步骤 3：安装和配置 AD FS

　　在 ADFS-RESOURCE 和 ADFS-ACCOUNT 上安装联合身份验证服务

　　使用以下过程在 ADFS-RESOURCE 计算机和 ADFS-ACCOUNT 计算机上安装 AD FS 的联合身份验证服务组件。在计算机上安装联合身份验证服务后，该计算机就成了联合身份验证服务器。

　　添加联合身份验证服务角色服务的步骤

　　1.  使用 CPANDL\ADFSADMIN 帐户或本地 Administrators 组中的其他帐户登录到 ADFS-RESOURCE。

　　2.  单击"开始"，指向"管理工具"，然后单击"服务器管理器"。

　　3.  如果出现"用户账户控制"对话框，请确认所显示的是您想要执行的操作，然后单击"继续"。

　　4.  单击"添加角色"。

　　5.  在"开始之前"页上，单击"下一步"。

　　6.  在"选择服务器角色"页上，单击"Active Directory 联合身份验证服务"。

　　7.  单击"下一步"。

　　8.  在"AD FS 简介"页上，单击"下一步"。

　　9.  在"选择角色服务"页上，选中"联合身份验证服务"复选框。如果系统提示您安装其他角色服务，则单击"添加所需角色服务"，然后单击"下一步"。

　　10.  选择"为 SSL 加密选择现有证书"选项，单击适当证书，然后单击"下一步"。

　　注：如果在测试环境中选择使用自签名证书，则选择"为 SSL 加密创建自签名证书"选项，然后单击"下一步"。

　　11.  在"选择令牌签名证书"页上，选择"选择现有令牌签名证书"选项，单击适当的证书，然后单击"下一步"。

　　注：如果在测试环境中选择使用自签名证书，则选择"创建自签名令牌签名证书"选项，然后单击"下一步"。

　　12.  选择"新建信任策略"选项，然后单击"下一步"。

　　13.  阅读"Web 服务器简介(IIS)"页，然后单击"下一步"。

　　14.  保留 Web 服务器默认复选框选择，然后单击"下一步"。

　　15.  单击"安装"。

　　16.  安装完成后，单击"关闭"。

　　17.  以 TREYRESEARCH\ADFSADMIN 身份登录到 ADFS-ACCOUNT。

　　18.  使用 TREYRESEARCH\ADFSADMIN 用户帐户为 ADFS-ACCOUNT 计算机重复执行步骤 2-13。

　　将 ADFS-ACCOUNT 配置为使用 AD RMS

　　ADFS-ACCOUNT 计算机是 TREYRESEARCH 域的成员，可以将 AD RMS 请求转发到 CPANDL 域。在本节中，配置 AD FS 信任策略，为 ProxyAddresses Active Directory 属性创建自定义声明，添加 Active Directory 帐户存储，并添加和配置资源伙伴。

