使用 WID 和代理的联合服务器场
此 Active Directory 联合身份验证服务 (AD FS) 的部署拓扑与使用 Windows 内部数据库 (WID) 的联合服务器场拓扑相同,但它将联合服务器代理添加到外围网络以支持外部用户。 联合服务器代理将来自企业网络外部的客户端身份验证请求重定向到联合服务器场。
部署注意事项
本部分介绍与此部署拓扑关联的预期受众、优势和限制的各种注意事项。
哪些用户应使用本拓扑?
配置了 100 个或更少信任关系的组织,需要为其内部用户和外部用户(登录到实际位于企业网络外部的计算机)提供对联合应用程序或服务的单一登录 (SSO) 访问权限
需要为其内部用户和外部用户提供对 Microsoft Office 365 的 SSO 访问的组织
具有外部用户并需要冗余、可缩放服务的小型组织
使用此拓扑有什么好处?
- 与使用 WID 的联合服务器场拓扑所列出的优势相同,另外还有为外部用户提供其他访问权限的好处
使用此拓扑有什么限制?
- 与使用 WID 的联合服务器场拓扑所列出的限制相同
服务器放置和网络布局建议
若要部署此拓扑,除了添加两个联合服务器代理外,必须确保外围网络还可以提供对域名系统 (DNS) 服务器和第二台网络负载均衡 (NLB) 主机的访问权限。 第二台 NLB 主机必须配置有一个 NLB 群集,此群集使用可通过 Internet 访问的群集 IP 地址,并且必须使用与你在企业网络 (fs.fabrikam.com) 上配置的前一 NLB 群集相同的群集 DNS 名称设置。 还应为联合服务器代理配置可通过 Internet 访问的 IP 地址。
下图显示了前面所述的使用 WID 的现有联合服务器场拓扑,以及虚构的 Fabrikam, Inc. 公司如何提供对外围 DNS 服务器的访问权限,添加具有相同群集 DNS 名称 (fs.fabrikam.com) 的第二台 NLB 主机,并将两个联合服务器代理(fsp1 和 fsp2)添加到外围网络。
有关如何配置网络环境以用于联合服务器或联合服务器代理的详细信息,请参阅联合服务器的名称解析要求或联合服务器代理的名称解析要求。