ADFS安装配置说明讲述.docxVIP

ADFS安装、配置及管理说明 一、ADFS安装 1、命令行中键入“servermanager.msc”打开Server Manager(服务管理器)。 2、点击Add roles and features，添加角色和功能，单击下一步 3、在选择安装类型页上，单击的基于角色或基于功能的安装，然后单击下一步。 4、在“选择目标服务器”页面上，单击“从服务器池中选择一个服务器”，验证目标计算机是否已选中，然后单击“下一步”。 5、在“选择服务器角色”页面上，单击“Active Directory 联合身份验证服务”，然后单击“下一步”。 6、在“选择功能”页上，单击“下一步”。?为您预先选择所需的先决条件。?不需要选择任何其他功能。 7、在“Active Directory 联合身份验证服务 (AD FS)”页面上，单击“下一步”。 8、在验证信息后确认安装选择页上，单击安装，在“安装进度”页面上，验证所有内容是否正确安装，然后单击“关闭” 二、ADFS配?? 1、在服务器管理器“仪表板”页面上，单击“通知”标志，然后单击“在服务器上配置联合身份验证服务”，打开“Active Directory 联合身份验证服务配置向导”。 2、在“欢迎使用”页面上，选择“在联合服务器场中创建第一个联合服务器”，然后单击“下一步”。 3、在连接到 AD DS页上，指定通过使用此计算机所加入的 Active Directory (AD) 域，然后输入域管理员权限的帐户，单击下一步。 4、在“指定服务属性”页面上，如果你已获得包含安全套接字层 (SSL) 证书的.pfx 文件，请单击导入，然后输入联合身份验证服务的名称，此名称默认会与证书中的使用者名称一致，输入联合身份验证服务的显示名称，如“Contoso Corporation“，用户可以在ADFS登录页面中看到此名称。 提示：如果没有证书，可以在IIS中申请自签名证书，申请步骤如下： 打开IIS，根目录中点击“Server Certificates”证书服务。 点击Create Self-Signed Certificates，创建自签名证书 输入友好名称，点击确认。 5、在指定服务帐户页上，?使用现有的组托管服务帐户 (gMSA) 或现有的域用户帐户，请单击选择以选择一个帐户。 6、在指定配置数据库页上，指定ADFS配置数据库， HYPERLINK javascript:void(0) \o 单击以展开。双击以全部展开。 使用 SQL Server 存储 ADFS 配置数据库，也可以指定SQL Server 的实例名称，不指定则使用默认实例。 提示：如果ADFS无法连接数据库，一般是由于权限不够导致的，解决方法如下： 以管理员身份运行powershell。 输入：Export-AdfsDeploymentSQLScript -DestinationFolder “c:\” -ServiceAccountName “ad4\huaquanw” 注意：红色部分分别为导出路径，和之前指定的ADFS域账号 运行命令生成2个sql代码，直接在ADFS连接的sqlserver服务器上运行如下代码 7、在“查看选项”页面上，验证你的配置选择，然后单击“下一步”。 8、在上系统必备组件检查页上，验证所有先决条件检查都成功完成，然后单击配置，配置完成。 三、ADFS管理 1、打开ADFS Management。 2、右击ADFS根目录或者在管理界面右侧，点击Edit Federation Service Properties，查看或编辑ADFS服务器属性。在子站配置文件中需要添加Service identifier节点。 3、在“Claim Descriptions”下，单击“Add Claim Description”，添加声明描述。 依次添加如下描述： UPI： HYPERLINK /claims/upi /claims/upi NTAccount： HYPERLINK /claims/ntaccount /claims/ntaccount CilAccount： HYPERLINK /claims/cilaccount /claims/cilaccount CslAccount： HYPERLINK /claims/cslaccount /claims/cslaccount 4、在“Trust Relationships(AD FS\信任关系)”下，右键单击“Claims Provider Trusts声明提供方信任”，单击“添加声明提供方信任”以打开“添加声明提供方信任向导”。然后单击”Start”开始向导。 5、在“选择数据源”页面上，单击“手动输入声明提供方