【IT168 专稿】ADFS是Windows Server 2008 操作系统中的一项重要功能，中文意思为联合身份验证服务。它提供了一个统一的访问解决方案，用于解决基于浏览器的内外部用户的访问。

　　安装 ADFS 并配置本地系统

　　准备条件：要执行此步骤中的所有过程，需要使用域的 Administrator 帐户登录到 adfsaccount 计算机和 adfsresource 计算机。使用本地 Administrator 帐户登录到 adfsweb 计算机。

　　一、安装 ADFS Web 代理

　　可以使用以下过程在 adfsweb 计算机上安装声明感知 ADFS Web 代理以及基于 Windows NT 令牌的 ADFS Web 代理。

　　要安装 ADFS Web 代理，请执行以下操作：

　　1.单击"开始"，指向"控制面板"，然后单击"添加或删除程序"。

　　2.在"添加或删除程序"中，单击"添加/删除 Windows 组件"。

　　3.在"Windows 组件向导"中，单击"Active Directory 服务"，然后单击"详细信息"。

　　4.在"Active Directory 服务"对话框中，单击"Active Directory 联合身份验证服务 (ADFS)"，然后单击"详细信息"。

　　5.在"Active Directory 联合身份验证服务 (ADFS)"对话框中，单击"ADFS Web 代理"，然后单击"详细信息"。

　　6.在"ADFS Web 代理"对话框中，选中"声明感知应用程序"复选框和"基于 Windows NT 令牌的应用程序"复选框，然后单击"确定"。

　　7.在"Active Directory 联合身份验证服务 (ADFS)"对话框中，单击"确定"。

　　8.在"Active Directory 服务"对话框中，单击"确定"。

　　9.在"Windows 组件向导"中，单击"下一步"。

　　10.如果系统提示您提供安装文件的位置，那么导航到 R2 installation files\cmpnents\r2，然后单击"确定"。

　　11.在"正在完成 Windows 组件向导"页中，单击"完成"。

　　二、安装联合身份验证服务

　　使用以下过程在 adfsaccount 计算机和 adfsresource 计算机上安装 ADFS 的联合身份验证服务组件。在计算机上安装了联合身份验证服务之后，该计算机将成为联合身份验证服务器。

　　要安装联合身份验证服务，请执行以下操作：

　　1.单击"开始"，指向"控制面板"，然后单击"添加或删除程序"。

　　2.在"添加或删除程序"中，单击"添加/删除 Windows 组件"。

　　3.在"Windows 组件向导"中，单击"Active Directory 服务"，然后单击"详细信息"。

　　4.在"Active Directory 服务"对话框中，单击"Active Directory 联合身份验证服务 (ADFS)"，然后单击"详细信息"。

　　5.在"Active Directory 联合身份验证服务 (ADFS)"对话框中，选中"联合身份验证服务"复选框，然后单击"确定"。如果以前未启用 Microsoft ASP.NET 2.0，那么单击"是"启用，然后单击"确定"。

　　6.在"Active Directory 服务"对话框中，单击"确定"。

　　7.在"Windows 组件向导"中，单击"下一步"。

　　8.在"联合身份验证服务"页中，单击"创建自签名的令牌签名证书"。

　　9.在"信任策略"下，单击"创建新的信任策略"，然后单击"下一步"。

　　10.如果系统提示您提供安装文件的位置，那么导航到 R2 Installation Folder\cmpnents\r2，然后单击"确定"。

　　11.在"正在完成 Windows 组件向导"页中，单击"完成"。

　　三、为 ADFSAppPool 标识分配 Local System 帐户

　　在 adfsresource 计算机和 adfsaccount 计算机上使用以下过程。只有本指南的环境中需要此步骤，因为这些联合身份验证服务器同时配置为域控制器。

　　注意

　　作为非常好的的安全操作，在生产环境中，域控制器不应同时作为联合身份验证服务器和域控制器运行，并且不应使用 Local System 帐户运行 IIS。

　　要为 ADFSAppPool 标识分配 Local System 帐户，请执行以下操作：

　　1.单击"开始"，依次指向"所有程序"、"管理工具"，然后单击"Internet 信息服务 (IIS) 管理器"。

　　2.在控制台树中，依次双击 ADFSRESOURCE 或 ADFSACCOUNT、"应用程序池"，右键单击 ADFSAppPool，然后单击"属性"。

　　3.在"标识"选项卡上，单击菜单中的 Local System，在出现"是否希望作为本地系统运行此应用程序池？"的提示时，单击"是"。

　　四、将令牌签名证书从 adfsaccount 导出到文件

　　在 adfsaccount 计算机上，使用以下过程将令牌签名证书从 adfsaccount 计算机导出到文件。

　　要将令牌签名证书从 adfsaccount 导出到文件，请执行以下操作：

　　1.单击"开始"，依次指向"所有程序"、"管理工具"，然后单击"Active Directory 联合身份验证服务"。

　　2.右键单击"联合身份验证服务"，然后单击"属性"。

　　3.在"常规"选项卡上单击"查看"。

　　4.在"详细信息"选项卡上，单击"复制到文件"。

　　5.在"欢迎使用证书导出向导"页中，单击"下一步"。

　　6.在"导出私钥"页中，单击"不，不要导出私钥"，然后单击"下一步"。

　　7.在"导出文件格式"页中，单击"DER 编码二进制 X.509 (.Cer)"，然后单击"下一步"。

　　8.在"要导出的文件"页中，键入 C:\adfsaccount_ts.cer，然后单击"下一步"。

　　注意

　　以后，在帐户伙伴向导提示您提供"帐户伙伴验证证书"时，adfsaccount 令牌签名证书将导入到 adfsresource 计算机（请参阅第 4 步：配置联合身份验证服务器）。此时，通过网络访问此计算机，以获取该文件。

　　9.在"正在完成证书导出向导"中，单击"完成"。

　　至此，ADFS配置完毕。