Службы федерации Active Directory (ADFS) предъявляют следующие требования к оборудованию и программному обеспечению.
Требования к оборудованию
- Скорость процессора: 133 МГц для компьютеров с процессором
х86
- Рекомендуемый объем ОЗУ: не менее 256 МБ
- Свободное место на диске, необходимое для установки:
10 МБ
Требования к программному обеспечению
Служба ADFS основывается на функциональных возможностях сервера, которые встроены в операционную систему Windows Server 2003 R2. Компоненты «Служба федерации», «Прокси-агент службы федерации» и «Веб-агент ADFS» не запускаются на более ранних операционных системах. В этом разделе описываются требования к программному обеспечению для каждого компонента ADFS. Здесь также описываются общие конфигурации программного обеспечения, которые необходимы для работы ADFS в сетевой среде.
Примечание | |
Компоненты «Служба федерации» и «Прокси-агент службы федерации» не могут сосуществовать на одном компьютере, при этом они могут устанавливаться только на компьютерах под управлением Windows Server 2003 R2 Enterprise Edition. |
Служба федерации
Для работы службы федерации на компьютере должно быть установлено следующее программное обеспечение:
- Windows Server 2003 R2 Enterprise Edition;
- службы IIS;
- Microsoft ASP.NET 2.0;
- Microsoft .NET Framework 2.0;
- веб-узел по умолчанию, настроенный для работы по протоколам
TLS/SSL (Transport Layer Security и Secure Sockets Layer);
- сертификат для службы федерации.
Примечание Этот сертификат используется для подписи маркеров. Это должен быть сертификат X.509 цифровой подписи.
Требования хранилища учетных записей служб Active Directory и ADAM
Служба ADFS требует наличия учетных записей пользователей в службе Active Directory или ADAM (Active Directory Application Mode) для службы федерации учетных записей. На контроллерах доменов Active Directory и на компьютерах, содержащих хранилища учетных записей, должно быть установлено следующее программное обеспечение:
- Windows Server 2003 R2
Или
- Windows 2000 с пакетом обновления 4 (SP4) и с критическими
исправлениями
Для работы ADFS не требуется вносить в Active Directory изменения схемы или модификации на функциональном уровне. Чтобы гарантировать работу ADAM с ADFS, установите версию ADAM, которая поставляется с Windows Server 2003 R2.
Прокси-агент службы федерации
Для работы прокси-агента службы федерации на компьютере должно быть установлено следующее программное обеспечение:
- Windows Server 2003 R2 Enterprise Edition;
- IIS;
- ASP.NET 2.0;
- Microsoft .NET Framework 2.0;
- веб-узел по умолчанию, настроенный для работы по протоколам
TLS/SSL.
Веб-агент ADFS
Для работы веб-агента ADFS на компьютере должно быть установлено следующее программное обеспечение:
- Windows Server 2003 R2 Standard Edition или
Windows Server 2003 R2 Enterprise Edition;
- IIS;
- ASP.NET 2.0;
- Microsoft .NET Framework 2.0;
- после завершения установки веб-агента ADFS должен быть настроен
в службе IIS хотя бы один веб-узел для работы по протоколам
TLS/SSL, чтобы федеративные пользователи могли обращаться к
веб-приложениям, размещенным на веб-сервере.
Доверенные центры сертификации
Так как и технология TLS/SSL, и подписание маркером основываются на цифровых сертификатах, центры сертификации являются важной частью ADFS. Общие центры сертификации, такие как VeriSign Inc., представляют третью доверенную сторону, которая помогает установить идентичность носителя сертификата. Для обеспечения подписи маркером и функционирования других служб внутренних сертификатов можно использовать корпоративные центры сертификации, например службы сертификации корпорации Майкрософт.
Если клиенту представляется сертификат проверки подлинности, принадлежащий серверу, клиентским компьютером проверяется, что центр сертификации, выдавший сертификат, находится в клиентском списке доверенных центров сертификации и что этот сертификат не отозван центром сертификации. Эта проверка гарантирует, что клиент попал на намеченный сервер. Когда сертификат применяется для проверки подписанных маркеров, клиент использует этот сертификат, чтобы удостовериться, что маркер выдан надлежащим сервером федерации и что маркер не подделан.
Сети TCP/IP
Для работы ADFS подключения сети TCP/IP должны быть установлены между клиентом, контроллером домена и компьютерами, на которых размещены компоненты «Служба федерации», «Прокси-агент службы федерации» (когда используется) и «Веб-агент ADFS».
Служба DNS
Для проверки подлинности пользователей в интрасети внутренние серверы DNS (Domain Name System) в лесу интрасети должны быть настроены на возврат канонического имени (CNAME) внутреннего сервера, на котором запущен компонент «Служба федерации». Для достижения наилучших результатов не используйте файлы Hosts со службой DNS.
Веб-обозреватель
Хотя любой существующий веб-обозреватель с включенной поддержкой JScript должен работать как клиент ADFS, корпорацией Майкрософт протестированы только Internet Explorer 6, Internet Explorer 5 и 5.5, Mozilla Firefox, а также Safari на компьютерах Apple Macintosh. Для обеспечения надлежащей производительности настоятельно рекомендуется включить поддержку JScript. Файлы «cookies» должны быть включены или, по крайней мере, они должны быть доверенными для серверов федерации и веб-приложений, к которым происходит обращение.