我是一名开发人员,正在尝试了解使用 ADFS (2012 R2) 进行身份验证,因此我正在尝试设置 ADFS 实验室。我找到了 2 个指南:
- 文档1-http://technet.microsoft.com/en-us/library/dn280939.aspx
- 文档2-http://blogs.technet.com/b/askpfeplat/archive/2013/12/09/how-to-build-your-adfs-lab-on-server-2012-part-1.aspx
Doc1 从创建 gSMA 帐户开始,但 Doc2 说“ADFS 配置向导将自动在此服务帐户上配置正确的服务主体名称 (SPN),因此不必担心配置 SPN。”
我应该走哪条路?如果您认为我应该创建 gSMA 帐户,您能帮我了解我应该在实验室中提供哪些值吗?他们正在使用
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
我的服务器名为 server1.mydomain.local。我的新 gSMA 命令应该如下所示吗?:
New-ADServiceAccount FsGmsa -DNSHostName server1.mydomain.local -ServicePrincipalNames http/server1.mydomain.local
我特别询问的是“ServicePrincipalNames”属性,因为 doc2 说“确保场中任何 ADFS 服务器的物理计算机名称与 ADFS 服务名称不匹配”
答案1
您可以让 ADFS 向导为 gMSA 帐户进行必要的配置
或者
您可以使用正确的 SPN(即您的 adfs 服务名称)预先创建 gMSA 帐户。证书主题和 SAN 字段也需要使用相同的名称。
· 萨米