为联合服务器代理角色配置计算机
在使用所需的证书配置了计算机并安装了联合身份验证服务代理角色服务后,你就可以将计算机配置为联合身份验证服务器。 可以使用以下过程,使计算机承担联合服务器代理角色。
重要
在使用此过程配置联合身份验证服务器代理计算机之前,请确保已按列出的顺序执行了“清单:设置联合身份验证服务器代理”中的所有步骤。 确保至少部署一台联合服务器,并且实施了用于对联合服务器代理配置进行授权的所有必需凭据。 你还必须在默认网站上配置安全套接字层 (SSL) 绑定,否则此向导不会启动。 必须先完成所有这些任务,然后此联合服务器代理才可正常工作。
完成设置计算机之后,验证联合服务器代理按预期方式工作。 有关详细信息,请参阅验证联合服务器代理是否正常运行。
若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 查看有关使用适当帐户和本地和域默认组中组成员身份的详细信息。
配置计算机以用于联合服务器代理角色
可通过两种方法启动 AD FS 联合服务器配置向导。 若要启动该向导,请执行下列操作之一:
在“开始”屏幕上,键入“AD FS 联合身份验证服务器代理配置向导”,然后按 Enter。
在完成设置向导后的任意时间打开 Windows 资源管理器,导航到“C:\Windows\ADFS”文件夹,然后双击“FspConfigWizard.exe”。
使用任一方法启动向导,然后在“欢迎”页上单击“下一步”。
在“指定联合身份验证服务名称”页的“联合身份验证服务名称”下,键入表示此计算机要充当其代理角色的联合身份验证服务的名称。
根据你的特定网络要求,确定是否将需要使用 HTTP 代理服务器将请求转发到联合身份验证服务。 如果是,请选中“向此联合身份验证服务发送请求时使用 HTTP 代理服务器”复选框,在“HTTP 代理服务器地址”下键入代理服务器的地址,单击“测试连接”以验证连接,然后单击“下一步”。
在收到提示时,指定在此联合服务器代理和联合身份验证服务之间建立信任所需的凭据。
默认情况下,只有联合身份验证服务使用的服务帐户或本地 BUILTIN\Administrators 组的成员可以授权联合服务器代理。
在“已准备好应用设置”页上,查看详细信息。 如果设置看上去没有问题,请单击“下一步”,以开始使用这些代理设置配置此计算机。
在“配置结果”页上,查看结果。 完成所有配置步骤后,单击“关闭”退出向导。
没有任何 Microsoft 管理控制台 (MMC) 管理单元可用于管理联合身份验证服务器代理。 若要配置组织中每台联合身份验证服务器代理的设置,请使用 Windows PowerShell cmdlet。
配置用于代理操作的备用 TCP/IP 端口
默认情况下,联合身份验证服务器代理服务配置为使用对应 HTTPS 通信的 TCP 端口 443 和对应 HTTP 通信的端口 80 来与联合身份验证服务器进行通信。 若要配置不同的端口,例如对应 HTTPS 的 TCP 端口 444 和对应 HTTP 的端口 81,则必须完成以下任务。
注意
如果你想要先将 AD FS 部署为在备用 TCP/IP 端口下执行,你应首先在联合身份验证服务器和联合身份验证服务器代理计算机上修改 IIS 协议绑定中对应 HTTP 和 HTTPS 的端口。 应先执行此操作,再运行 AD FS 配置向导以进行初始配置。 如果首先配置 Internet 信息服务 (IIS),则在 AD FS 内进行基于向导的配置时,将会发现备用的 TCP/IP 端口设置,而且没有必要执行以下过程。 如果你想要以后更改端口设置,应首先更新 IIS 协议绑定,然后使用以下过程来相应地更新端口设置。 有关编辑 IIS 绑定的详细信息,请参阅 Microsoft 知识库中的文章 149605。
配置要使用的联合服务器代理的备用 TCP/IP 端口
配置联合服务器以使用非默认端口。
若要执行此操作,请将非默认端口号与 HttpsPort 和 HttpPort 选项一起包括在内作为 Set-ADFSProperties cmdlet 的一部分,来指定非默认端口号。 例如,若要配置这些端口,请在联合身份验证服务器计算机上的 Windows PowerShell 会话中使用以下命令:
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81配置联合身份验证服务器代理以使用非默认端口。
若要执行此操作,请将非默认端口号与 HttpsPort 和 HttpPort 选项一起包括在内作为 Set-ADFSProxyProperties cmdlet 的一部分,来指定非默认端口号。 例如,若要配置这些端口,请在联合身份验证服务器计算机上的 Windows PowerShell 会话中使用以下命令:
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81注意
默认情况下,没有为联合身份验证服务器代理服务启用终结点 URL。 如果要配置新的联合身份验证服务器安装,则必须首先启用联合身份验证服务器代理服务终结点。 例如,对于此过程中的示例所引用的所有终结点,假定你已为代理启用了它们,方法是在“AD FS 管理”管理单元中将其选中,然后选择“在代理上启用”。
更新联合身份验证服务器代理上的 IIS 安装,以便将安全声明标记语言 (SAML) 和 WS 信任终结点配置为反映已更新的端口号。 若要执行此操作,可以使用记事本来修改 Web.config 文件中(该文件位于联合身份验证服务器代理计算机上的 systemdrive%\inetpub\adfs\ls\ 中)的以下部分。 例如,假设你的联合身份验证服务器名为 sts1.contoso.com,并且新的端口号是 444,请在联合身份验证服务器代理计算机上浏览到 Web.config 文件所在的位置并使用记事本将其打开、找到以下部分、修改下面突出显示的端口号,然后保存并退出记事本。
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />将联合身份验证服务器代理服务的用户帐户添加到相关终结点 URL 的访问控制列表 (ACL) 中。 例如,如果端口号是 1234,并且用于运行 AD FS 联合身份验证服务器代理服务的用户帐户是内置的网络服务帐户,则在命令提示符下键入以下命令:
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"上述命令必须在联合身份验证服务器和联合身份验证服务器代理计算机上运行。