AD FS部署与SSO集成指南

"ADFS部署指南.pdf" 本文档详细介绍了如何部署AD FS (Active Directory Federation Services) 并集成ASP.NET MVC应用以实现单点登录(SSO)。以下是关键步骤和知识点的概述： 1. **环境准备**： - 部署涉及三个主要服务器角色：ADFS应用服务器、AD域服务器和WEB SSO单点登录应用服务器。ADFS应用服务器和AD域服务器可以部署在同一台机器上，但WEB SSO服务器需独立。 - 所有服务器应位于同一网络环境中，并确保SSL证书准备就绪。证书应为通配符证书，以便涵盖所有相关的二级或三级域名。 2. **AD域服务安装**： - 安装AD域服务通常遵循微软官方文档或通过搜索引擎获取的教程。安装后，创建一些测试域用户和组织单位。 3. **AD域配置**： - 建议在新建林时使用主域名，例如`kdhrcloud.com`。 4. **ADFS安装**： - ADFS应用服务器需先加入域。安装过程包括导入SSL证书，证书的Common Name (CN) 应设置为`adfs.kdhrcloud.com`。 - 安装完成后，需要通过两个步骤验证ADFS是否正确配置： - 验证1：访问`/federationmetadata/2007-06/federationmetadata.xml`，如果能成功下载XML文件，表示配置正确。 - 验证2：访问`https://你的ADFS域名/adfs/ls/idpinitiatedsignon.htm`，如果出现登录界面，表明ADFS服务器运行正常。 5. **ADFS配置与SSO集成**： - 接下来，需要配置ADFS信任关系，这通常涉及到创建身份提供者(Identity Provider, IDP)和受信任的凭据提供者(Relying Party Trust)。 - MVC应用需要配置以使用ADFS作为身份验证源，这可能涉及到修改Web.config文件，添加适当的WS-Federation或OAuth 2.0配置。 6. **测试与优化**： - 完成基本配置后，进行用户登录测试，确保SSO功能正常工作。根据需求调整ADFS策略，如令牌有效期、重定向URL等。 7. **安全注意事项**： - 在实际生产环境中，确保所有的安全最佳实践得到遵循，包括但不限于使用强密码、定期更新证书、限制不必要的网络访问等。 8. **文档记录**： - 记录整个部署过程和配置细节，这对于未来维护和故障排查至关重要。 ADFS部署是一个涉及多步骤的过程，需要对AD域服务、SSL证书管理和身份验证协议有深入理解。成功部署后，ADFS将提供安全的身份验证和授权服务，简化用户登录体验。