ADFS驗(yàn)證服務(wù)工作原理

對于目標(biāo)應(yīng)用服務(wù)器并沒有加入到企業(yè)網(wǎng)的活動(dòng)目錄環(huán)境中，當(dāng)目標(biāo)應(yīng)用服務(wù)器需要驗(yàn)證用戶的身份時(shí)，其本身并不進(jìn)行具體的驗(yàn)證操作，而是將任務(wù)提交給ADFS聯(lián)合身份驗(yàn)證服務(wù)器，這樣客戶端就可以尋找ADFS服務(wù)器，并完成所需的身份驗(yàn)證操作。ADFS服務(wù)器是和活動(dòng)目錄緊密集成的，因此用戶就可以通過活動(dòng)目錄中的賬戶信息，來實(shí)現(xiàn)具體的身份驗(yàn)證任務(wù)。驗(yàn)證完成后，ADFS服務(wù)器返回給目標(biāo)應(yīng)用服務(wù)器的只是一些聲明信息，包括用戶名、所在部門等信息。當(dāng)目標(biāo)應(yīng)用服務(wù)器接收到這些聲明信息后，會(huì)據(jù)此分配操作權(quán)限。

根據(jù)以上分析可以看出，用戶只需記住自己的域賬戶信息，就可以順利訪問外部應(yīng)用程序服務(wù)器。ADFS服務(wù)實(shí)際上就是幫助外部應(yīng)用程序服務(wù)器進(jìn)行代理的驗(yàn)證，并且返回了相應(yīng)的聲明屬性。對于Office 365來說，它是基于公有云技術(shù)運(yùn)作的。ADFS服務(wù)器同樣支持這類云計(jì)算平臺(tái)。此外，ADFS還支持Azure中的AD，讓用戶在使用Office 365之類的云平臺(tái)時(shí)，不僅可以輸入賬戶名和密碼，還可以接收相應(yīng)的短信驗(yàn)證碼，即可以通過短信驗(yàn)證碼進(jìn)行登錄，來提高登錄的安全性。

賬戶雙向同步原理

Office 365是微軟提供的在線服務(wù)，打開“https://portal.office.com”，輸 入用戶ID和密碼，即可登錄和使用在線Office服務(wù)。對于企業(yè)用戶，希望將域中的賬戶和Office在線賬戶進(jìn)行互導(dǎo)操作，提高使用靈活性。

企業(yè)用戶使用的是基于域環(huán)境的網(wǎng)絡(luò)，在DC的Active Directiry數(shù)據(jù)庫中存在很多賬戶信息，利用Active Directiry同步服務(wù)，可以將AD中的賬戶信息同步到Office 365中。對于AD同步，是將企業(yè)內(nèi)部的活動(dòng)目錄中的賬戶信息導(dǎo)入到Office 365中，使這些用戶和Office 365建立基本的聯(lián)系，使其可以正常登錄Office 365。這就需要在活動(dòng)目錄和Office365之間設(shè)立AD同步服務(wù)器，和兩者之間建立連接，并將AD中的賬戶信息導(dǎo)入到Office 365中。

使用常規(guī)的AD同步操作，雖然可以將域賬戶信息存儲(chǔ)在Office 365中，但是登錄名比較復(fù)雜，格式為“用戶名@組織名稱. partner.onmschina.cn”之類。在企業(yè)內(nèi)部AD上，賬戶的名稱就簡單得多。使用ADFS聯(lián)合身份驗(yàn)證，就無需將AD中的賬戶信息直接導(dǎo)入Office 365中，對用戶的管理依然可以在AD內(nèi)部完成。這樣，用戶就可以使用相同的ID登錄系統(tǒng)和Office 365。

運(yùn)作模式是，用戶在登錄Office 365時(shí)，輸入賬戶ID（即域賬號(hào)），登錄頁面檢測到該企業(yè)域賬號(hào)后，跳轉(zhuǎn)到企業(yè)內(nèi)部的Web應(yīng)用程序代理服務(wù)器中，當(dāng)使用者輸入密碼，點(diǎn)擊登錄按鈕時(shí)，Web應(yīng)用程序代理服務(wù)器會(huì)將登錄憑據(jù)提交給企業(yè)內(nèi)部的ADFS服務(wù)器，如果ADFS服務(wù)器緩存了相應(yīng)的賬戶和密碼信息，就可以通過驗(yàn)證。否則，ADFS服務(wù)器和企業(yè)AD服務(wù)器通訊進(jìn)行身份驗(yàn)證，來檢測合法性。

