一,ADFS安裝教程
教程鏈接(包含安裝和配置兩個步驟):
https://www.virtuallyboring.com/how-to-setup-microsoft-active-directory-federation-services-adfs/
注意事項:
1,ADFS依賴域環境,即Active Directory Domain Services (AD DS),需要加入域中!否則ADFS無法與AD通信。
2,配置階段的證書選擇,SSL可以使用泛域名證書,例如"*.mycompany.com",這時ADFS的服務名稱(Federation Service Name)可以定義為adfs.mycompany.com或者sso.mycompany.com等等,且子域名可以正常解析(配置內網DNS去配置解析)。
如果使用“sso.mycompany.com”子域名SSL證書,ADFS的服務名稱(Federation Service Name)必須一致,即“sso.mycompany.com”!
如果使用自簽名證書,證書(sso.company.local)必須與SSL服務名稱(必須是sso.company.local)保持一致。
3,安裝並配置完畢后,先進行內網測試(因為是內網DNS) https://sso.mycompany.com/adfs/ls/idpinitiatedSignOn.aspx
如果無法訪問,使用powershell,
--查看是否啟用
_>(Get-AdfsProperties).EnableIdPInitiatedSignonPage
如果返回“false”,進行啟用
_>Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
--如何查詢ADFS版本?
ADFS powershell參考
https://docs.microsoft.com/en-us/powershell/module/adfs/?view=win10-ps
二,ADFS代理(Web Application Proxy)安裝教程
包含代理的安裝、配置(連接ADFS)、發布(對外提供服務)三個步驟
注意事項:
ADFS位於內網,通常為安全起見,不會公開到外網供客戶訪問,一般是通過ADFS代理進行間接通信。
1,ADFS和代理不要部署到同一台服務器!
2,代理不用加域!但是需要能訪問到ADFS服務器!(如果是內網域名,可以編輯 system32/ect/host文件,添加對adfs服務的的解析)
3,配置階段,選擇ADFS的簽名證書。假如ADFS采用了自簽名證書,需要提前把證書安裝到代理所在的服務器上,並安裝到“受信任的證書頒發機構”下面
發布階段,選擇ADFS代理對外提供的域名證書,也可以使用ADFS一樣的證書,但是必須是公網證書(可公網解析的域名需要申請公網證書,例如sina.com)
4,因為是SSL通信,需要通過域名進行訪問!因此要配置外網DNS指向此服務器,(示例域名 https://sso.mycompany.com)
5,配置連接ADFS時,使用的賬戶是ADFS所在服務器的本地賬戶,非域賬戶
6,發布完畢后,外網測試(非公司內網,此時訪問的是代理服務器)
https://sso.mycompany.com/adfs/ls/idpinitiatedSignOn.aspx