部署ADFS聯合伺服器場

在adfs 服務中，每個聯合驗證伺服器都必須要加入域。**伺服器wap可以加入域，也可以不加域。

如果web server只支援claims-aware 的應用，那麼這個web server 不一定需要加入域。（？為什麼不知道）

證書=公鑰+私鑰

在聯合驗證伺服器場中，adfs需要用到ssl來進行驗證服務。場中的每一台伺服器都用一樣的證書，而且必須要有證書和證書相應的金鑰。比如，你有乙個.pfx檔案，裡面有證書和金鑰，然後你就可以在adfs安裝嚮導裡面直接匯入這個檔案。

ssl證書必須包括：

使用者名稱和使用者可用名稱必須得包含聯合服務的名稱：例如：fs.contoso.com使用者可選名稱必須包含enterpriseregistration，後面接著upn作為字尾，比如enterpriseregistration.corp.contoso.com

如果企業有好幾個upn字尾，就要啟用drs功能（device registeration service），並且ssl必須包含使用者可用名稱作為字尾進行訪問。

賬戶夥伴組織account partner organization

在聯合身份驗證關係中，賬戶夥伴組織是物理儲存在adfs伺服器支援的attribute store裡面。賬戶夥伴組織負責收集和驗證使用者的憑據，給使用者建立claims，然後把claims封裝成安全令牌。安全令牌可以在信任關係之間傳來傳去的，讓處在夥伴組織的的資源，也可以用安全令牌進行訪問。

換句話說，賬戶組織夥伴就是發放令牌的那端，賬戶組織夥伴對本地使用者進行驗證，並且生成安全令牌，資源夥伴組織用安全令牌對資源進行授權。

至於attribute store，adfs賬戶夥伴相當於乙個單林ad域，這個單林域裡的使用者想去訪問另乙個林裡面的資源。在賬戶夥伴域裡的使用者想去訪問資源夥伴域的資源，除非建立外部信任關係，或者林信任關係。

資源夥伴組織（resource partner organization）

在adfs部署中，web server 所處的地方就是資源夥伴組織。資源夥伴信任賬戶夥伴驗證的使用者。資源夥伴收到賬戶夥伴的token，然後判斷我發放這個資源給這個小夥伴不。

換句話說，資源夥伴裡面的web server是由資源夥伴自己的federation server對自己的資源進行保護。資源夥伴用token進行驗證決策。

為了能夠實現adfs 資源夥伴的功能，web server 必須安裝windows identity foundation wif 或者安裝ad fs 1.x claims-aware web agent role services