如果以上驗(yàn)證都通過，Web應(yīng)用程序代理服務(wù)器就會(huì)給用戶提交一個(gè)聲明，由用戶的瀏覽器將該聲明傳送給Office 365中，之后就可以順利登錄到Office 365之中。從網(wǎng)絡(luò)架構(gòu)上看，Office 365位于Internet上，Web應(yīng)用程序代理服務(wù)器應(yīng)該位于企業(yè)網(wǎng)中的DMZ區(qū)域，通過開設(shè)對應(yīng)的端口，來和Office 365進(jìn)行通訊。ADFS服務(wù)器以及AD服務(wù)器存在于企業(yè)內(nèi)網(wǎng)中，可以和Web應(yīng)用程序代理服務(wù)器進(jìn)行聯(lián)系。在實(shí)際配置時(shí)，Web應(yīng)用程序代理服務(wù)器不需要加入域環(huán)境，其處于工作組模式，ADFS服務(wù)器需要加入到域中。

圖1 安裝ADFS聯(lián)合身份驗(yàn)證服務(wù)

安裝和管理ADFS角色

在ADFS服務(wù)器上打開Active Director由用戶和計(jì)算機(jī)窗口，創(chuàng)建一個(gè)賬戶（例如“adfsuser”），因?yàn)樽鳛榉?wù)賬戶來使用，所以需要選擇“用戶不能更改密碼”和“密碼永不過期”項(xiàng)。運(yùn)行“l(fā)user.msc”程序，在賬戶管理窗口左側(cè)選擇“組”項(xiàng)，雙擊右側(cè)的“Administrators”組。在屬性窗口中點(diǎn)擊“添加”按鈕，將“adfsuser”賬戶添加本地管理員組中。運(yùn)行“mmc”程序，在控制臺(tái)中點(diǎn)擊“Ctrl+M”鍵，在列表中選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，將其添加到控制臺(tái)中。選擇“個(gè)人→證書”項(xiàng)，在右側(cè)窗口的右鍵菜單中點(diǎn)擊“所有任務(wù)→導(dǎo)入”項(xiàng)，導(dǎo)入所需的證書。該公共可信的證書需要單獨(dú)購買。

這里為了便于說明，使用企業(yè)內(nèi)部的證書。這需要在DC上安裝AD證書服務(wù)，證書名稱中的域名需要和企業(yè)名稱一致。使用證書是為了保證ADFS服務(wù)器和Web應(yīng)用程序代理服務(wù)器之間通訊的安全性。在ADFS服務(wù)器上執(zhí)行注銷操作，之后以“adfsuser”賬戶登錄。在服務(wù)器管理器中點(diǎn)擊“添加角色和功能”，在角色列表中選擇“Active Directory Federation Services”項(xiàng)（如圖1），點(diǎn)擊“安裝”安裝該角色。當(dāng)然，不同的企業(yè)擁有的用戶數(shù)量存在差異，對于用戶數(shù)量巨大的企業(yè)，使用單臺(tái)ADFS服務(wù)器，無法滿足需求。為此，可以配置多臺(tái)ADFS服務(wù)器，將其放置在同一個(gè)服務(wù)器場中。

為了便于與Web應(yīng)用程序代理服務(wù)器通訊，可以為其指派一個(gè)統(tǒng)一的IP地址。在DC控制器中打開DNS管理器，在左側(cè)選擇“DNS→DC名稱→正向查找區(qū)域→xxx.com域名”項(xiàng)，在右鍵菜單上點(diǎn)擊“創(chuàng)建主機(jī)（A或AAAA）”項(xiàng)，在彈出窗口中輸入其名稱（例如“adfsz”），也即是 ADFS服務(wù)器場的名稱，在“IP地址”欄中輸入所需的IP，即ADFS服務(wù)器場的IP。ADFS中的證書名稱必須與該域名（例 如“adfsz.xxx.com”）對應(yīng)。之后點(diǎn)擊“添加主機(jī)”按鈕，創(chuàng)建該A記錄。

使用ADFS實(shí)現(xiàn)賬戶雙向互導(dǎo)

完成ADFS角色安裝后，點(diǎn)擊“在此服務(wù)器上配置聯(lián)合身份驗(yàn)證服務(wù)”，在向?qū)Ы缑妫ㄈ鐖D2）中選擇“在聯(lián)合服務(wù)器場中創(chuàng)建第一個(gè)聯(lián)合服務(wù)器”項(xiàng)，如果之后配置更多的ADFS服務(wù)器的話，需要選擇“將聯(lián)合服務(wù)器添加到聯(lián)合服務(wù)器場中”項(xiàng)。點(diǎn)擊“下一步→更改”按鈕，在Windows安全窗口中輸入域管理員賬戶和密碼，連接到AD域服務(wù)。在下一步窗口中的“SSL證書”列表中選擇準(zhǔn)備好的證書，在“聯(lián)合身份驗(yàn)證服務(wù)顯示名稱”欄中輸入合適的名稱，該名稱將在登錄Office 365時(shí)顯示。

