows Server 2008