Windows Server 2008 R2 中的 AD FS 循序渐进指南.doc

Windows Server 2008 R2 中的 AD FS 循序渐进指南更新时间: 2009年1月应用到: Windows Server 2008 R2Active Directory 联合身份验证服务 (AD FS) 是可以在 Windows Server 2008 R2 操作系统中安装的服务器角色。可使用 AD FS 服务器角色创建可高度扩展、可通过 Internet 升级和安全的身份访问解决方案，此解决方案可在多个平台上工作，包括 Microsoft Windows 环境和非 Windows 环境。有关 AD FS 的其他信息，请参阅 Active Directory 联合身份验证服务概述（可能为英文网页）。关于本指南本指南提供了在 Hyper-V 测试实验室中针对运行 Windows Server 2008 R2 的计算机的设置 AD FS 的说明。它介绍如何安装和测试单个声明感知应用程序。有关设置 Hyper-V 服务器的详细信息，请参阅“用 Hyper-V 虚拟化”(/fwlink/?LinkId=126326)（可能为英文网页）。可以使用本指南中的代码创建一个示例声明感知应用程序。不需要使用任何其他下载内容。本指南中的说明大概需要花费两个小时才能完成。可以使用该测试实验室环境评估 AD FS 技术以及评估如何在组织中部署该技术。当完成本指南的步骤后，您将能够： 设置四台计算机（一个客户端计算机、一个启用了 AD FS 的 Web 服务器和两台联合身份验证服务器），以参与两个虚构公司（A. Datum Corporation 和 Trey Research）之间的 AD FS 联合身份验证。 创建两个林，以用作联合用户的指定帐户存储。每个林将代表一个虚构公司。 使用 AD FS 在两个公司之间建立联合信任关系。 使用 AD FS 创建、填充和映射声明。 为一个公司的用户提供访问位于另一个公司的声明感知应用程序的联合访问权限。为尽可能成功地完成本指南中的目标，请务必执行以下所有操作： 按顺序执行本指南中的步骤。 使用指定的精确 IP 地址。 使用指定的准确计算机名、用户名、组名、公司名、声明名和域名。 如果使用虚拟化软件时失败，请尝试使用四台连接到专用网络上的单个计算机。备注 本指南中的说明假设您要配置使用 Hyper-V 的实验室，因此表示在整个实验室中保存文件的位置的驱动器号是 D: 驱动器。因此，如果决定使用四台单独的计算机，并在非虚拟化环境中运行此实验室，请确保在出现系统提示时将这些文件保存于 C: 驱动器。 Microsoft 已使用 Hyper-V 软件成功测试本指南。对这些配置详细信息所做的任何修改都可能会影响或限制首次尝试时成功设置此实验室的可能性。本指南未提供的内容本指南未提供以下内容： 安装和配置基于 Microsoft Windows NT 令牌的应用程序（如 Windows SharePoint Services 或 Microsoft Office SharePoint Portal Server 2003）以用于 AD FS 的说明 将 Microsoft Office SharePoint Server 2007 配置为声明感知应用程序的说明有关将 Office SharePoint Server 2007 配置为声明感知应用程序以用于 AD FS 的信息，请参阅“使用 ADFS 配置 Web SSO 身份验证 (Office SharePoint Server)”(/fwlink/?LinkId=84805)（可能为英文网页）。 在生产环境中设置和配置 AD FS 的指南有关如何部署或管理 AD FS 的信息，请在 Active Directory 联合身份验证服务 (/fwlink/?LinkId=133130)（可能为英文网页）上查找 AD FS 规划、部署和操作内容。 设置和配置 Microsoft 证书服务以用于 AD FS 的说明有关设置和配置 Microsoft 证书服务的信息，请参阅“Windows Server 2003 公钥基础结构”(/fwlink/?LinkId=19936)（可能为英文网页）。 设置和配置联合身份验证服务器代理的说明备注 联合身份验证服务器包括联合身份验证服务器代理角色的功能。例如，联合身份验证服务器可执行客户端身份验证、主领域发现和注销。 Windows Server 2008 R2 中的 AD FS 的要求若要完成本指南中的这些步骤，必须配置四台使用以下操作系统的测试计算机： Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter，用于联合身份验证服务器 Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise 或 Windows Server 2008 R2 Datacenter，用于启用了 AD FS 的 Web 服务器 Windows 7，用于 AD FS 客户端计算机。