安全性 - 使用ADFS跨组织验证用户

接下来的步骤是通过选中“添加或删除程序”中的“联合身份验证服务”复选 框来安装 ADFS。系统会提示您启用 ASP.NET，这也是 ADFS 正常工作所必需的。安装完成之后，可通过 Active Directory 联合身份验证服务管理单元来修改联合身份验证服务终结点（联合身份验证服务的 URL）和 URI（联合身份验证服务的唯一名称）。

现在可以添加 ADAM 帐户存储了。操作方法是：右键单击“帐户存储”并选择“新建 ”。向导会询问 ADAM 服务器名称、URI（代表 ADAM 存储的唯一名称）、搜索库可分辨的名称（用 户帐户的位置），以及用于用户名的轻型目录访问协议 (LDAP) 属性（通常使用 userPrincipalName 属 性）。

声明是 ADFS 在验证用户之后存储在用户安全令牌中的用户属性。组声明表示特定组内的成员身份。 如果 ADAM 帐户存储中的某个用户帐户指出该用户是 Musicians 组的成员，那么 A. Datum 的 ADFS 服 务器就会在该用户的安全令牌中放置组声明 Musicians。在 Active Directory 联合身份验证服务管理单 元中，右键单击“组织声明”并选择“新建组织声明”。这将启动一个向导，让您 选择声明的类型（组声明）并提供名称 (Musicians)。

通过创建组声明提取，可将 ADAM Musicians 组与刚创建的 Musicians 组声明联系起来。操作方法是 ：右键单击帐户存储并选择“新建组声明提取”。您将在这里指定代表组成员身份的 LDAP 属 性。例如，您可以指定属性 memberof 和组 CN=Musicians、CN=Users、DC=adamstore、DC=com。您还将 从一个下拉列表中选择刚创建的 Musicians 组声明。最后，要使 ADFS 服务能够意识到它将为其提供身 份验证的应用程序，只需在 ADFS 管理单元中选择“新应用程序”并提供应用程序的 URL。

配置 IIS 服务器和应用程序

对于声明感知应用程序来说，只需对承载该应用程序的 IIS 服务器稍加配置。首先，需要在 IIS 服 务器上安装服务器身份验证证书。这可以通过再次使用 IIS 6 资源工具包中的 SelfSSL 来完成。接下来 ，应该在“添加/删除 Windows 组件”中安装声明感知代理。最后，配置该应用程序以使用 ADFS 进行身份验证。对于声明感知应用程序（为使用 ADFS 进行身份验证而构建的应用程序）来说，与 ADFS 相关的所有配置都会在该应用程序的 web.config 文件中完成。图 3 显示了 A. Datum 的音乐共享 应用程序中的 web.config 文件。

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!