　　首先，为 TREYRESEARCH 域中的联合身份验证服务配置 ADFS-ACCOUNT 计算机信任策略。

　　配置 AD FS 帐户伙伴 (ADFS-ACCOUNT) 上的信任策略的步骤

　　1.  使用 TREYRESEARCH\adfsadmin 帐户或本地 Administrators 组中的其他用户帐户登录到 ADFS-ACCOUNT。

　　2.  单击"开始"，指向"管理工具"，然后单击"Active Directory 联合身份验证服务"。

　　3.  如果出现"用户账户控制"对话框，请确认所显示的是您想要执行的操作，然后单击"继续"。

　　4.  展开"联合身份验证服务"，右键单击"信任策略"，然后单击"属性"。

　　5.  在"联合身份验证服务 URI"框中，键入 urn:federation:treyresearch.net。

　　注：联合身份验证服务 URI 值是区分大小写的。

　　6.  在"联合身份验证服务终点 URL"框中，确认显示 https://ADFS-ACCOUNT.treyresearch.net/adfs/ls/。

　　7.  在"显示名称"选项卡中，在"此信任策略的显示名称"中，键入 Trey Research，然后单击"确定"。

　　下一步，创建将与 AD RMS 一起使用的自定义声明。

　　创建自定义声明的步骤

　　1.  在 Active Directory 联合身份验证服务控制台中，展开"联合身份验证服务"、"信任策略"，然后展开"我的组织"。

　　2.  右键单击"组织声明"，指向"新建"，然后单击"组织声明"。

　　3.  在"声明名称"框中，键入 ProxyAddresses。

　　注：声明名称值是区分大小写的。

　　4.  选择"自定义声明"选项，然后单击"确定"。

　　注：允许通过联合信任的代理地址时，应格外小心。如果允许通过联合身份验证的代理地址，则恶意用户有可能欺骗授权用户的凭据，并访问用户的受权限保护的内容。如果您的组织要求使用通过联合身份验证的代理地址，您应该实现声明转换模块，该模块会检查联合用户的代理地址并确保它与发出请求的林相匹配。默认情况下，在 Active Directory Rights Management Services 控制台中用于允许联合用户的代理地址的选项处于关闭状态。

　　下一步，将 Active Directory 帐户存储添加到 TREYRESEARCH 域的联合身份验证服务。

　　将 Active Directory 帐户存储添加到 ADFS-ACCOUNT 的步骤

　　1.  在 Active Directory 联合身份验证服务控制台中，展开"联合身份验证服务"、"信任策略"，然后展开"我的组织"。

　　2.  右键单击"帐户存储"，指向"新建"，然后单击"帐户存储"。

　　3.  在"欢迎使用添加帐户存储向导"页上，单击"下一步"。

　　4.  在"帐户存储类型"页上，选择"Active Directory 域服务"选项，然后单击"下一步"。

　　5.  在"启用此帐户存储"页上，选中"启用此帐户存储"复选框，然后单击"下一步"。

　　6.  在"在完成添加帐户存储向导"页上，单击"完成"。

　　7.  双击"电子邮件"组织声明，选中"启用"复选框，在"LDAP 属性"框中键入邮件，然后单击"确定"。

　　8.  右键单击 Active Directory 帐户存储，指向"新建"，然后单击"自定义声明提取"。

　　9.  在"属性"框中，键入 ProxyAddresses，然后单击"确定"。

　　最后，将资源伙伴添加到 TREYRESEARCH 域中的联合身份验证服务中。

　　将资源伙伴添加到 TREYRESEARCH 域中的步骤

　　1.  在 Active Directory 联合身份验证服务控制台中，依次展开"联合身份验证服务"、"信任策略"，然后展开"伙伴组织"。

　　2.  右键单击"资源伙伴"，指向"新建"，然后单击"资源伙伴"。

　　3.  在"欢迎使用添加资源伙伴向导"页上，单击"下一步"。

　　4.  选择"导入策略文件"页上的"否"选项，然后单击"下一步"。

　　5.  在"资源伙伴详细信息"页上的"显示名称"框中，键入"CP&L 企业"。

　　6.  在"联合身份验证服务 URI"框中，键入 urn:federation:cpandl.com。

　　注：联合身份验证服务 URL 值是区分大小写的。

　　7.  在"联合身份验证服务终点 URL"框中，键入 https://adfs-resource.cpandl.com/adfs/ls/，然后单击"下一步"。

　　8.  在"联合身份验证方案"页上，选择"联合 Web SSO"选项，然后单击"下一步"。

　　9.  选中"UPN 声明"和"电子邮件声明"复选框，然后单击"下一步"。

　　10.  选择"不更改直接让所有 UPN 后缀通过"选项，然后单击"下一步"。

　　11.  选择"不更改直接让所有电子邮件后缀通过"选项，然后单击"下一步"。

　　12.  确保选中"启用此资源伙伴"复选框，然后单击"下一步"。

　　13.  单击"完成"。

　　14.  右键单击新 CP&L 企业资源伙伴，指向"新建"，然后单击"传出自定义声明映射"。

　　15.  在"传出自定义声明名称"框中，键入 ProxyAddresses，然后单击"确定"。

　　16.  关闭 Active Directory 联合身份验证服务控制台。

　　将 ADFS-RESOURCE 配置为使用 AD RMS

　　ADFS-RESOURCE 计算机是 CPANDL 域的成员，并且可以从 TREYRESEARCH 域接收 AD RMS 请求。在本节中，配置 AD FS 信任策略，为 ProxyAddresses Active Directory 属性创建自定义声明，添加 Active Directory 帐户存储，将 AD RMS 添加为声明感知的应用程序并配置资源伙伴。