步骤 1：预安装任务更新时间: 2009年1月应用到: Windows Server 2008 R2在安装 Active Directory 联合身份验证服务 (AD FS) 之前，请先对将用于评估 AD FS 技术的四个主要虚拟机 (VM) 进行设置。预安装任务包括以下内容： 配置计算机操作系统和网络设置 安装并配置 AD DS 安全性备注 在生产环境中，使用执行必要任务所需的最低权限用户帐户。由于本指南是为在测试环境中使用而编写，因此在许多过程中，会指导您使用本地和域管理员帐户来减少所需步骤的数量。 查看有关使用适当帐户和组成员关系的详细信息，请访问本地默认组和域默认组 (/fwlink/?LinkId=83477)（可能为英文链接）。 管理凭据 若要执行本步骤中的所有任务，请使用本地 Administrator 帐户逐个登录这四台计算机。若要在 Active Directory 域服务 (AD DS) 中创建帐户，请使用域的 Administrator 帐户进行登录。配置计算机操作系统和网络设置参照下表设置完成本指南中步骤所需的适当计算机名称、操作系统和网络设置。重要事项 在将计算机配置为使用静态 IP 地址之前，建议先执行以下操作： 配置三台新的可用内存至少为 512 MB 的虚拟机。 在每台计算机尚可连接到 Internet 时完成 Windows 7 和 Windows Server 2008 R2 的产品激活过程。 确保每台计算机上的所有时钟都设置为同一时间或彼此相差不超过五分钟。确保令牌时间戳始终有效，这一点很重要。计算机名称 AD FS 客户端/服务器角色 操作系统要求 IPv4 设置 DNS 设置 adfsclient客户端Windows 7 IP 地址：子网掩码：首选：备用：adfswebWeb 服务器Windows Server 2008 R2 Standard 或者Windows Server 2008 R2 Enterprise IP 地址：子网掩码：首选：adfsaccount联合身份验证服务器和域控制器Windows Server 2008 R2 Enterprise IP 地址：子网掩码：首选：adfsresource联合身份验证服务器和域控制器Windows Server 2008 R2 Enterprise IP 地址：子网掩码：首选：务必在客户端上分别设置首选和备用域名系统 (DNS) 服务器这两项设置。如果未按指定要求配置这两种类型的值，则 AD FS 方案将无法正常运行。安装并配置 AD DS本节包括以下过程： 安装 AD DS 创建帐户 将测试计算机加入相应的域 安装 AD DS可以使用添加角色向导分别在两个联合身份验证服务器上新建一个 AD DS 林。在向导页中键入值时，请使用下表中的公司名称和 AD DS 域名。若要启动添加角色向导，请依次单击开始、“管理工具”、“服务器管理器”，然后单击右侧窗格中的“添加角色”。重要事项 在尝试安装 AD DS 之前，请先按照上表中的指定要求配置 IP 地址。这有助于确保适当配置 DNS 记录。 作为最佳安全操作，在生产环境下不要将域控制器同时作为联合身份验证服务器和域控制器运行。计算机名称 公司名称 AD DS 域名 （新林） DNS 配置 adfsaccountA. Datum C在出现系统提示时安装 DNS。adfsresourceTrey R在出现系统提示时安装 DNS。在本指南中，A. Datum 代表帐户伙伴组织，Trey Research 代表资源伙伴组织。创建帐户设置了两个林后，启动“Active Directory 用户和计算机”管理单元，以创建某些可用于测试和验证跨这两个林进行联合访问的帐户。在 adfsaccount 计算机上配置下表中的值。要创建的对象 名称 用户名 操作 安全全局组TreyClaimAppUsers不适用不适用用户Alan Shenalansh（alansh 充当将要访问声明感知应用程序的联合用户。）使 alansh 成为 TreyClaimAppUsers 全局组的成员将测试计算机加入相应的域使用下表中的值来指定哪些计算机将加入哪个域。在 adfsclient 和 adfsweb 计算机上执行此操作。备注 可能必须对这两个域控制器禁用防火墙，才能将以下计算机加入相应的域。 