Windows Server 2008 Active Directory Federation Services 逐步指南 - 步驟 4 : 組態聯邦伺服器
步驟4:組態聯邦伺服器
現在你已安裝好了 Active Directory Federation Services (AD FS),並且你也設定好了範例宣告感知應用程式所需要的Web伺服器。接下來,你要設定在Trey Research與A.Datum Corporation的聯邦伺服器上的Federation Service。在這個步驟中,你要:
|
• |
使Trey Research中的Federation Service對宣告感知應用程式的感知能力。 |
|
• |
加入帳戶與群組宣告到合適的Federation Service。 |
|
• |
組態每個群組宣告讓它們對應到合適的Forest中的 Active Directory Domain Services (AD DS) 群組。 |
本步驟包含下列工作:
|
• |
組態A.Datum Corporation的Federation Service。
|
|
• |
組態Trey Research的Federation Service。
|
|
• |
使用匯入與匯出功能來建立兩端的信任。
|
管理員權限
為了要執行本步驟的每個程序,請使用網域管理員帳戶登入adfsaccount與adfsresource電腦。
組態A.Datum Corporation的Federation Service
本區段包含了下列程序:
|
• |
組態A.Datum信任原則。
|
|
• |
建立用戶宣告感知應用程式的群組宣告。
|
|
• |
加入與設定AD DS帳戶儲存點。
|
組態A.Datum信任原則
使用下列程序在adfsaccount電腦中,組態A.Datum Corporation的Federation Service的信任原則。
|
|
若要組態信任原則 |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
在主控台樹中,雙擊Federation Service,用右鍵點選信任原則,然後點選內容。 |
|
3. |
在一般資訊頁籤中,於Federation Service URI輸入urn:federation:adatum。
|
|
4. |
在 Federation Service 終端 URL 文字方塊中,檢查是否為 https://adfsaccount.adatum.com/adfs/ls/ 。 |
|
5. |
在顯示名稱頁籤中,在顯示此信任原則的名稱中,輸入A.Datum(如果有其他值存在時,請用此取代它),然後按確定。 |
|
建立用戶宣告感知應用程式的群組宣告
使用下列程序建立將會被用來向Trey Research.net Forest驗證的群組宣告。
|
|
若要建立用戶宣告感知應用程式的群組宣告 |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊 Federation Service,雙擊信任原則,雙擊我的組織,用右鍵點選組織宣告,指向新增,然後點選組織宣告。 |
|
3. |
於建立新的組織宣告對話盒中,在宣告名稱輸入TreyClaimAppClaim。 |
|
4. |
確認群組宣告已選取,然後按確定。 |
|
新增與組態AD DS帳戶儲存點
請使用下列步驟來新增A.Datum Corporation的Federation Service的AD DS帳戶儲存點。
|
• |
新增AD DS帳戶儲存點。
|
|
• |
對應全域群組到宣告感知應用程式的群組宣告中。
|
新增AD DS帳戶存取點
使用下列程式來新增AD DS帳戶儲存點。
|
|
若要加入一個ADDS帳戶儲存點 |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊 Federation Service,雙擊信任原則,雙擊我的組織,用右鍵點選帳戶儲存點,指向新增,然後點選帳戶儲存點。 |
|
3. |
在歡迎使用新增帳戶儲存點精靈頁中,按下一步。 |
|
4. |
在帳戶儲存點類型頁中,確認 Active Directory Domain Services 是被選取的,然後按下一步。
|
|
注意: |
|
|
你只可以使用一個AD DS儲存點配合Federation Service,如果AD DS選項無法使用,就表示Federation Service已建立一個AD DS的儲存點。 |
|
|
5. |
在啟用此帳戶儲存點頁中,確認啟用此帳戶儲存點核取方塊己選取,然後按下一步。 |
|
6. |
在完成新增帳戶儲存點精靈頁中,按完成。 |
|
對應全域群組到宣告感知應用程式的群組宣告
使用下列程序來對應AD DS全域群組到 Trey ClaimApp Claim群組宣告
|
|
若要對應全域群組到宣告感知應用程式的群組宣告 |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊 Federation Service,雙擊信任原則,雙擊我的組織,用右鍵點選帳戶儲存點,用右鍵點選 Active Directory,指向新增,然後點選群組宣告萃取。 |
|
3. |
在建立新群組萃取對話盒中,點選新增,輸入treyclaimappusers,然後按確定。 |
|
4. |
確認在對應到此組織宣告功能表是顯示 Trey ClaimApp Claim,然後按確定。 |
