建立基于Windows活动目录的联合认证服务

概要

Active Directory 联合身份验证服务 (AD FS) 可跨安全和企业边界安全地共享数字标识和权利权限,从而实现联合身份和访问管理。 AD FS 扩展了使用单个安全或企业边界内提供给面向 Internet 的应用程序的单一登录功能的功能,使客户、合作伙伴和供应商可以在访问组织中基于 web 的应用程序时简化用户体验。
前述为官方的表述,其实简单描述就是将私有环境内的AD账户服务同外界的公共服务服务账号相打通,实现使用本地AD认证来访问其他组织或者服务商的服务,以减少认证环节,实现对第三方账户使用的管理、审计和快捷使用。

配置信息

版本要求

  1. 域控主机使用 Windows Server 2016
  2. 联合认证ad-fs 版本为4.0
  3. 证书使用MMC方式申请

网络主机

  1. 域控主机地址: ExampleAD 172.29.0.99
  2. 联合认证主机: ExampADFS 172.29.0.100
  3. 使用客户端: ExampleCL 172.29.0.103

注意事项

1、DNS解析记录:
a) 主机名为 exampleadfs 需要新建一个额外的名称为fs的A记录指向ad-fs服务所在主机,并为这个A记录建立名称为enterpriseregistration的CNAME记录;
b) certauth.fs.example.com不需要建立DNS记录
2、域的操作:
a) Enable the IDPInitiatedSignonPage
Set-AdfsProperties -EnableIdPInitiatedSignonPage:$true
Set-AdfsProperties -EnableRelayStateForIdpInitiatedSignOn:$true
b) 设置KDS根密钥需执行如下操作:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

参考记录

  1. https://social.technet.microsoft.com/wiki/contents/articles/34162.ad-fs-4-0-discover-setup-and-publish-application-part1.aspx
  2. https://blog.51cto.com/gaowenlong/1920117
  3. https://blog.51cto.com/13781144/2486909

实施

域的部署






建立CA












申请证书








安装FS














客户端访问