我们的客户已经有一个现有的森林 ForestA。此森林有 2 个 Web 服务器已加入域。用户连接到应用程序后,将转到 ADFS 登录页面,输入域凭据并登录。现在客户希望将此应用程序带到 Azure(提升和转移)。用户帐户继续保留在 ForestA 中。ForestA 和新森林 ForestB 之间没有 AD 信任。
客户确认无需将 2 个 Web 服务器加入 ForestB 中的新域。它们将作为独立服务器运行。但是他们仍希望身份验证像以前一样工作。森林 A 的管理(包括该森林中的 ADFS 服务器)由第三方供应商完成。
请建议可能的架构是什么?我们是否需要将 Web 服务器加入 ForestB 并在 ForestB 中部署其他 ADFS 服务器?
答案1
不,只需使用 ADFS 为您的 Web 服务器添加联邦信任,然后在 ForestA 中部署 adfs。这样就可以了。
如果有人想从单个脚本快速设置一个简单的单节点 ADFS 服务器。它只需要提供通信证书指纹详细信息。并且作为奖励,它使用 OTP 代码为 ADFS 部署 MFA 功能。以下链接提供了如何使用 OTP 安装 ADFS 演示的信息: https://www.securemfa.com/downloads/mfa-otp#h.p_0CFeLwIix8Fa