|
組態Trey Research的Federation Service
這個區段包含下列程序:
|
• |
組態Trey Research的信任原則
|
|
• |
建立宣告感知應用程式的群組宣告
|
|
• |
新增AD DS帳戶儲存點
|
|
• |
新增與設定宣告感知應用程式
|
組態Trey Research的信任原則
使用下列程序在 adfsresource 電腦中,組態 Trey Research 的 Federation Service 的信任原則。
|
|
若要設定Trey Research的信任原則
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
在主控台樹中,雙擊Federation Service,用右鍵點選信任原則,然後點選內容。 |
|
3. |
在一般資訊頁籤中,於Federation Service URI輸入urn:federation:treyresearch。
|
|
4. |
在 Federation Service 終端 URL 文字方塊中,檢查是否為 https://adfsresource.treyresearch.net/adfs/ls/。 |
|
5. |
在顯示名稱頁籤中,在顯示此信任原則的名稱中,輸入Trey Research(如果有其他值存在時,請用此取代它),然後按確定。 |
|
為宣告感知應用程式建立群組宣告
請使用下列程序來建立群組宣告,它將被用在範例宣告感知應用程式在代表adatum.com Forest的使用者存取時進行授權決策之用。
|
|
若要為宣告感知應用程式建立群組宣告
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊 Federation Service,雙擊信任原則,雙擊我的組織,用右鍵點選組織宣告,指向新增,然後點選組織宣告。 |
|
3. |
於建立新的組織宣告對話盒中,在宣告名稱輸入Adatum ClaimApp Claim。 |
|
4. |
確認群組宣告已選取,然後按確定。 |
|
新增AD DS帳戶儲存點
使用下列程序在Trey Research的Federation Service中新增AD DS的帳戶儲存點。
|
|
若要新增AD DS帳戶儲存點
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊 Federation Service,雙擊信任原則,雙擊我的組織,用右鍵點選帳戶儲存點,指向新增,然後點選帳戶儲存點。 |
|
3. |
在歡迎使用新增帳戶儲存點精靈頁中,按下一步。 |
|
4. |
在帳戶儲存點類型頁中,確認 Active Directory Domain Services 是被選取的,然後按下一步。 |
|
5. |
在啟用此帳戶儲存點頁中,確認啟用此帳戶儲存點核取方塊己選取,然後按下一步。 |
|
6. |
在完成新增帳戶儲存點精靈頁中,按完成。 |
|
新增與設定宣告感知應用程式
使用下列程序在Trey Research的Federation Service中新增一個宣告感知應用程式。
新增宣告感知應用程式
請使用下列程序將宣告感知應用程式加入Federation Service。
|
|
若要新增宣告感知應用程式 |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊 Federation Service,雙擊信任原則,雙擊我的組織,用右鍵點選應用程式,指向新增,然後點選應用程式。 |
|
3. |
在歡迎使用新增應用程式精靈頁中,按下一步。 |
|
4. |
在應用程式類型頁中,點選宣告感知應用程式,然後按下一步。 |
|
5. |
在應用程式詳細資訊頁中,於應用程式顯示名稱輸入Claims-aware Application。 |
|
6. |
在Application URL中,輸入https://adfsweb.treyresearch.net/claimapp/,然後按下一步。 |
|
7. |
在接受識別宣告頁中,點選 User principal name (UPN) ,然後按下一步。 |
|
8. |
在啟用應用程式頁中,確保啟用此應用程式核取方塊己選取,然後按下一步。 |
|
9. |
在完成新增應用程式精靈中,按完成。 |
|
啟用 Adatum ClaimApp Claim
現在Federation Service已經確認此應用程式,請使用下列程序來啟用應用程式的 Adatum ClaimApp Claim 群組宣告。
|
|
若要啟用Adatum ClaimApp Claim |
|
|
|
1. |
在應用程式資料夾中,點選宣告感知應用程式。 |
|
2. |
用右鍵點選 Adatum ClaimApp Claim,然後點選啟用。 |
|
使用匯入與匯出功能來建立兩邊的聯邦信任
在Windows Server 2008中,於兩個夥伴組織間建立聯邦信任比早期的Windows作業系統來的簡單,因為具有強化的以原則為主的匯出與匯入功能。在這個段落中,你使用匯入與匯出功能來在A.Datum與Trey Research組織間交換原則檔案以成功建立聯邦信任。
若想要知道更多關於匯入與匯出功能如果工作的資訊,請參考 Active Directory Federation Services Role (http://go.microsoft.com/fwlink/?LinkId=104518
).