计算机名称 加入 步骤 2：安装 AD FS 角色服务并配置证书更新时间: 2009年1月应用到: Windows Server 2008 R2此时您已完成计算机配置并将其加入到域中，现在即可在每台服务器上安装 Active Directory 联合身份验证服务 (AD FS) 角色服务。此步骤包括以下过程： 安装联合身份验证服务 配置两个联合身份验证服务器上的 IIS 以要求 SSL 安装 AD FS Web 代理 创建、导出和导入证书 管理凭据 若要执行本步骤中的所有过程，请使用域的 Administrator 帐户登录到 adfsaccount 计算机和 adfsresource 计算机。使用本地 Administrator 帐户登录到 adfsweb 计算机。安装联合身份验证服务按照下面的过程在 adfsaccount 计算机和 adfsresource 计算机上安装 AD FS 的联合身份验证服务组件。在计算机上安装联合身份验证服务后，该计算机就成了联合身份验证服务器。此联合身份验证服务安装过程将引导您完成为每台联合身份验证服务器新建信任策略文件、自签名安全套接字层 (SSL) 证书和令牌签名证书的过程。安装联合身份验证服务的步骤1. 单击开始，指向“管理工具”，然后单击“服务器管理器”。2. 右键单击“角色”，然后单击“添加角色”以启动添加角色向导。3. 在“开始之前”页上，单击“下一步”。4. 在“选择服务器角色”页上，单击“Active Directory 联合身份验证服务”。单击两次“下一步”。5. 在“选择角色服务”页上，选中“联合身份验证服务”复选框。如果提示您安装其他 Web 服务器 (IIS) 或 Windows 进程激活服务角色服务，则单击“添加必需的角色服务”安装它们，然后单击“下一步”。6. 在“选择 SSL 加密的服务器身份验证证书”页上，单击“为 SSL 加密创建自签名证书”，然后单击“下一步”。7. 在“选择令牌签名证书”页上，单击“创建自签名令牌签名证书”，然后单击“下一步”。8. 在“选择信任策略”页上，单击“新建信任策略”，然后单击“下一步”两次。9. 在“选择角色服务”页上，单击“下一步”以接受默认值。10. 验证“确认安装选择”页上的信息，然后单击“安装”。11. 在“安装结果”页上，确认所有内容均已正确安装，然后单击“关闭”。配置两个联合身份验证服务器上的 IIS 以要求 SSL按照下面的过程将 adfsresource 和 adfsaccount 这两个联合身份验证服务器默认网站的 Internet 信息服务 (IIS) 配置为要求 SSL。配置 adfsaccount 服务器上的 IIS 的步骤1. 单击开始，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 在控制台树中，依次双击 ADFSACCOUNT 和“站点”，然后单击“默认网站”。3. 在“操作”窗格中，单击“绑定”。4. 在“站点绑定”对话框中，单击“添加”。5. 在“类型”中，单击 https。6. 在“SSL 证书”下，依次单击 、“确定”和“关闭”。7. 在中心窗格中，双击“SSL 设置”，然后选中“要求 SSL”复选框。8. 在“客户端证书”下，单击“接受”，然后单击“应用”。配置 adfsresource 服务器上的 IIS 的步骤1. 单击开始，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 在控制台树中，依次双击 ADFSRESOURCE 和“站点”，然后单击“默认网站”。3. 在中心窗格中，双击“SSL 设置”，然后选中“要求 SSL”复选框。4. 在“客户端证书”下，单击“接受”，然后单击“应用”。安装 AD FS Web 代理按照下面的过程在 Web 服务器 (adfsweb) 上安装声明感知 Web 代理。安装 AD FS Web 代理的步骤1. 单击开始，指向“管理工具”，然后单击“服务器管理器”。2. 右键单击“角色”，然后单击“添加角色”以启动添加角色向导。3. 在“开始之前”页上，单击“下一步”。4. 在“选择服务器角色”页上，单击“Active Directory 联合身份验证服务”。单击两次“下一步”。5. 在“选择角色服务”页上，选中“声明感知代理”复选框。如果提示您安装其他 Web 服务器 (IIS) 或 Windows 进程激活服务角色服务，则单击“添加必需的角色服务”安装它们，然后单击“下一步”。6. 在“Web 服务器(IIS)”页上，单击“下一步”。7. 在“选择角色服务”页上，除预先选中的复选框以外，还要选中“客户端证书映射身份验证”和“IIS 管理控制台”复选框，然后单击“下一步”。如果选中“客户端证书映射身份验证”复选框，系统将安装在创建自签名服务器所要求的身份验证证书时 IIS 必须具有的组件。8. 在验证了“确认安装选择”页上的信息后，单击“安装”。