成功部署ADFS(Active Directory Federation Services)需要一系列關鍵的基礎架構組件和設定:
1. Active Directory Domain Services (ADDS)
。作用: ADDS提供用戶和電腦帳戶的身份驗證和授權服務, 是 ADFS用來儲存和管理用戶身份資訊的基礎
。設定: 需要一個或多個 Active Directory網域控制站, 並確保它們正常運行和同步
2. DNS伺服器w-studio.idv.tw
。作用: DNS負責將網域名解析為IP地址, 使網路資源可被存取, 對於 ADFS, DNS用於解析 ADFS伺服器和服務端點
。設定: 需要設定 DNS條件轉寄(Conditional Forwarders)來解決不同網域之間的名稱解析問題, 此外應設定 ADFS服務名稱的 A記錄或 CNAME記錄
3. ADFS伺服器
。作用: ADFS伺服器是提供身份同盟和單點登錄(SSO)功能的核心
。設定: 安裝和設定 ADFS角色, 並進行必要的信任關係和宣告規則設定
。作用: WAP是 ADFS的反向代理, 允許外部用戶安全地訪問內部的 ADFS服務
。設定: 安裝和設定 Web Application Proxy, 並將其與內部 ADFS伺服器整合
5. SSL憑證
。作用: SSL憑證用於加密 ADFS伺服器與用戶端之間的通信, 確保數據傳輸的安全性
。設定: 獲取並安裝受信任的SSL憑證, 設定 ADFS使用這些憑證進行安全通信
6. 屬性存放區w-studio.idv.tw
。作用: 儲存 ADFS設定資料和同盟資料庫, 對於大型部署使用 SQL Server代替內部 Windows Internal Database(WID)能提供更好的性能和可擴展性
。設定: 安裝和設定SQL Server, 並將 ADFS設定為使用 SQL Server作為其後端資料庫, 或者部署時直接使用 Windows Internal Database(WID)
7. 網路基礎設施
。作用: 支持 ADFS運行的網路環境, 包括防火牆、負載平衡和必要的網路連接
。設定: 確保防火牆開放必要的port(例如 HTTPS 的 443 port), 設定負載平衡以支持高可用性和容錯轉移
8. 信賴憑證者信任(Relying Party Trust)
。作用: 設定 ADFS與各種應用程式或服務提供者之間的信任關係
。設定: 在 ADFS控制台建立並設定信賴憑證者信任, 設定適當的宣告規則
9. 宣告規則(Claims Rules)
。作用: 宣告規則決定如何從 AD獲取用戶信息並將其轉換為 ADFS能處理的宣告
。設定: 在 ADFS控制台設定宣告規則, 以確保正確地傳遞和轉換身份信息
10. 監控和報告工具
。作用: 確保 ADFS服務的持續健康運行, 並能快速診斷和解決問題
。設定: 使用 Windows事件檢視器、效能監視器及其他監控工具來監控 ADFS的運行狀況
沒有留言:
張貼留言