通过 AD FS 实现到 Windows Azure Pack 的联合身份– 第 1 部分，共 3 部分

原文链接：https://blogs.technet.com/b/privatecloud/archive/2013/12/17/federated-identities-to-windows-azure-pack-through-ad-fs-part-1-of-3.aspx

在前面的几篇博文中，Anders Ravnholt 讨论了 WAP 的安装和配置并讨论了使用 FQDN、端口和信任证书重新配置的细节。在这个系列中，我要讨论如何配 AD FS，让它向 WAP 安装提供身份。

场景

Contoso 公司是一家服务提供商，托管了一个私有云环境，向他们的客户提供计算资源。Contoso 希望安装一个 Windows Azure Pack 堆栈并且实现以下功能：

1. 向来自其 Active Directory 的用户提供管理访问
2. 向来自 Fabrikam 公司（Contoso 的客户之一）的用户提供租户门户的自助服务。

我们将这个场景分成三个部分。

在这个博文系列的第一部分，我们讨论 Contoso 如何在他们的公司域中设置一个 AD FS 实例。

在第二部分，我们讨论 Contoso 如何设置 AD FS 实例和 WAP 管理门户之间的信任关系，并为它的用户提供到管理门户的访问。

在第三部分，我们将讨论 Contoso 如何在 Fabrikam 的 AD FS 和自己的 AD FS 之间建立信任关系，让 Fabrikam 的用户访问租户门户。

人员

Rob 是基础结构管理员，负责维护基础结构。Rob 负责为 Contoso 公司安装 Windows Azure Pack。

Mary 是 Contoso Active Directory 中pcloud.contoso.corp 域的管理员。Mary 拥有配置与这个域链接的AD FS 所必需的权限。

Alan 是租户管理员，负责在 Windows Azure Pack 中创建和管理计划及订阅。

假设和范围

在这个场景中，我们对环境有以下假设：

• 在 pcloud.contoso.corp 域已经设置了 Windows Azure Pack
• 环境中的所有组件都配置了来自可信 CA 的证书
        

关于读者，我们也有以下假设：

• 熟悉 Windows Azure Pack 的安装。关于 Windows Azure Pack 部署的更多信息，请访问https://technet.microsoft.com/en-us/library/dn296432.aspx
• 对基于声明的验证有一定了解（请参阅白皮书https://download.microsoft.com/download/6/F/7/6F7BB9DD-0D65-492F-9180-75A47A520F80/Claims-Based      Authentication in WAP.docx )
• 熟悉 AD FS 和 AD FS 控制台。关于 AD FS 的更多信息，请访问
       https://technet.microsoft.com/en-us/library/hh831502.aspx     

• 这篇博文不讨论如何使用 PowerShell      启用和配置      AD FS。基于 PowerShell 的配置细节请参阅 Windows      Azure Pack 的安装指南https://technet.microsoft.com/en-us/library/dn296436.aspx

启用AD FS 角色

Mary 是 ‘pcloud’ 的域管理员，这是 ‘Contoso.corp’   林的一个域。她拥有将 AD FS 实例加入 pcloud域的必要权限。

1. Mary 登录到一台机器，这台机器已经加入 pcloud 域并将托管 AD FS 服务。她在 Server  Manager 中单击 ‘Manage’ 并选择 ‘Add Roles and Features’，启用 AD FS 角色。
2. 在选择本地服务器之后，她从 Server Roles 选项卡中选择 ‘Active Directory Federation Services’，并单击 ‘Next’。余下的步骤是标准步骤，不需要做任何修改，所以她一路单击通过向导，最后单击 ‘Finish’ 结束。这会在这台服务器上安装 AD FS 实例。
   

配置 AD FS 服务器

1. 安装完成后，Server Manager 会在通知中显示一个叹号，提示这个角色尚未配置。Mary 单击提示，打开 AD FS 配置向导。这是 AD FS 场中的第一个服务器，所以她选择 ‘Create the first federation server in a federation server farm’ 并进入下一步。
   

2. 她选择当前用户（自己）作为配置场的用户。
   

3. 下一步是配置联合服务名称。请注意，这与实际的　AD FS 机器名不同。这是其他服务用来访问 AD FS 的名称。
   在这一步，Mary 还必须为基于 SSL/TLS 的访问提供一个证书。这个证书需要由可信公共 CA 签发，在用户尝试登录时会向用户显示。她已经有一个用于 *.pcloud.contoso.com 的通配证书，所以可以用来配置 AD FS 服务器。

   提示： 在没有通配证书可用的时候，证书主题名称应该与 AD FS 联合服务名称匹配。
       

4. 在 Specify Database 步骤，Mary 指定用哪个数据库来存储 AD FS 安装。她可以使用Windows 内部数据库，也可以使用 SQL Server。
   

5. 核对全部选项之后，她单击 ‘Configure’ 来配置 AD FS。
   

6. 这样就完成了！ pcloud 域现在有了一个 AD FS 实例与之关联，可以用来向 WAP 安装提供管理员用户了。
   

关于 AD FS 的更多信息请参阅 https://technet.microsoft.com/en-us/library/hh831502.aspx。

请参阅这个博文系列的第2部分，了解 Contoso 如何使用这个 AD FS 实例向 WAP 提供管理员身份。

请参阅这个博文系列的第 3 部分，了解 Contoso 如何使用这个 AD FS 实例与 Fabrikam 的 AD 建立联合，通过 Fabrikam AD FS 向 WAP 提供租户身份。