Стъпка 1: Създаване на домейн контролера (DC1)
За целите на тази тестова среда може да се нарече основен домейн Active Directory contoso.com и изберете ** пас @ word1 ** като администратор парола.
Създаване на потребителски акаунти Активни тестови Directory
След домейн контролера става функционална, можете да създадете тестова група и тест потребителски акаунти в тази област, както и добавяне на потребителски акаунт в група сметка. Тези сметки се използват за извършване на инструкции стъпка по стъпка към съответните ръководства, изброени по-горе в този раздел.
Създаване на следните сметки:
Потребител: Робърт Хатли със следните идентификационни данни: потребителско име: RobertH и парола: P @ ssword
Създаване на група от управлявани профили
За създаване на група за управление на профилите
Отворете командата Windows PowerShell и въведете:
Стъпка 2: Създаване на федерация сървър (ADFS1) с помощта на устройства за регистрация на услуги
Инсталиране на сървър с SSL сертификат
Трябва да инсталирате сертификат на сървър Secure Socket Layer на (SSL) на ADFS1 сървъра на локалния компютър магазина. Сертификатът трябва да има следните характеристики:
Името на обект (CN): adfs1.contoso.com
Алтернативно име на субекта (DNS): adfs1.contoso.com
Тема алтернативно наименование (DNS): enterpriseregistration.contoso.com
Как да инсталираме АД FS сървър
За да инсталирате Роля служба федерация Service
Влезте в сървъра с помощта [email protected] администратор на домейн сметка.
Започнете Server Manager. За да започнете да Server Manager, кликнете върху бутона Server Manager на началния екран на Windows, или върху Server Manager в лентата на задачите на Windows върху работния плот на Windows. На Launch лента на раздела за поздрав монитор Бързо, кликнете върху Добавяне на роли и функции. В допълнение, можете да кликнете върху Добавяне на роли и функции на управление на менюто.
На Изберете вида на инсталацията, щракнете върху Install основава на роли или функции. и след това щракнете върху Напред.
На Изберете дестинация сървър, щракнете, за да изберете сървъра, от басейна на сървъра. Необходимо е да изберете целевия компютър и кликнете Next.
На Изберете роли на сървъра, кликнете на Active Directory Федерация услуги. и след това щракнете върху Напред.
На Изберете компонентите, щракнете върху Next.
На Directory Федерация Услугите Active (AD FS), щракнете върху Next.
След проверка на информацията за потвърждаване на избраните елементи, за да инсталирате, изберете автоматичното рестартиране на терминален сървър, ако искате да проверите кутия и натиснете Install.
На процеса на инсталацията. уверете, че всичко е настроен правилно, а след това щракнете върху Затвори.
Конфигуриране федерация на сървъра
Следващата стъпка - Създаване на федерация сървър.
Конфигуриране федерация на сървъра
Сървър за наблюдение, кликнете на уведомлението. и натиснете, за да изберете услугата към сървъра на федерация.
Сертификат Active Directory за конфигурация Wizard Федерация Услуги отваря.
На Welcome изберете да създадете първата федерация сървъра във фермата на федерацията сървъри. и след това щракнете върху Напред.
Включено, за да се свържете с AD DS, уточни сметка като администратор на домейн за contoso.com, този компютър е присъединена към домейн Active Directory, а след това щракнете върху Напред.
На страницата укажете свойствата на услугата, направете следното и натиснете Next:
Сертификат за внос на SSL, което сте получили по-рано. Този сертификат е необходимо удостоверяване сертификат услуга. Отидете до местоположението на SSL сертификат.
За да въведете име за вашата услуга федерация, въведете adfs1.contoso.com. Тази стойност има същото значение, както това е предвидено в сертификата за SSL на регистрация в Активни Сертификат Directory Services (AD CS).
За да посочите име на дисплея за обслужване федерация, тип Contoso Corporation.
На сметката на имейл, за да използвате услугата, изберете съществуващ потребител на домейн или сметка група управлявана услуга сметка. и след това определете GMSA fsgmsa сметка. създаден при създаването на домейн контролера.
На изберете базата данни за конфигурация, изберете да се създаде база данни на този сървър, използвайки Windows Internal база данни. и след това щракнете върху Напред.
По предварителни проверки, се уверете, че всички предварителни проверки са преминали успешно и след това кликнете върху бутона Settings.
Създаване устройства регистрация за услуги
Отворете командата Windows PowerShell и въведете:
Когато услугата сметка промпт въведете Contoso \ fsgmsa $.
Сега тече Windows PowerShell кратката команда.
На ADFS1 сървъра в конзолата за управление на АД FS, отидете на политиките на директория за удостоверяване. Изберете Edit глобалното първично удостоверяване. Поставете отметка в квадратчето до Активиране на устройство за идентификация. и след това щракнете върху OK.
Добавянето на възел (A) и ресурси за влизане псевдоним (CNAME) в DNS
Най-DC1 е необходимо да се гарантира, че регистрацията на услуги за устройството, за да се създадат следните записи на имена на домейни (DNS).
Можете да използвате следната процедура, за да добавите възел ресурс запис (A) на името на DNS сървърите на корпоративни за сървъра и регистриране устройства федерация услуги.
Добавянето на възел (A) и ресурси за влизане псевдоним (CNAME) към DNS сървъра федерация на
На DC1, от Server Manager в менюто Инструменти, щракнете върху DNS, за да отворите DNS Самофиксиращи.
Името, въведете името на фермата АД FS. За тази репетиция, въведете adfs1.
Щракнете с десния бутон contoso.com. и след това щракнете върху New Alias (CNAME).
Новият диалогов рекорд кутия ресурс, въведете псевдоним enterpriseregistration в областта.
