Windows azure Web 應用程序代理服務器—ADFS的extranet訪問權限

我們之前介紹了,在windows azure下配置聯合身份驗證服務,實現通過本地的Active Direcroty用戶驗證範根windows azure Active Direcroty服務,默認操作後,只有在同一個內部網絡才能訪問,那我們如果要外部訪問的話,我們需要怎麼做呢,當然按照常理我們需要將ADFS的相應的端口對外發布即可,比如80、443等。但是在官網的方法是我們需要單獨部署一臺proxy服務,然後對該proxy進行發佈。如果我們不部署ADFS的proxy的話,我們直接發佈ADFS的80、443端口理論上應該也是可行的,具體我沒試過,微軟之所以這麼做也許爲了安全考慮吧,直接把對應的服務放在公網不安全,所以就借用proxy來保護,我的理解是這樣的,今天呢,我們主要介紹就是按照官網說的,我們部署ADFS的proxy(Web 應用程序代理服務器)來完成對應的外網發佈。

http://technet.microsoft.com/zh-cn/library/dn528859.aspx

我們新建一個windows 2012r2的計算機。然後安裝相應的服務。

clip_p_w_picpath001

1.通過用戶界面安裝 Web 應用程序代理角色服務

在 Web 應用程序代理服務器上,在服務器管理器控制檯中的「儀表板」內單擊「添加角色和功能」

「添加角色和功能嚮導」中,單擊「下一步」三次以進入服務器角色選擇屏幕。

「選擇服務器角色」對話框中選擇「遠程訪問」,然後單擊「下一步」

單擊「下一步」兩次。

「選擇角色服務」對話框中選擇Web 應用程序代理」下,單擊「添加功能」,然後單擊「下一步」

「確認安裝選擇」對話框中單擊「安裝」

「安裝進度」對話框中確認安裝成功,然後單擊「關閉」

2.通過 Windows PowerShel 安裝 Web 應用程序代理角色服務

下面的 Windows PowerShell cmdlet 將執行與前面的過程相同的功能。每行輸入一個 cmdlet,即使此處由於格式設置約束導致它們換行而顯示在多行中。

下面的 Windows PowerShell cmdlet 將執行與前面的過程相同的功能。每行輸入一個 cmdlet,即使此處由於格式設置約束導致它們換行而顯示在多行中。

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

我們在此通過powershell來安裝該角色服務

clip_p_w_picpath002

角色服務安裝完成

clip_p_w_picpath003

安裝完服務我們建議重啓系統

通過用戶界面配置 Web 應用程序代理

1.在 Web 應用程序代理服務器上,打開遠程訪問管理控制檯:RAMgmtUI.exe,然後按 Enter。2.如果出現了「用戶帳戶控制」對話框,請確認其中顯示的操作爲所需的操作,然後單擊「是」

3.在導航窗格中,單擊Web 應用程序代理」

4.在遠程訪問管理控制檯的中間窗格中,單擊「運行 Web 應用程序代理配置嚮導」

5.在Web 應用程序代理配置嚮導」「歡迎」對話框中,單擊「下一步」

1. clip_p_w_picpath004

「聯合服務器」對話框中執行以下操作,然後單擊「下一步」

「聯合身份驗證服務名稱」框中,輸入 AD FS 服務器的完全限定域名 (FQDN),例如 fs.fabrikam.com。

「用戶名」「密碼」框中,輸入 AD FS 服務器上的本地管理員帳戶的憑據。

clip_p_w_picpath005

AD FS 代理證書」對話框中,從 Web 應用程序代理服務器上當前安裝的證書列表內,選擇 Web 應用程序代理用於實現 AD FS 代理功能的證書,然後單擊「下一步」

注:我們提前將ADFS導出私鑰的證書導入到ADFS-Proxy計算機的個人證書中

clip_p_w_picpath006

clip_p_w_picpath007

在此處選擇的證書應該是使用者爲聯合身份驗證服務名稱(例如 fs.fabrikam.com)的證書。

「確認」對話框中查看設置。如果需要,可以複製 PowerShell cmdlet 以自動完成其他安裝。單擊「配置」。

2. clip_p_w_picpath008

「結果」對話框中確認配置成功,然後單擊「關閉」

clip_p_w_picpath009

單擊關閉,會自動跳轉到路由訪問管理控制檯。

clip_p_w_picpath010

然後我們需要在外網將該服務器(Web 應用程序代理服務器)的443、80發佈即可。