本文为系列第三章,主要讲下ADFS3.0的安装和配置。本文和前面的文章是一个系列,因此有些地方是有前后关联,比如本文中使用的通配符证书就是第二篇讲解的,因此需要连贯的进行阅读。
全文目录如下:
实战:ADFS3.0单点登录系列-自定义ADFS样式
实战:ADFS3.0单点登录系列-问题汇总
一 ADFS3.0安装
1.打开“添加角色和功能安装向导”,并选择Active Directory Federation Services,其他都默认,完成安装。
2.等待安装完成,点击“在此服务器上配置联合身份认证服务”,开始ADFS3.0的配置。
二 ADFS3.0配置
1.配置向导,选择”在联合服务器场中创建第一个联合服务器“
2.配置账户用于连接域,注意,该账户需具有域管理员权限
3.指定服务属性,证书选择上一篇中创建并导入到“个人”中的通配符证书,名称修改一下,这里我修改为sts.domain.com的形式,联合服务器名称这里可以随意填写,后面会介绍如何对其进行修改。
4.指定服务账户,选择使用现有账户
5.配置数据库,这里有两个选项,一个是WID,即内置数据库或独立的SQL数据库,关于这两者的区别,简单描述就是前者适用于测试环境或实验室环境。后者用于生产。我这里选择WID来进行配置存储。
6.等待配置完成
三.验证是否成功安装配置
有两种方法可以验证
- 打开浏览器窗口,在地址栏中键入联合身份验证服务名称,然后,在该名称的后面附加 federationmetadata/2007-06/federationmetadata.xml,以浏览到联合身份验证服务元数据终结点。例如:
https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
你应该会看到联合服务器元数据。 如果你尚未将 SSL 证书的根 CA 证书导入到客户端计算机上由本地计算机信任的根证书存储中,则可能会看到 SSL 错误或警告。
2.也可以浏览到 AD FS 登录页(联合身份验证服务名称后接 adfs/ls/idpinitiatedsignon.htm)。例如:
https://fs.contoso.com/adfs/ls/idpinitiatedsignon.htm
这样便会显示 AD FS 登录页,你可以在其中使用域管理员凭据登录。
例如,使用第二种方式进行验证
如果出现上述界面,说明整个ADFS3.0的安装和配置是成功的。
补充说明,由于ADFS3.0不能使用IP进行访问(尝试未成功),只能使用域名访问,因此需要我们在域控制器的DNS管理器上进行配置,具体如何配置这里就不赘述了,简单来说就是新建区域,新建A记录。