Въведете името на напълно квалифициран домейн (FQDN) на полето на възел цел, adfs1.contoso.com. и след това щракнете върху OK.
В реално разгръщане Ако компанията на няколко наставки UPN (UPN), то трябва да създадете няколко CNAME записи, по един за всяка от тези наставки в DNS.
Стъпка 3: Създаване на уеб сървър (WebServ1) и проба заявление на базата на претенциите
За да завършите Запознай изброени по-горе в този раздел, трябва да имате заявление по образец, който се предоставя от вашия сървър (ADFS1) федерация.
Следвайте тези стъпки, за да инсталирате уеб сървър с прилагането на извадката въз основа на отчети за изпълнение.
забележка
Инсталиране на уеб сървър, и Фондация Windows идентичност
забележка
В Server Manager, за стартиране на бара Добре дошли в раздела Табло за бързо, кликнете върху Добавяне на роли и функции. В допълнение, можете да кликнете върху Добавяне на роли и функции на управление на менюто.
На Изберете вида на инсталацията, щракнете върху Install основава на роли или функции. и след това щракнете върху Напред.
На Изберете дестинация сървър, щракнете, за да изберете сървъра, от басейна на сървъра. Необходимо е да изберете целевия компютър и кликнете Next.
На страницата Изберете сървър Роли, поставете отметка в квадратчето до точка (IIS) уеб сървър. кликнете върху Добавяне на функции. и след това щракнете върху Напред.
На изберете компонентите, изберете Windows Identity Foundation 3.5. и след това щракнете върху Напред.
На Изберете Ролеви Услугите, изберете и разширяване на развитието на кандидатстване. Изберете ASP.NET 3.5. кликнете върху Добавяне на функции. и след това щракнете върху Напред.
Инсталиране на Windows Identity Foundation SDK
Създаване твърдения заявление образец в IIS
Инсталирайте валиден сертификат SSL в магазина на компютъра сертификат. Сертификатът трябва да съдържа името на уеб сървъра, webserv1.contoso.com.
Копирайте съдържанието на C: \ Program Files (x86) \ Windows \ Идентичност Фондация SDK v3.5 \ Проби \ Quick Start \ Web Application \ PassiveRedirectBasedClaimsAwareWebApp C: \ Inetpub \ Claimapp.
Променете Default.aspx.cs файл Филтър твърдения не е извършена. Тази стъпка е да се гарантира, че в примера приложение показва всички изявленията на обединения сървър. Следвайте стъпките по-долу.
Намерете файла за втория случай на ExpectedClaims.
Сега Вашият FOREACH следва да изглежда по следния примерен код.
Запазване и затваряне Default.aspx.cs.
премахнете напълно
Запазване и затваряне на web.config.
Създаване Мениджър Мениджър IIS
Отворете Internet Information Services (IIS) Manager.
Отиди на кандидатстване басейни. Щракнете с десния бутон, за да изберете DefaultAppPool Разширени настройки. Попитайте потребителското натоварване профил за True. и след това щракнете върху OK.
Щракнете с десния бутон, за да изберете DefaultAppPool на основните настройки. Смяна на версия на .NET CLR за версия v2.0.50727 на .NET CLR.
Щракнете с десния бутон по подразбиране уеб сайт, за да изберете Edit автомати.
Добави HTTPS свързват с порт 443 за SSL сертификат, на която тя е създадена.
Щракнете с десния бутон уеб сайт по подразбиране, за да добавите приложение, за да изберете.
Попитайте за ClaimApp псевдоним и физически пътя до C: \ Inetpub \ claimapp.
За да конфигурирате claimapp да работи с обединения сървър, изпълнете следните стъпки:
Започнете FedUtil.exe, който се намира в C: \ Program Files (x86) \ Windows Identity Foundation SDK \ v3.5.
Изберете Изключване на проверката по веригата на сертификат. и след това щракнете върху Напред.
Изберете без криптиране. и след това щракнете върху Напред. По предложените отчети, кликнете Next.
Поставете отметка в квадратчето, за да планирате работа, за да се изпълнява ежедневно актуализации метаданни WS-федерация. Кликнете върху Край ** **.
Създаване на отношения на доверие с разчитайки страна на сървъра на федерация
На обединения сървър (ADFS1) в конзолата АД за управление FS на. отидете на доверие разчита партията. и натиснете, за да добавите доверието към разчита партията.
На въведете име на дисплея, посочете името на дисплея на отношения на доверие с разчита партията, claimapp. и след това щракнете върху Напред.
На Създаване на мулти-фактор удостоверяване сега? ** изберете ** трябва да се използва параметъра удостоверяване мулти-фактор за това доверие отношения с разчитайки партия в момента не е. и след това щракнете върху Напред.
Завършете с добавяне на отношения на доверие, щракнете върху Next.
Промяната в правилата за диалоговия претенции, щракнете върху Добавяне на правило.
На изберете вида на правило, изберете Изпращане на отчети чрез персонализирани правила. и след това щракнете върху Напред.
Относно определяне на правила на страници отчети в изявленията Име на правилото, въведете всички твърдения. Правилата за поръчка, въведете следните твърдения правило.
Кликнете върху Край. и след това щракнете върху OK.
Стъпка 4: Конфигуриране на клиентския компютър (client1)
Създаване на друга виртуална машина и инсталиране на Windows 8.1. Тази виртуална машина трябва да е в една и съща виртуална мрежа, както и останалите машини. Тази машина не трябва да се комбинира в областта Contoso.
Клиентът трябва да се доверите на SSL сертификат, използван за обединения сървър (ADFS1), който е разположен в Стъпка 2: Създаване на федерация сървър (ADFS1) с регистрация Device Service. Също така, трябва да е възможно да се провери информацията за отнемането на сертификат.
Вижте също .:
Свързани статии