安裝ADFS (Active Directory Federation Services)

1. 在 AD-1以系統管理員身分開啟Powershell, 輸入 Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10)), 此指令建立 Microsoft群組金鑰分發服務根金鑰, 以便為稍後使用的帳號產生群組託管服務帳號(gMSA)密碼, 且收到一個全域唯一識別碼(GUID)作為對此指令的回應

若無預先執行上面指令, 則在 ADFS安裝完後設定時會出現錯誤而無法繼續

2. 在 AD-1開啟新增角色及功能

w-studio.idv.tw

3. 選擇 AD-1的主機

4. 伺服器角色勾選 Active Directory Federation Services

5. 功能, 略過

6. 說明 Active Directory 同盟服務(ADFS)

w-studio.idv.tw

7. 確認安裝 Active Directory Federation Services

8. 完成初步安裝, 需再設定才能使用 ADFS

9. 開啟伺服器管理員, 點擊旗桿圖示的驚嘆號連結, 繼續設定 ADFS

10. 開啟 ADFS設定精靈, 選擇建立第一部同盟伺服器

11. AD網域系統管理員使用預設值

12. 設定 SSL憑證, 使用前面所設定 adfs.wey.com的憑證

13. 建立群組受管理的服務帳戶, 輸入 ADFSService

14. 設定 ADFS儲存的資料庫, 選擇 Windows內部資料庫(WID), 如有架設 SQL Server則可選擇儲存至 SQL Server

15. 確認所有設定

16. 先決條件檢查, 如通過檢查則可按下「設定」繼續

w-studio.idv.tw

17. 完成設定 ADFS

18. 開啟瀏覽器, 網址輸入 https://adfs.wey.com/federationmetadata/2007-06/federationmetadata.xml 驗證 ADFS功能

19. 因為出現沒有編排過的畫面, 此時可以開啟瀏覽器設定, 在「安全性」標籤下選擇近端內部網路, 按下「網站」

20. 在近端內部網路的設定中, 按下「進階」

21. 新增欄位內出現的網站網址到區域

22. 完成近端內部網路設定

23. 再回到瀏覽器, 這時即能正常顯示 XML格式的內容

24. 開啟 ADFS管理員

25. 點擊「宣告提供者信任」, 在中間 AD處按右鍵選擇編輯宣告規則

26. 開啟編輯 AD宣告規則, 按下新增規則

27. 規則範本類型, 選擇「以宣告方式傳送LDAP屬性」

28. 接著設定宣告規則名稱、屬性存放區及 LDAP屬性與傳出宣告類型的對應

29. 輸入好規則名稱, 屬性存放於 AD, 下方對應處選擇 E-mail、UPN及名稱

w-studio.idv.tw

30. 完成宣告規則設定