ADFS2016和ADFS代理的安装与配置

一，ADFS安装教程

教程链接（包含安装和配置两个步骤）：

https://www.virtuallyboring.com/how-to-setup-microsoft-active-directory-federation-services-adfs/

注意事项：

1，ADFS依赖域环境,即Active Directory Domain Services (AD DS)，需要加入域中！否则ADFS无法与AD通信。

2，配置阶段的证书选择，SSL可以使用泛域名证书，例如"*.mycompany.com"，这时ADFS的服务名称（Federation Service Name）可以定义为adfs.mycompany.com或者sso.mycompany.com等等，且子域名可以正常解析（配置内网DNS去配置解析）。

如果使用“sso.mycompany.com”子域名SSL证书，ADFS的服务名称（Federation Service Name）必须一致，即“sso.mycompany.com”！

如果使用自签名证书，证书（sso.company.local）必须与SSL服务名称(必须是sso.company.local)保持一致。

3，安装并配置完毕后，先进行内网测试（因为是内网DNS） https://sso.mycompany.com/adfs/ls/idpinitiatedSignOn.aspx

如果无法访问，使用powershell，

--查看是否启用

_>(Get-AdfsProperties).EnableIdPInitiatedSignonPage

如果返回“false”，进行启用

_>Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

--如何查询ADFS版本？

ADFS powershell参考

https://docs.microsoft.com/en-us/powershell/module/adfs/?view=win10-ps

二，ADFS代理（Web Application Proxy）安装教程

包含代理的安装、配置（连接ADFS）、发布（对外提供服务）三个步骤

http://www.mistercloudtech.com/2015/11/25/how-to-install-and-configure-web-application-proxy-for-adfs/

注意事项：

ADFS位于内网，通常为安全起见，不会公开到外网供客户访问，一般是通过ADFS代理进行间接通信。

1，ADFS和代理不要部署到同一台服务器！

2，代理不用加域！但是需要能访问到ADFS服务器！(如果是内网域名，可以编辑 system32/ect/host文件，添加对adfs服务的的解析)

3，配置阶段，选择ADFS的签名证书。假如ADFS采用了自签名证书，需要提前把证书安装到代理所在的服务器上，并安装到“受信任的证书颁发机构”下面

发布阶段，选择ADFS代理对外提供的域名证书，也可以使用ADFS一样的证书，但是必须是公网证书（可公网解析的域名需要申请公网证书，例如sina.com）

4，因为是SSL通信，需要通过域名进行访问！因此要配置外网DNS指向此服务器，（示例域名 https://sso.mycompany.com）

5，配置连接ADFS时，使用的账户是ADFS所在服务器的本地账户，非域账户

6，发布完毕后，外网测试（非公司内网，此时访问的是代理服务器）

https://sso.mycompany.com/adfs/ls/idpinitiatedSignOn.aspx