9. 在“安装结果”页上，确认所有内容均已正确安装，然后单击“关闭”。创建、导出和导入证书Web 服务器和联合身份验证服务器设置成功最重要的因素是正确创建并导出所需证书。因为之前使用添加角色向导已为两个联合身份验证服务器创建了服务器身份验证证书，所以此时只需为 adfsweb 计算机创建服务器身份验证证书。本节包括以下过程： 为 adfsweb 创建服务器身份验证证书 将 adfsaccount 中的令牌签名证书导出到文件 将 adfsresource 服务器身份验证证书导出到文件 将 adfsresource 的服务器身份验证证书导入 adfsweb 备注 在生产环境下，应从证书颁发机构 (CA) 获取证书。在本指南中为了测试实验部署，将使用自签名证书。 为 adfsweb 创建服务器身份验证证书按照下面的过程在 Web 服务器 (adfsweb) 上创建自签名服务器身份验证证书。为 adfsweb 创建服务器身份验证证书的步骤1. 单击开始，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 在控制台树中，单击 ADFSWEB。3. 在中心窗格中，双击“服务器证书”。4. 在“操作”窗格中，单击“创建自签名证书”。5. 在“创建自签名证书”对话框中，键入 adfsweb，然后单击“确定”。将 adfsaccount 中的令牌签名证书导出到文件按照下面的过程在帐户联合服务器 (adfsaccount) 上将 adfsaccount 中的令牌签名证书导出到文件。将 adfsaccount 中的令牌签名证书导出到文件的步骤1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 右键单击“联合身份验证服务”，然后单击“属性”。3. 在“常规”选项卡上，单击“查看”。4. 在“详细信息”选项卡上，单击“复制到文件”。5. 在“欢迎使用证书导出向导”页上，单击“下一步”。6. 在“导出私钥”页上，单击“否，不导出私钥”，然后单击“下一步”。7. 在“导出文件格式”页上，单击“DER 编码二进制 X.509 (.CER)”，然后单击“下一步”。8. 在“要导出的文件”页上，键入 d:adfsaccount_ts.cer，然后单击“下一步”。备注 稍后当帐户伙伴向导提示您提供帐户伙伴验证证书时，将 adfsaccount 令牌签名证书导入 adfsresource。（请参阅步骤 4：配置联合服务器。）此时，将通过网络访问 adfsresource 来获取此文件。 9. 在“完成证书导出向导”上，单击“完成”。将 adfsresource 服务器身份验证证书导出到文件仅当 Web 服务器 (adfsweb) 信任资源联合身份验证服务器 (adfsresource) 的根证书时，资源联合身份验证服务器和 Web 服务器之间才能正常通信。备注 因为默认情况下会启用证书吊销列表 (CRL) 检查，所以 Web 服务器必须信任资源联合身份验证服务器的根证书。可以通过禁用 CRL 检查来删除此依赖关系，但在本指南未介绍禁用 CRL 检查的过程。禁用 CRL 检查可能会破坏 AD FS 的完整性。因此，在生产环境下建议不要这么做。有关如何禁用 CRL 检查的详细信息，请参阅“启用或禁用 CRL 检查”(/fwlink/?LinkId=68608)（可能为英文网页）。 由于在本指南介绍的方案中使用的是自签名证书，因此服务器身份验证证书是根证书。因此，必须通过将资源联合服务器 (adfsresource) 身份验证证书导出到文件，然后将该文件导入 Web 服务器 (adfsweb) 来建立此信任关系。若要将 adfsresource 服务器身份验证证书导出到文件，请在 adfsresource 上执行下面的过程。将 adfsresource 服务器身份验证证书导出到文件的步骤1. 单击开始，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 在控制台树中，单击 ADFSRESOURCE。3. 在中心窗格中，双击“服务器证书”。4. 在中心窗格中，右键单击 ，然后单击“导出”。5. 在“导出证书”对话框中，单击 按钮。6. 在“文件名”中，键入 d:adfsresource，然后单击“打开”。备注 在下一过程中必须将此证书导入 adfsweb。所以，需允许 adfsweb 通过网络访问此文件。 7. 为证书键入一个密码，确认该密码，然后单击“确定”。将 adfsresource 的服务器身份验证证书导入 adfsweb若要导入 adfsresource 的服务器身份验证证书，请在 Web 服务器 (adfsweb) 上执行下面的过程。