本段落包含下列程序:
|
• |
自A.Datum匯出信任原則
|
|
• |
匯入信任原則到Trey Research
|
|
• |
在Trey Research中建立宣告對應
|
|
• |
自Trey Research匯出夥伴原則
|
|
• |
匯入Trey Research夥伴原則到A.Datum
|
自A.Datum匯出信任原則
在A.Datum的adfsaccount電腦中,使用下列程序來匯出信任原則資料,你將在下一個步驟使用它來建立在A.Datum與Trey Research間的單邊信任關係。
|
|
若要匯出A.Datum的信任原則 |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊Federation Service,用右鍵點選信任原則,然後點選匯出基本夥伴原則。 |
|
3. |
在匯出基本夥伴原則對話盒中,點選瀏覽,於檔名中輸入c:\adfsaccount,按儲存,之後按確定。
|
|
注意: |
|
|
如果在實際執行的ADFS生產環境,於A.Datum的管理將會立即以Email或其他方式寄送已匯出的原則檔到於Trey Research的資源夥伴管理員。 |
|
|
匯入A.Datum信任原則到Trey Research
在Trey Research的adfsresource電腦,使用下列程序來匯入你需要完成建立單邊信任以及加入A.Datum為帳戶夥伴到Trey Research信任原的A.Datum信任原則資料。
|
|
若要匯入A.Datum信任原則到Trey Research |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊Federation Service,雙擊信任原則,雙擊夥伴組織,用右鍵點選帳戶夥伴,指向新增,然後點選帳戶夥伴。 |
|
3. |
在歡迎使用新增帳戶夥伴精靈頁中,按下一步。 |
|
4. |
在匯入原則檔頁中的夥伴互通原則檔下,輸入\\adfsaccount\c$\adfsaccount.xml,點選是,再點選下一步。 |
|
5. |
在帳戶夥伴詳細資料頁中,確認:
|
|
6. |
在帳戶夥伴認證憑證頁中,確認使用在匯入原則檔中的認證憑證已選擇,然後按下一步。 |
|
7. |
在聯邦情境頁中,確認 Federated Web SSO 被選取,然後按下一步。 |
|
8. |
在帳戶夥伴識別宣告頁中,確認 UPN Claim 與 E-mail Claim 核取方塊被選取,然後按下一步。 |
|
9. |
在已接受UPN字尾頁,輸入 adatum.com,按新增,然後按下一步。 |
|
10. |
在已接受E-mail字尾頁,輸入 adatum.com,按新增,然後按下一步。 |
|
11. |
在啟用帳戶夥伴頁,確認啟用帳戶夥伴己選取,然後按下一步。 |
|
12. |
在完成新增帳戶夥伴精靈頁,按完成。 |
|
在Trey Research建立宣告對應
在Trey Research的adfsresource電腦中,使用下列程序來建立進入群組宣告的對應到用於範例宣告感知應用程式的使用者中,在下一個步驟中,你匯出宣告對應與其他與建立聯邦信任關係有關的其他資料到A.Datum
|
|
注意: |
|
|
在 A. Datum,當你匯入來自於Trey Research的原則資料時,你會被指示自動以你於此程序中建立的對應(ClaimAppMapping)建立一個連出群組宣告。下列的匯入流程步驟將幫助你在不使用匯入與匯出流程時,預防執行此動作的錯誤發生。 |
|
|
若要在Trey Research中建立宣告對應 |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊Federation Service,雙擊信任原則,雙擊夥伴組織,用右鍵點選帳戶夥伴,以右鍵點選A.Datum,指向新增,然後點選連入群組宣告對應。 |
