Exchange与ADFS单点登录 PART 1:先决条件准备

最近在学习Windows Server 2012 R2的一些功能,发现一些非常有意思的东西,可以与我们的Exchange结合使用,那么在这里就以这个Exchange与ADFS结合实现SSO的系列分享给大家,希望对大家有用:)


今天要分享的内容是Windows Server 2012 R2中的ADFS,说实话在2012 R2以前我并没有太多的去接触或学习ADFS,但在我接触之后,发现在2012 R2这个版本及以后,ADFS将变得意义重大。

ADFS的全称为活动目录联合服务,通过ADFS技术可以跨林扩展Web服务的身份验证,并为我们的Exchange 等Web应用程序实现SSO即单点身份认证。


在2012 R2中我们将更加容易的实现通过ADFS在统一的Web登录页面使用多种身份验证方式,访问和使用内网中的多种资源,并且很多微软自家的软件也已经做了与ADFS更紧密的集成,比如Exchange、Lync以及Sharepoint等等。


这一篇文章将做ADFS的基础准备,首先,我们建立一台虚拟机,可以名为ADFS或者STS,由于我的虚拟机名为ADFS(本来想搭建ADFS群集),为了更好的识别,我还是单独的在DNS中建立了STS主机记录。

clip_image001[4]

然后我们事先准备好ADFS服务器所需要的证书:

clip_image002[4]

从本地计算机的证书管理单元-个人中申请新的证书。

clip_image003[4]

clip_image004[4]

在申请过程中我们选择Active Directory注册策略,从而直接从我们的内部CA申请证书(CA的部署这里就不再重复了,可以参考之前的文章)。单击“注册此证书需要详细信息,单击这里以配置设置。”

clip_image005[4]

在证书属性里面配置详细信息,在使用者名称位置设置sts.contoso.com(不一定需要与服务器名称相同,但建议为STS)。在备用名称中添加sts.contoso.com和enterpriseregistration.contoso.com。

clip_image006[4]

然后在常规选项卡中设置证书的友好名称。

clip_image007[4]

设置完成后单击确定,然后确保我们的证书前面的复选框处于选中状态,单击注册。

clip_image008[4]

稍等片刻,当证书状态显示为“成功”时,单击完成。

clip_image009[4]

完成之后,我们需要建立ADFS的管理员账号,但这不并不是必须的,在测试环境也可以使用默认的administrator账户,如果是在生产环境中还是建议建立专门的ADFS管理员账户。

clip_image010[4]

首先我们打开管理员身份的PowerShell,然后执行:

Add-KdsRootKey �CEffectiveTime (Get-Date).AddHours(-10).

clip_image011[4]

之后我们就可以创建ADFS的全局服务账户了,执行以下命令来创建:

New-ADServiceAccount Gmsa -DNSHostName sts.reindemo.com -ServicePrincipalNames http/sts.reindemo.com

clip_image012[4]

然后我们在ADFS服务器上,输入以下命令来为ADFS全局托管服务账户设置SPN:

clip_image013[7]

到这里ADFS的先决条件就已经准备就绪了,内容比较简单,但也是部署ADFS之前我们必须做的事情。

你可能感兴趣的:(SSO,Exchange,ADFS,代理登录)