将 adfsresource 的服务器身份验证证书导入 adfsweb 的步骤1. 依次单击开始、“运行”，键入 mmc，然后单击“确定”。2. 单击“文件”，然后单击“添加/删除管理单元”。3. 选择“证书”，依次单击“添加”和“计算机帐户”，然后单击“下一步”。4. 依次单击“本地计算机: (运行此控制台的计算机)”和“完成”，然后单击“确定”。5. 在控制台树中，依次双击“证书(本地计算机)”图标和“受信任的根证书颁发机构”文件夹，再右键单击“证书”，指向“所有任务”，然后单击“导入”。6. 在“欢迎使用证书导入向导”页上，单击“下一步”。7. 在“要导入的文件”页上，键入 adfsresourced$adfsresource.pfx，然后单击“下一步”。备注 可能必须映射网络驱动器才能获得 adfsresource.pfx 文件。也可以将 adfsresource.pfx 文件直接从 adfsresource 复制到 adfsweb，然后将向导指向该位置。 8. 在“密码”页上，键入 adfsresource.pfx 文件的密码，然后单击“下一步”。9. 在“证书存储”页上，单击“将所有的证书放入下列存储”，然后单击“下一步”。10. 在“正在完成证书导入向导”页上，验证提供的信息是否正确，然后单击“完成”。步骤 3：配置 Web 服务器更新时间: 2009年1月应用到: Windows Server 2008 R2本步骤介绍了在 Web 服务器 (adfsweb) 上设置声明感知应用程序的过程。可以使用以下过程来配置 Internet 信息服务 (IIS) 和声明感知应用程序： 配置 Web 服务器上的 IIS 创建并配置声明感知应用程序 管理凭据 若要执行本步骤中的所有过程，请使用本地 Administrator 帐户登录到 adfsweb。配置 Web 服务器上的 IIS按照下面的过程来配置 Web 服务器 (adfsweb) 上的 IIS。配置 Web 服务器上的 IIS 的步骤1. 单击开始，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 在控制台树中，依次双击 ADFSWEB 和“站点”，然后单击“默认网站”。3. 在“操作”窗格中，单击“绑定”。4. 在“站点绑定”对话框中，单击“添加”。5. 在“类型”中，单击 https。6. 在“SSL 证书”下，依次单击 adfsweb 和“确定”，然后单击“关闭”。7. 在中心窗格中，双击“SSL 设置”，然后选中“要求 SSL”复选框。8. 在“客户端证书”下，单击“接受”，然后单击“应用”。创建并配置声明感知应用程序按照下面的过程将 Web 服务器 (adfsweb) 配置为承载示例声明感知应用程序。创建并配置声明感知应用程序的步骤1. 单击开始，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 在控制台树中，依次双击 ADFSWEB 和“站点”，再右键单击“默认网站”，然后单击“添加应用程序”。3. 在“添加应用程序”对话框的“别名”中，键入 claimapp。4. 单击“选择”，在下拉菜单中选择“经典 .NET AppPool”，然后单击“确定”。5. 单击 按钮，然后突出显示 d:inetpubwwwroot 文件夹。6. 单击“新建文件夹”，将文件夹命名为 claimapp，单击“确定”，然后再次单击“确定”。备注 不要在 claimapp 文件夹名称中使用大写字母。如果文件夹名称包含大写字母，则用户在键入网站地址时也必须使用大写字母。 7. 按照附录：创建示例声明感知应用程序 中的过程创建用于构成示例声明感知应用程序的三个文件。创建完这三个文件之后，将其复制到 d:inetpubwwwrootclaimapp 文件夹中。步骤 4：配置联合服务器更新时间: 2009年1月应用到: Windows Server 2008 R2此时您已安装完 Active Directory 联合身份验证服务 (AD FS) 并为示例声明感知应用程序配置了 Web 服务器，下一步将在联合身份验证服务器上分别为 A. Datum Corporation 和 Trey Research 配置联合身份验证服务。在此步骤中，您将完成以下任务： 使 Trey Research 的联合身份验证服务能够感知声明感知应用程序。 将帐户存储和组声明添加到相应的联合身份验证服务中。 配置每个组声明以使其映射到相应林的 Active Directory 域服务 (AD DS) 组中。本步骤包含以下任务： 配置 A. Datum Corporation 的联合身份验证服务 配置 Trey Research 的联合身份验证服务 使用导入和导出功能创建双方联合身份验证信任 管理凭据 若要执行本步骤中的所有过程，请使用域的 Administrator 帐户登录到 adfsaccount 计算机和 adfsresource 计算机。