　　首先，为 CPANDL 域中的联合身份验证服务配置 ADFS-RESOURCE 计算机信任策略。

　　配置 AD FS 资源伙伴 (ADFS-RESOURCE) 上的信任策略的步骤

　　1.  使用 CPANDL\ADFSADMIN 帐户或本地 Administrators 组中的其他用户帐户登录到 ADFS-RESOURCE。

　　2.  单击"开始"，指向"管理工具"，然后单击"Active Directory 联合身份验证服务"。

　　3.  如果出现"用户账户控制"对话框，请确认所显示的是您想要执行的操作，然后单击"继续"。

　　4.  展开"联合身份验证服务"，右键单击"信任策略"，然后单击"属性"。

　　5.  在"联合身份验证服务 URI"框中，键入 urn:federation:cpandl.com。

　　注：联合身份验证服务 URI 值是区分大小写的。

　　6.  在"联合身份验证服务终点 URL"框中，确认显示 https://ADFS-RESOURCE.cpandl.com/adfs/ls/。

　　7.  在"显示名称"选项卡中的"此信任策略的显示名称"中，键入"CP&L 企业"，然后单击"确定"。

　　下一步，创建将与 AD RMS 一起使用的自定义声明。

　　创建自定义声明的步骤

　　1.  在 Active Directory 联合身份验证服务控制台中，展开"联合身份验证服务"、"信任策略"，然后展开"我的组织"。

　　2.  右键单击"组织声明"，指向"新建"，然后单击"组织声明"。

　　3.  在"声明名称"框中，键入 ProxyAddresses。

　　注：声明名称值是区分大小写的。

　　4.  选择"自定义声明"选项，然后单击"确定"。

　　下一步，将 Active Directory 帐户存储添加到 CPANDL 域的联合身份验证服务。

　　将 Active Directory 帐户存储添加到 ADFS-RESOURCE 的步骤

　　1.  在 Active Directory 联合身份验证服务控制台中，展开"联合身份验证服务"、"信任策略"，然后展开"我的组织"。

　　2.  右键单击"帐户存储"，指向"新建"，然后单击"帐户存储"。

　　3.  在"欢迎使用添加帐户存储向导"页上，单击"下一步"。

　　4.  在"帐户存储类型"页上，选择"Active Directory 域服务"选项，然后单击"下一步"。

　　5.  在"启用此帐户存储"页上，选中"启用此帐户存储"复选框，然后单击"下一步"。

　　6.  在"在完成添加帐户存储向导"页上，单击"完成"。

　　7.  双击"电子邮件"组织声明，选中"启用"复选框，在"LDAP 属性"框中键入邮件，然后单击"确定"。

　　8.  右键单击 Active Directory 帐户存储，指向"新建"，然后单击"自定义声明提取"。

　　9.  在"属性"框中，键入 ProxyAddresses，然后单击"确定"。

　　10.  关闭 Active Directory 联合身份验证服务控制台。

　　下一步，将 AD RMS 证书管道添加为声明感知的应用程序。

　　将 AD RMS 证书管道添加为声明感知的应用程序的步骤

　　1.  在 Active Directory 联合身份验证服务控制台中，展开"联合身份验证服务"、"信任策略"，然后展开"我的组织"。

　　2.  右键单击"应用程序"，指向"新建"，然后单击"应用程序"。

　　3.  在"欢迎使用添加应用程序向导"页上，单击"下一步"。

　　4.  在"应用程序类型"页上，选择"声明感知的应用程序"选项，然后单击"下一步"。

　　5.  在"应用程序显示名称"框中，键入"AD RMS 认证"。

　　6.  在"应用程序 URL"框中，键入 https://adrms-srv.cpandl.com/_wmcs/certificationexternal/，然后单击"下一步"。

