AD FS 联盟信任
在两个组织间,没有条件部署专用网络(VPN&专线)进行安全的凭据传递,使用AD FS实现组织间的凭据传递实现跨组织的访问
两个组织间的凭据传递
本地组织和微软的MS Azure云服务之间的凭据传递
部署准备
DNS:组织间可以相互解析(条件转发器)
证书服务:和AD域集成的AD CS
相互导入对方的CA 根证书(组策略配置两个组织间的CA 根证书的信任列表)
配置web证书
为反向代理配置web证书
安装和部署AD FS
配置AD FS的dns记录
为adatum.com 配置AD FS记录
安装AD FS
初始化和配置AD FS
验证 AD fS
组织间配置联盟服务
部署ADFS服务
密钥
Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
互相创建ADFS 信任:相互添加对方联盟的元数据
Trey Research-ADFS
Add-ADFSRelyingPartyTrust –Name ‘A. Datum Corporation Test App’ –MetadataURL ‘https://lon-svr1.adatum.com/AdatumTestApp/federationmetadata/200706/federationmetadata.xml’
Adatum.com
Add-AdfsClaimsProviderTrust –Name ‘Trey Research’ –MetadataUrl ‘https://adfs.treyresearch.net/federationmetadata/2007-06/federationmetadata.xml’
配置访问策略