配置 A. Datum Corporation 的联合身份验证服务本节包括以下过程： 配置 A. Datum 信任策略 创建声明感知应用程序的组声明 添加并配置 AD DS 帐户存储 配置 A. Datum 信任策略按照下面的过程在 adfsaccount 计算机上为 A. Datum Corporation 的联合身份验证服务配置信任策略。配置 A. Datum 信任策略的步骤1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 在控制台树中，双击“联合身份验证服务”，右键单击“信任策略”，然后单击“属性”。3. 在“常规”选项卡上的“联合身份验证服务 URI”中，键入 urn:federation:adatum。备注 该值区分大小写。 4. 在“联合身份验证服务终结点 URL”文本框中，确认已显示 /adfs/ls/。5. 在“显示名称”选项卡上的“此信任策略的显示名称”中，键入 A. Datum（该字段中可能已存在的任意值将替换为 A. Datum），然后单击“确定”。创建声明感知应用程序的组声明按照下面的过程创建一个将用于身份验证到 林的组声明。创建声明感知应用程序的组声明的步骤1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”，右键单击“组织声明”，指向“新建”，然后单击“组织声明”。3. 在“新建组织声明”对话框的“声明名称”中，键入 Trey ClaimApp Claim。4. 确保已选择“组声明”，然后单击“确定”。添加并配置 AD DS 帐户存储按照下面的过程为 A. Datum Corporation 的联合身份验证服务添加 AD DS 帐户存储。 添加 AD DS 帐户存储 将全局组映射到声明感知应用程序的组声明 添加 AD DS 帐户存储按照下面的过程添加 AD DS 帐户存储。添加 AD DS 帐户存储的步骤1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”，右键单击“帐户存储”，指向“新建”，然后单击“帐户存储”。3. 在“欢迎使用添加帐户存储向导”页上，单击“下一步”。4. 在“帐户存储类型”页上，确保已选择“Active Directory 域服务”，然后单击“下一步”。备注 只能有一个与联合身份验证服务关联的 AD DS 存储。如果 AD DS 选项不可用，则已为该联合身份验证服务创建了一个 AD DS 存储。 5. 在“启用此帐户存储”页上，确保已选中“启用此帐户存储”复选框，然后单击“下一步”。6. 在“完成添加帐户存储向导”页上，单击“完成”。将全局组映射到声明感知应用程序的组声明按照下面的过程将 AD DS 全局组映射到 Trey ClaimApp Claim 组声明中。将全局组映射到声明感知应用程序的组声明的步骤1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”和“帐户存储”，然后右键单击 Active Directory，指向“新建”，然后单击“组声明提取”。3. 在“新建组声明提取”对话框中，单击“添加”，键入 treyclaimappusers，然后单击“确定”。4. 确保“映射到此组织声明”菜单中已显示 Trey ClaimApp Claim，然后单击“确定”。配置 Trey Research 的联合身份验证服务本节包括以下过程： 配置 Trey Research 信任策略 创建声明感知应用程序的组声明 添加 AD DS 帐户存储 添加并配置声明感知应用程序 配置 Trey Research 信任策略按照下面的过程在 adfsresource 计算机上为 Trey Research 中的联合身份验证服务配置信任策略。配置 Trey Research 信任策略的步骤1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 在控制台树中，双击“联合身份验证服务”，右键单击“信任策略”，然后单击“属性”。3. 在“常规”选项卡上的“联合身份验证服务 URI”中，键入 urn:federation:treyresearch。备注 该值区分大小写。 4. 在“联合身份验证服务终点 URL”文本框中，确认已显示 /adfs/ls/。5. 在“显示名称”选项卡上的“此信任策略的显示名称”中，键入 Trey Research（该字段中可能已存在的任意值将替换为 Trey Research），然后单击“确定”。