圖2 配置ADFS聯(lián)合身份驗(yàn)證服務(wù)

點(diǎn)擊下一步，選擇“使用現(xiàn)有的域用戶賬戶或組托管服務(wù)賬戶→選擇”按，選擇上述“afdsuser”賬戶并輸入密碼。在下一步窗口中選擇“在此服務(wù)器上使用Windows內(nèi)部數(shù)據(jù)庫創(chuàng)建數(shù)據(jù)庫”，來創(chuàng)建所需的數(shù)據(jù)庫，在其中緩存用戶ID信息。如果用戶的數(shù)量巨大，就需要使用SQL Server數(shù)據(jù)庫加以應(yīng)對。選擇“指定SQL服務(wù)器數(shù)據(jù)庫的位置”項(xiàng)，輸入SQL Server主機(jī)名和實(shí)例名。之后可以查看選項(xiàng)信息，執(zhí)行先決條件的檢測操作，最后點(diǎn)擊“配置”執(zhí)行所需的配置操作。

Web應(yīng)用程序代理服務(wù)器不需要加入到域，需要開啟TCP 443端口。為了順利訪問該服務(wù)器，需要需要向Internet上的域名提供商申請一個(gè)域名。域名申請成功后，登錄到后臺(tái)管理界面，在域名管理中點(diǎn)擊“新增解析”之類的按鈕，增加一個(gè)A記錄，來指向該Web應(yīng)用程序代理服務(wù)器。為了保證安全通訊，需要為該機(jī)購買并配置證書，證書名稱必須與外網(wǎng)域名一致。打開服務(wù)器管理器，點(diǎn)擊“添加角色和功能”在角色列表中選擇“遠(yuǎn)程訪問”，在下一步窗口中的角色服務(wù)列表中選擇“Web應(yīng)用程序代理”項(xiàng)，之后完成安裝。

點(diǎn)擊“打開Web應(yīng)用程序代理向?qū)А辨溄樱谙驅(qū)Ы缑纥c(diǎn)擊下一步，在“聯(lián)合身份驗(yàn)證服務(wù)名稱”欄中輸入其名稱，即在上述DNS中添加的“adfsz.xxx.com”域名。輸入本地管理員的賬戶名和密碼，即上述ADFS服務(wù)賬戶，例如“xxx.comadfsuser”。 在下一 步窗口中選擇所需的證書，點(diǎn)擊“配置”按鈕，完成配置操作。在外網(wǎng)的某臺(tái)主機(jī)上打開瀏覽器，訪問“https://adfsz.xxx.com/adfs/ls/ idpinitiatedsignon.html”，如 果出現(xiàn)登錄界面，顯示上述聯(lián)合身份驗(yàn)證服務(wù)顯示名稱的話，而且當(dāng)輸入企業(yè)對應(yīng)的域賬戶和密碼后，點(diǎn)擊“登錄”按鈕，顯示“你已登錄”的提示，就說明上述配置是成功的。

在ADFS服務(wù)器上打開Windows PowerShell的Windows Azure Active Directory模塊，執(zhí)行“Connect -MsolService”命令，在彈出的窗口中輸入Office 365的全局管理員賬戶名和面，連接到Office 365中。執(zhí)行“Convert-MsokDomainToFederated-DomainName xxx.com”命令，為Office 365指定跳轉(zhuǎn)的目標(biāo)域名。

當(dāng)用戶在Office 365登錄界面中輸入企業(yè)域名和密碼后，點(diǎn)擊登錄操作，Office 365就跳轉(zhuǎn)到上述Web程序代理服務(wù)器上，由其將登錄憑據(jù)提交給ADFS服務(wù)器，ADFS服務(wù)器可以自身緩存進(jìn)行驗(yàn)證或者將其提交給AD服務(wù)器進(jìn)行驗(yàn)證。當(dāng)驗(yàn)證通過后，將聲明信息傳送給Office 365登錄頁面，進(jìn)而順利登錄到Office 365中。

注意，在實(shí)際使用時(shí)，上述證書必須是第三方提供的公用的可信的證書，否則因?yàn)镺ffice 365和Web應(yīng)用程序代理服務(wù)器之間無法建立信任關(guān)系而無法順利登錄。