|
3. |
在建立新連入群組宣告對應對話盒中,在連入群組宣告名稱,輸入ClaimAppMapping。
|
|
注意: |
|
|
此數值會區分字母大小寫,它必須要明確符合你在帳戶夥伴,A.Datum中所指定的連出群組對應的值。 |
|
|
4. |
在組織群組宣告中,選取 Adatum ClaimApp Claim,然後點選確定。 |
|
自Trey Research中匯出夥伴原則
在Trey Research的adfsresource電腦中,使用下列的程序匯出Trey Research夥伴原則資料,並且將使用在下一程序以建立雙邊的信任關係。
|
|
若要自Trey Research匯出夥伴原則 |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊Federation Service,雙擊信任原則,雙擊夥伴組織,用右鍵點選帳戶夥伴,以右鍵點選A.Datum,然後點選匯出原則。 |
|
3. |
在匯出夥伴原則對話盒中,點選瀏覽,在檔案名稱中輸入 c:\adfsresource,按儲存再按確定。
|
|
Note: |
|
|
如果是在一個實際的ADFS環境,Trey Research的管理員應該用Email或其他方便將匯出的夥伴原則檔給Account Partner的管理員。 |
|
|
匯入Trey Research的夥伴原則檔到 A. Datum
在A.Datum的adfsaccount電腦上,使用下列程序來匯入需要完成建立雙邊聯邦信任以及加入Trey Research為A.Datum信任原則中的資源夥伴所需的Trey Research夥伴原則資料。
|
|
若要匯入Trey Research夥伴原則到 A. Datum |
|
|
|
1. |
點選開始功能表,指向系統管理工具,點選Active Directory Federation Services。 |
|
2. |
雙擊Federation Service,雙擊信任原則,雙擊夥伴組織,用右鍵點選資源夥伴,指向新增,然後點選資源夥伴。 |
|
3. |
在歡迎使用新增資源夥伴精靈頁中,按下一步。 |
|
4. |
在匯入原則檔頁,點選是,在夥伴互通原則檔下,輸入\\adfsresource\c$\adfsresource.xml,,再點選下一步。 |
|
5. |
在資源夥伴詳細資料頁中,確認:
|
• |
顯示名稱 顯示 Trey Research. |
|
• |
Federation Service URI 顯示 urn:federation:treyresearch |
|
• |
Federation Service endpoint URL 顯示 https://adfsresource.treyresearch.net/adfs/ls/, 然按下一步。 |
|
|
6. |
在帳戶夥伴認證憑證頁中,確認使用在匯入原則檔中的認證憑證已選擇,然後按下一步。 |
|
7. |
在聯邦情境頁中,確認 Federated Web SSO 被選取,然後按下一步。 |
|
8. |
在資源夥伴識別宣告頁中,確認 UPN Claim 與 E-mail Claim 核取方塊被選取,然後按下一步。 |
|
9. |
在選擇UPN字尾頁,確認使用下列資料取代所有UPN字元顯示adatum.com,然後按下一步。 |
|
10. |
在選擇Email字尾頁,確認以下值取代所有E-mail字尾顯示adatum.com,然後按下一步。 |
|
11. |
在對應宣告轉換頁中的對應項目下,選擇Trey ClaimApp Claim,然後按下一步。 |
|
12. |
在啟用資源夥伴頁中,確認啟用資源夥伴核取方塊己選取,然後按下一步。 |
|
13. |
在完成新增資源夥伴精靈頁中,按完成。
|
|
