ADFS是Windows Server 2008 操作系統中的一項新功能,它提供了一個統一的訪問解決方案,用於解決基於瀏覽器的內外部用戶的訪問。這項新功能甚至可以實現完全不同的兩個網絡或者是組織之間的帳戶以及應用程序之間的通訊。
要理解ADFS的工作原理,可以先考慮活動目錄的工作原理。當用戶通過活動目錄進行認證時,域控制器檢查用戶的證書。當證明是合法用戶後,用戶就可以隨意訪問Windows網絡的任何授權資源,而無需在每次訪問不同服務器時重新認證。ADFS將同樣的概念應用到Internet。我們都知道當Web應用需要訪問位於數據庫或其他類型後端資源上的後端數據時,對後端資源的安全認證問題往往比較複雜。現在可以使用的有很多不同的認證方法提供這樣的認證。例如,用戶可能通過RADIUS(遠程撥入用戶服務認證)服務器或者通過應用程序代碼的一部分實現所有權認證機制。這些認證機制都可實現認證功能,但是也有一些不足之處。不足之一是賬戶管理。當應用僅被企業自己的員工訪問時,賬戶管理並不是個大問題。但是,如果企業的供應商、客戶都使用該應用時,就會突然發現用戶需要爲其他企業的員工建立新的用戶賬戶。不足之二是維護問題。當其他企業的員工離職,僱傭新員工時,用戶還需要刪除舊的賬戶和創建新的賬戶。
ADFS能爲您做什麼?
如果用戶將賬戶管理的任務轉移到他們的客戶、供應商或者其他使用Web應用的人那裏會是什麼樣子哪? 設想一下, Web應用爲其他企業提供服務,而用戶再也不用爲那些員工創建用戶賬戶或者重設密碼。如果這還不夠,使用這一應用的用戶也不再需要登錄應用。那將是一件多麼令人興奮的事情。
ADFS需要什麼?
當然,活動目錄聯合服務還需要其它的一些配置才能使用,用戶需要一些服務器執行這些功能。最基本的是聯合服務器,聯合服務器上運行ADFS的聯合服務組件。 聯合服務器的主要作用是發送來自不同外部用戶的請求,它還負責向通過認證的用戶發放令牌。
另外在大多數情況下還需要聯合代理。試想一下,如果外部網絡要能夠和用戶內部網絡建立聯合協議,這就意味着用戶的聯合服務器要能通過Internet訪問。但是活動目錄聯合並不很依賴於活動目錄,因此直接將聯合服務器暴露在Internet上將帶來很大的風險。正因爲這樣,聯合服務器不能直接和 Internet相連,而是通過聯合代理訪問。聯合代理向聯合服務器中轉來自外部的聯合請求,聯合服務器就不會直接暴露給外部。
另一ADFS的主要組件是ADFS Web代理。Web應用必須有對外部用戶認證的機制。這些機制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 服務器發放的認證cookies。
在下面的文章中我們將帶領大家通過一個模擬的試驗環境來一起感受ADFS服務帶給企業的全新感受,閒言少敘,我們下面就開始ADFS的配置試驗。
第1步:預安裝任務
要想完成下面的試驗,用戶在安裝ADFS之前先要準備好至少四臺計算機。
1)配置計算機的操作系統和網絡環境
使用下表來配置試驗的計算機系統以及網絡環境。
|
第2步:安裝 AD FS 角色服務,配置證書
現在我們已經配置好計算機並且將它們加入到域中,同時對於每臺服務器我們也已經安裝好了ADFS組件。
1)安裝同盟服務
兩臺計算機上安裝同盟服務,安裝完成後,這兩臺計算機就變成了同盟服務器。下面的操作將會引導我們創建一個新的信任策略文件以及SSL和證書:
點擊Start ,選擇 Administrative Tools ,點擊 Server Manager。右擊 Manage Roles, 選中Add roles 啓動添加角色嚮導。在Before You Begin 頁面點擊 Next。在 Select Server Roles 頁選擇 Active Directory Federation Services 點擊Next 。在Select Role Services 選擇 Federation Service 複選框,如果系統提示用戶安裝 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服務,那麼點擊 Add Required Role Services 添加它們,完成後點擊 Next 。在 Choose a Certificate for SSL Encryption 頁面點擊 Create a self-signed certificate for SSL encryption, 點擊 Next 繼續,在 Choose Token-Signing Certificate 頁面點擊Create a self-signed token-signing certificate, 點擊 Next. 接下來的Select Trust Policy 頁面選擇 Create a new trust policy,下一步進入 Select Role Services 頁面點擊 Next 來確認默認值。在 Confirm Installation Options 校驗完信息後,就可以點擊Install 開始安裝了。
2)將本地系統帳戶分配到 ADFSAppPool identity
點擊Start ,在 Administrative Tools中的 Internet Information Services (IIS) Manager中,雙擊ADFSRESOURCE 或者 ADFSACCOUNT ,選擇 Application Pools ,在中心面板上右擊ADFSAppPool ,選擇Set Application Pool Defaults.在Identity Type, 點擊 LocalSystem ,然後選擇 OK。