　　注：应用程序 URL 是区分大小写的，AD RMS Extranet 群集的名称应该与 ADRMS-SRV 计算机的返回 URL 值确切匹配。如果这些值不匹配，则 AD FS 功能不可用。

　　7.  在"接受的标识声明"页上，选中"用户主体名称 (UPN)"和"电子邮件"复选框，然后单击"下一步"。

　　8.  在"启用此应用程序"页上，选中"启用此应用程序"复选框，然后单击"下一步"。

　　9.  在"正在完成添加应用程序向导"页上，单击"完成"。

　　10.  在此任务窗格中，双击 ProxyAddresses，选中"启用"复选框，然后单击"确定"。

　　使用以下过程将 AD RMS 授权管道添加为声明感知的应用程序。

　　将 AD RMS 授权添加为声明感知的应用程序的步骤

　　1.  在 Active Directory 联合身份验证服务控制台中，展开"联合身份验证服务"、"信任策略"，然后展开"我的组织"。

　　2.  右键单击"应用程序"，指向"新建"，然后单击"应用程序"。

　　3.  在"欢迎使用添加应用程序向导"页上，单击"下一步"。

　　4.  在"应用程序类型"页上，选择"声明感知的应用程序"选项，然后单击"下一步"。

　　5.  在"应用程序显示名称"框中，键入 AD RMS Licensing。

　　6.  在"应用程序 URL"框中，键入 https://adrms-srv.cpandl.com/_wmcs/licensingexternal/，然后单击"下一步"。

　　注：应用程序 URL 是区分大小写的，该 URL 中的计算机名称应该与 ADRMS-SRV 计算机的返回 URL 值确切匹配。如果这些值不匹配，则 AD FS 功能不可用。

　　7.  在"接受的标识声明"页上，选中"用户主体名称 (UPN)"和"电子邮件"复选框，然后单击"下一步"。

　　8.  在"启用此应用程序"页上，单击"启用此应用程序"复选框，然后单击"下一步"。

　　9.  在"正在完成添加应用程序向导"页上，单击"完成"。

　　10.  在此任务窗格中，双击 ProxyAddresses，单击"启用"复选框，然后单击"确定"。

　　下一步，将帐户伙伴添加到 ADFS-RESOURCE。此帐户伙伴从 TREYRESEARCH 域中的 ADFS-ACCOUNT 计算机接收请求。

　　将帐户伙伴添加到 ADFS-RESOURCE 的步骤

　　1.  在 Active Directory 联合身份验证服务控制台中，依次展开"联合身份验证服务"、"信任策略"，然后展开"伙伴组织"。

　　2.  右键单击"帐户伙伴"，指向"新建"，然后单击"帐户伙伴"。

　　3.  在"欢迎使用添加帐户伙伴向导"页上，单击"下一步"。

　　4.  在"导入策略文件"页上，选择"否"选项，然后单击"下一步"。

　　5.  在"资源伙伴详细信息"页上，在"显示名称"框中，键入 Trey Research。

　　6.  在"联合身份验证服务 URI"框中，键入 urn:federation:treyresearch.net。

　　7.  在"联合身份验证服务终点 URL"框中，键入 https://adfs-account.treyresearch.net/adfs/ls/，然后单击"下一步"。

　　8.  在"帐户伙伴验证"页上，键入存储令牌签名证书的路径，然后单击"下一步"。

　　9.  选择"联合 Web SSO"选项，然后单击"下一步"。

　　10.  选中"UPN 声明"和"电子邮件声明"复选框，然后单击"下一步"。

　　11.  在"接受的 UPN 后缀"页上，键入 treyresearch.net，单击"添加"，然后单击"下一步"。

　　12.  在"接受的电子邮件后缀"页上，键入 treyresearch.net，单击"添加"，然后单击"下一步"。

　　13.  检验是否选中"启用此帐户伙伴"复选框，然后单击"下一步"。

　　14.  单击"完成"。

　　15.  右键单击 Trey Research 帐户伙伴，指向"新建"，然后单击"传入自定义声明映射"。

　　16.  在"传入自定义声明名称"框中，键入 ProxyAddresses，然后单击"确定"。

　　17.  关闭 Active Directory 联合身份验证服务控制台。