Windows azure Web 應用程序代理服務器—ADFS的extranet訪問權限
我們之前介紹了,在windows azure下配置聯合身份驗證服務,實現通過本地的Active Direcroty用戶驗證範根windows azure Active Direcroty服務,默認操作後,只有在同一個內部網絡才能訪問,那我們如果要外部訪問的話,我們需要怎麼做呢,當然按照常理我們需要將ADFS的相應的端口對外發布即可,比如80、443等。但是在官網的方法是我們需要單獨部署一臺proxy服務,然後對該proxy進行發佈。如果我們不部署ADFS的proxy的話,我們直接發佈ADFS的80、443端口理論上應該也是可行的,具體我沒試過,微軟之所以這麼做也許爲了安全考慮吧,直接把對應的服務放在公網不安全,所以就借用proxy來保護,我的理解是這樣的,今天呢,我們主要介紹就是按照官網說的,我們部署ADFS的proxy(Web 應用程序代理服務器)來完成對應的外網發佈。
http://technet.microsoft.com/zh-cn/library/dn528859.aspx
我們新建一個windows 2012r2的計算機。然後安裝相應的服務。
1.通過用戶界面安裝 Web 應用程序代理角色服務
在 Web 應用程序代理服務器上,在服務器管理器控制檯中的「儀表板」內單擊「添加角色和功能」。
在「添加角色和功能嚮導」中,單擊「下一步」三次以進入服務器角色選擇屏幕。
在「選擇服務器角色」對話框中選擇「遠程訪問」,然後單擊「下一步」。
單擊「下一步」兩次。
在「選擇角色服務」對話框中選擇「Web 應用程序代理」下,單擊「添加功能」,然後單擊「下一步」。
在「確認安裝選擇」對話框中單擊「安裝」。
在「安裝進度」對話框中確認安裝成功,然後單擊「關閉」。
2.通過 Windows PowerShel 安裝 Web 應用程序代理角色服務
下面的 Windows PowerShell cmdlet 將執行與前面的過程相同的功能。每行輸入一個 cmdlet,即使此處由於格式設置約束導致它們換行而顯示在多行中。
下面的 Windows PowerShell cmdlet 將執行與前面的過程相同的功能。每行輸入一個 cmdlet,即使此處由於格式設置約束導致它們換行而顯示在多行中。
Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
我們在此通過powershell來安裝該角色服務
角色服務安裝完成
安裝完服務我們建議重啓系統
通過用戶界面配置 Web 應用程序代理
1.在 Web 應用程序代理服務器上,打開遠程訪問管理控制檯:RAMgmtUI.exe,然後按 Enter。2.如果出現了「用戶帳戶控制」對話框,請確認其中顯示的操作爲所需的操作,然後單擊「是」。
3.在導航窗格中,單擊「Web 應用程序代理」。
4.在遠程訪問管理控制檯的中間窗格中,單擊「運行 Web 應用程序代理配置嚮導」。
5.在「Web 應用程序代理配置嚮導」的「歡迎」對話框中,單擊「下一步」。
在「聯合服務器」對話框中執行以下操作,然後單擊「下一步」:
在「聯合身份驗證服務名稱」框中,輸入 AD FS 服務器的完全限定域名 (FQDN),例如 fs.fabrikam.com。
在「用戶名」和「密碼」框中,輸入 AD FS 服務器上的本地管理員帳戶的憑據。
在「AD FS 代理證書」對話框中,從 Web 應用程序代理服務器上當前安裝的證書列表內,選擇 Web 應用程序代理用於實現 AD FS 代理功能的證書,然後單擊「下一步」。
注:我們提前將ADFS導出私鑰的證書導入到ADFS-Proxy計算機的個人證書中
在此處選擇的證書應該是使用者爲聯合身份驗證服務名稱(例如 fs.fabrikam.com)的證書。
在「確認」對話框中查看設置。如果需要,可以複製 PowerShell cmdlet 以自動完成其他安裝。單擊「配置」。
在「結果」對話框中確認配置成功,然後單擊「關閉」。
單擊關閉,會自動跳轉到路由訪問管理控制檯。
然後我們需要在外網將該服務器(Web 應用程序代理服務器)的443、80發佈即可。