ADFS 2.0：联合服务和用户声明

    ADFS 2.0：联合服务和用户声明

    ADFS由三种角色服务组成：联合服务（Federation Service），联合服务代理（Federation Service Proxy）以及Web服务器代理（Web server agent）。联合服务是ADFS的核心，它是系统的一部分，用来处理来自其他联合服务器的用户身份验证请求。

    联合服务代理运行在位于网络DMZ区域的服务器上，将外部用户身份验证请求代理到内部ADFS服务器上，它从浏览器客户端手机用户证书，并将它们发送到ADFS服务器。Web服务器代理与基于声明感知的应用（ASP.NET)一起工作在Web站点上，将用户登录请求重定向到ADFS服务器上。联合服务代理和Web代理是可选的，并不是所有情况下都需要。

声明列表

    ADFS 2.0为在本地和远程域之间处理基于声明的验证提供了一个可扩展的平台，在这里我们能看到一个声明列表，是ADFS服务器向其他可信的安全令牌服务来源提供的，每个信任都有一组不同的声明，让ADFS可以适应各种情况。

　　要开始使用ADFS，需要确定你具有一个有效的SSL证书、Windows Server 2008 R2、Microsoft SQL Server 2008（用于策略存储）、以及AD域服务（Active Directory Domain Services）。ADFS 2.0软件可以通过微软下载中心免费下载。

    设置ADFS并不需要太多的步骤，其中大部分涉及输入SSL证书、输出证书和创建共享的证书。每一个ADFS服务器都需要输入其他的SSL证书来验证外部的访问请求。最终步骤是使用SOAP信息和SAML数据元在两个联合服务器（或者说安全令牌服务）间建立信任关系，最后需要为外部资源创建声明规则。

在ADFS2.0中，通过ADFS管理工具导入、输出并创建证书，来定义信任关系

    声明规则可以有多种形式，根据目标资源或应用改变可以比较大。在大多数情况下，每个规则或策略需要知道应用的统一资源标识符URI，用来提供声明。一些规则可能还需要用户名、email地址以及组的从属关系。

    规则可以通过ADFS传输信息，或者将数据转化为可识别形式。例如，如果ADFS和一台LDAP服务器对话，可能需要重新规范用户名，让其他ADFS可以正确处理。ADFS提供了一个非常灵活的规则引擎，可以处理大部分情况。

    ADFS是一个使用基于声明的身份验证机制在域间扩大信任访问的方式，它可以和其他开放的Web标准协作允许将访问扩展到非微软域，并且允许受信任的访问和单点登录能力，并且设置简单。