创建声明感知应用程序的组声明按照下面的过程创建一个将用于代表 林中的用户对示例声明感知应用程序作出授权决定的组声明。创建声明感知应用程序的组声明的步骤1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”，右键单击“组织声明”，指向“新建”，然后单击“组织声明”。3. 在“新建组织声明”对话框的“声明名称”中，键入 Adatum ClaimApp Claim。4. 确保已选择“组声明”，然后单击“确定”。添加 AD DS 帐户存储按照下面的过程为 Trey Research 的联合身份验证服务添加 AD DS 帐户存储。添加 AD DS 帐户存储的步骤1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”，右键单击“帐户存储”，指向“新建”，然后单击“帐户存储”。3. 在“欢迎使用添加帐户存储向导”页上，单击“下一步”。4. 在“帐户存储类型”页上，确保已选择“Active Directory 域服务”，然后单击“下一步”。5. 在“启用此帐户存储”页上，确保已选中“启用此帐户存储”复选框，然后单击“下一步”。6. 在“完成添加帐户存储向导”页上，单击“完成”。添加并配置声明感知应用程序按照下面的过程在 adfsresource 计算机上为 Trey Research 的联合身份验证服务添加声明感知应用程序。 添加声明感知应用程序 启用 Adatum ClaimApp Claim 添加声明感知应用程序按照下面的过程将声明感知应用程序添加到联合身份验证服务中。添加声明感知应用程序的步骤1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联合身份验证服务”、“信任策略”、“我的组织”，然后右键单击“应用程序”，指向“新建”，然后单击“应用程序”。3. 在“欢迎使用添加应用程序向导”页上，单击“下一步”。4. 在“应用程序类型”页上，单击“声明感知应用程序”，然后单击“下一步”。5. 在“应用程序详细信息”页上的“应用程序显示名称”中，键入“声明感知应用程序”。6. 在“应用程序 URL”中，键入 /claimapp/，然后单击“下一步”。7. 在“接受的标识声明”页上，单击“用户主体名称(UPN)”，然后单击“下一步”。8. 在“启用此应用程序”页上，确保已选中“启用此应用程序”复选框，然后单击“下一步”。9. 在“正在完成添加应用程序向导”页上，单击“完成”。启用 Adatum ClaimApp Claim此时联合身份验证服务已经可以识别该应用程序，接下来按照下面的过程对该应用程序启用 Adatum ClaimApp Claim 组声明。启用 Adatum ClaimApp Claim 的步骤1. 在“应用程序”文件夹中，单击“声明感知应用程序”。2. 右键单击 Adatum ClaimApp Claim，然后单击“启用”。使用导入和导出功能创建双方联合身份验证信任由于在 Windows Server 2008 R2 中改进了基于策略的导出和导入功能，因此在其中创建伙伴组织之间的联合信任比在早期 Windows 操作系统中创建更加容易。在本部分中，将使用导入和导出功能在 A. Datum 与 Trey Research 组织之间交换策略文件，以便成功创建联合身份验证信任。有关导入和导出功能工作原理的详细信息，请参阅“Active Directory 联合身份验证服务角色”(/fwlink/?LinkId=104518)（可能为英文网页）。本节包括以下过程： 从 A. Datum 导出信任策略 将 A. Datum 信任策略导入 Trey Research 在 Trey Research 中创建声明映射 从 Trey Research 导出伙伴策略 将 Trey Research 伙伴策略导入 A. Datum 从 A. Datum 导出信任策略在 A. Datum 的 adfsaccount 计算机上，按照下面的过程导出信任策略数据。在下一过程中，在创建 A. Datum 与 Trey Research 之间联合身份验证信任关系中的一方时将使用该数据。从 A. Datum 导出信任策略1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 双击“联合身份验证服务”，再右键单击“信任策略”，然后单击“导出基本伙伴策略”。3. 在“导出基本伙伴策略”对话框中单击“浏览”，在“文件名”中键入 d:adfsaccount，单击“保存”，然后单击“确定”。备注 在实际的 AD FS 生产环境下，A. Datum 的管理员此时会通过电子邮件或其他方式向 Trey Research 的资源伙伴管理员发送导出的策略文件。 