我是 ADFS 2.0 领域的新手,我想了解该技术的基本假设。
我的目标是保证我们的客户用户能够访问我们的云环境中的 Web 应用程序。
以下是我的情况:
网络“A” – 云环境
AD 控制器 (Win 2008)
IIS 7 Web 服务器(使用 NTLM 提供程序身份验证技术发布到互联网的 Web 应用程序)
防火墙网络“B” – 客户“X” – 本地网络
AD 控制器 (Win 2003 或 Win 2008)
PC 客户端
防火墙网络“C” – 客户“X” - WAN 网络
PC 客户端(家用电脑)
网络 B 和 C 中的客户“X”客户端应该能够使用其 Windows 域凭据访问网络“A”上发布的 Web 应用程序。
我读过各种相关文献,但还是不太清楚。这很令人困惑。
我的问题是:
- 我应该将 ADFS 服务器放在哪里?
- 我必须在网络“A”中的 AD 控制器上设置任何东西吗?
- 客户“X”IT 团队需要设置任何东西吗?
我希望有人可以解释基础设施架构和流程。
答案1
您正在按照以下方式描述联合 Web SSO 场景http://technet.microsoft.com/en-us/library/cc757344(v=WS.10).aspx。您可以在客户环境和您自己的云环境中都拥有 ADFS,然后在两者之间建立信任。除了配置 SPN 之外,您不需要在 AD 本身中执行任何特殊操作。但每个环境的 IT 管理员都将在自己的环境中部署 ADFS 并根据需要配置信任。
请参阅部署指南了解更多详细信息http://technet.microsoft.com/en-us/library/dd807092(v=ws.10).aspx。具体来说,作为应用程序的托管者,您将成为资源合作伙伴。http://technet.microsoft.com/en-us/library/dd807047(v=ws.10).aspx
客户作为账户合作伙伴将关注http://technet.microsoft.com/en-us/library/dd807112(v=ws.10).aspx
我希望你也会发现下面的书很有用http://msdn.microsoft.com/en-us/library/ff423674.aspx
内容地图位于http://social.technet.microsoft.com/wiki/contents/articles/2735.ad-fs-2-0-content-map.aspx应该可以帮助您找到所需的信息。在部署身份联合技术之前,有很多内容需要阅读和理解。如果您时间紧迫,又想把事情做好,您可以考虑聘请顾问来为您完成这项工作。