3)安裝 AD FS Web 代理
在 Administrative Tools中 Server Manager 右擊 Manage Roles ,選擇 Add roles ,根據嚮導在Select Server Roles 頁面選擇 Active Directory Federation Services.,點擊Next 後在 Select Role Services 窗口中選擇 Claims-aware Agent 複選框。如果嚮導提示用戶安裝 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服務,那麼點擊 Add Required Role Services 來完成安裝。完成後在Select Role Services 頁面,選擇 Client Certificate Mapping Authentication 複選框(要想實現這步操作,IIS需要創建一個self-signed 服務認證。),驗證完信息後,就可以開始安裝了。
要想成功的設置Web服務器和同盟服務器,還有一個重要的環節就是證書的創建和導入導出。前面我們已經使用角色添加嚮導爲同盟服務器之間創建了服務器授權認證,剩下要做的就是爲adfsweb計算機創建對應的授權認證。由於篇幅有限在此就不作詳細介紹,相關內容可以查詢系列中證書相關的文章。
第3步: 配置 Web 服務器
在這個步驟中,我們主要要完成的有如何在一個Web 服務器上(adfsweb),設置一個claims-aware 應用程序。
首先我們來配製IIS,需要做的就是啓用adfsweb默認網站的SSL設置,完成後我們在IIS的ADFSWEB 中雙擊 Web Sites, 右擊 Default Web Site, 選擇Add Application,在Add Application 對話框的 Alias 中鍵入 claimapp 點擊… 按鍵, 新建一個文件夾命名爲claimapp, 然後確定。需要注意的是命名新文件夾時最好不要使用大寫字母,不然在後面使用時也要使用對應的大寫字母。
第4步: 配置同盟服務器
現在我們已經安裝好了ADFS服務,也已經配置好了訪問claims-aware 應用程序的Web服務器,下面我們就來配置試驗環境中兩家公司(Trey Research 和 A. Datum Corporation )的同盟服務。
我們首先來配置信任策略,在Administrative Tools 中點擊 Active Directory Federation Services 雙擊 Federation Service, 右擊選擇 Trust Policy, 選擇其中的Properties。在 General 頁籤的Federation Service URI 選項中鍵入urn:federation:adatum 。然後在Federation Service endpoint URL 文本框中驗證下面的網址是否正確https://adfsaccount.adatum.com/adfs/ls/ 最後在Display Name 頁籤的 Display name for this trust policy中鍵入 A. Datum 然後選擇OK確定。完成後我們再次進入Active Directory Federation Services.雙擊Federation Service, Trust Policy, My Organization, 右擊 Organization Claims, 點擊 New, 然後點擊 Organization Claim.在Create a New Organization Claim 對話框的Claim name中鍵入Trey ClaimApp Claim。確定 Group claim 選中後,點擊 OK。另外一家公司的配置與上面的操作基本類似,再次不做累述。
第 5步: 通過客戶計算機訪問試驗應用程序
配置adfsaccount 同盟服務的瀏覽器設置
使用alansh用戶登錄到adfsclient ,啓動IE,在Tools 菜單中點擊 Internet Options 在 Security 頁籤點擊 Local intranet,然後點擊 Sites.然後點擊 Advanced.在 Add this Web site to the zone, 中鍵入https://adfsaccount.adatum.com, 點擊 Add 。然後在IE瀏覽器中鍵入https://adfsweb.treyresearch.net/claimapp/.但提示home realm時,點擊A. Datum 然後點擊Submit 。這樣Claims-aware Sample Application 出現在瀏覽器上,用戶可以在SingleSignOnIdentity.SecurityPropertyCollection 中看到應用程序選定的聲明。如果在訪問時出現問題,那麼用戶可以運行iisreset 或者重啓adfsweb計算機,然後再次嘗試訪問。
至此一個基本的ADFS試驗模型已經搭建完成,當然ADFS依然是一個全面而複雜的新技術,在真正的生產環境中,我們還會有許多許多的操作和配置要做,不過,不管配置如何,正如上文所說的, ADFS將極大地擴充Web應用的能力,擴充企業外部業務的信息化程度,讓我們拭目以待Windows Server 2008中ADFS技術在實際應用中使用情況吧。 |