将 A. Datum 信任策略导入 Trey Research在 Trey Research 的 adfsresource 计算机上，按照下面的过程导入成功创建联合身份验证信任关系中的一方所必需的 A. Datum 信任策略数据，并将 A. Datum 作为帐户伙伴添加到 Trey Research 信任策略中。将 A. Datum 信任策略导入 Trey Research1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联合身份验证服务”、“信任策略”和“伙伴组织”，再右键单击“帐户伙伴”，指向“新建”，然后单击“帐户伙伴”。3. 在“欢迎使用添加帐户伙伴向导”页上，单击“下一步”。4. 在“导入策略文件”页的“伙伴互操作策略文件”下，键入 adfsaccountd$adfsaccount.xml，单击“是”，然后单击“下一步”。5. 在“帐户伙伴详细信息”页上，确保以下内容： “显示名称”显示的是 A. Datum。 “联合身份验证服务 URI”显示的是 urn:federation:adatum。 “联合身份验证服务终结点 URL”显示的是 /adfs/ls/，然后单击“下一步”。6. 在“帐户伙伴验证证书”页上，确保已选择“在导入策略文件中使用验证证书”，然后单击“下一步”。7. 在“联合身份验证方案”页上，确保已选择“联合 Web SSO”，然后单击“下一步”。8. 在“帐户伙伴标识声明”页上，确保已选中“UPN 声明”和“电子邮件声明”复选框，然后单击“下一步”。9. 在“接受的 UPN 后缀”页上，键入 ，单击“添加”，然后单击“下一步”。10. 在“接受的电子邮件后缀”页上，键入 ，单击“添加”，然后单击“下一步”。11. 在“启用此帐户伙伴”页上，确保已选中“启用此帐户伙伴”复选框，然后单击“下一步”。12. 在“完成添加帐户伙伴向导”页上，单击“完成”。在 Trey Research 中创建声明映射在 Trey Research 的 adfsresource 计算机上，按照下面的过程创建一个可用于示例声明感知应用程序的传入组声明映射。在下一过程中，会将此声明映射和其他与此联合信任关系的创建有关的策略数据一起导出到 A. Datum。备注 在 A. Datum 中，导入来自 Trey Research 的策略数据时，系统将提示您基于在本过程中创建的传入组声明映射的名称 (ClaimAppMapping) 自动创建传出组声明映射。此部分的导入过程有助于防止书写错误。 在 Trey Research 中创建声明映射1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联合身份验证服务”、“信任策略”、“伙伴组织”和“帐户伙伴”，再右键单击 A. Datum，指向“新建”，然后单击“传入组声明映射”。3. 在“新建传入组声明映射”对话框的“传入组声明名称”中，键入 ClaimAppMapping。备注 该值区分大小写。该值必须与在帐户伙伴组织 (A. Datum) 的传出组声明映射中指定的值完全匹配。 4. 在“组织组声明”中，单击 Adatum ClaimApp Claim，然后单击“确定”。从 Trey Research 导出伙伴策略在 Trey Research 的 adfsresource 计算机上，按照下面的过程导出 Trey Research 伙伴策略数据。在下一过程中，在创建联合身份验证信任关系的另一方时将使用该数据。从 Trey Research 导出伙伴策略1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联合身份验证服务”、“信任策略”、“伙伴组织”和“帐户伙伴”，再右键单击 A. Datum，然后单击“导出策略”。3. 在“导出伙伴策略”对话框中单击“浏览”，在“文件名”中键入 d:adfsresource，单击“保存”，然后单击“确定”。备注 在实际的 AD FS 生产环境下，Trey Research 的管理员此时会通过电子邮件或其他方式向帐户伙伴管理员发送导出的伙伴策略文件。 将 Trey Research 伙伴策略导入 A. Datum在 A. Datum 的 adfsaccount 计算机上，按照下面的过程导入所需的 Trey Research 伙伴策略数据，以便可以成功创建联合身份验证信任关系中的另一方，并将 Trey Research 作为资源伙伴添加到 A. Datum 信任策略中。将 Trey Research 伙伴策略导入 A. Datum1. 单击开始，指向“管理工具”，然后单击“Active Directory 联合身份验证服务”。2. 依次双击“联