Active Directory联合身份验证服务（AD FS，Active Directory Federation Services）是由微软自Windows Server 2003 R2起，在各个Server版本操作系统中提供的一个软件组件，其最新版本是集成在Windows Server 2012 R2的AD FS 3.0。

AD FS 使用基于Claims的访问控制验证模型来实现联合认证。它提供 Web 单一登录技术，这样只要在会话的有效期内，就可对一次性的对用户所访问的多个Web应用程序进行验证。

可以将 ADFS 理解为组织域内与公网之外的用户桥梁。我们编写的应用程序作为Internet服务在公网部署，当程序需要对域内的用户进行验证时，就可以委托 AD FS 服务器进行验证。 AD FS 服务提供了一个 ADFS 联合服务器代理，这类似于一个只提供了登录界面的应用程序，我们将相关用户的验证过程委托给该程序进行处理，该程序将提示用户输入验证凭据（这可以是在浏览器中弹出登录提示框或跳转到一个登录页面的形式），随后其将所获取的凭据传递给AD FS联合身份验证服务。 AD FS 作为AD的一部分有权限（其拥有AD域管理员的权限）使用AD DS的标准方式认证一个域内的用户，如果认证成功，AD FS 将会依据应用程序预先设定的信息需求，以Claims的形式将安全令牌信息返还给我们的应用程序。

ADFS 联合服务代理如前所述，AD FS 联合服务代理是运行用户通过Internet进行 ADFS的客户端身份验证凭据采集的接口，它会将获取到的凭据传递给联合身份验证服务器进行验证处理。

ADFS集成拓扑

ADFS环境搭建多次就能通过，主要是规则配置。这时候需要AD域用户属性，对应新增或者标签。

标签列表如下：

“常规”标签

姓 Sn

名 Givename

英文缩写 Initials

显示名称 displayName

描述 Description

办公室 physicalDeliveryOfficeName

电话号码 telephoneNumber

电话号码：其它 otherTelephone 多个以英文分号分隔

电子邮件 Mail

网页 wWWHomePage

网页：其它 url 多个以英文分号分隔

“地址”标签

国家/地区 C 如：中国CN，英国GB

省/自治区 St

市/县 L

街道 streetAddress

邮政信箱 postOfficeBox

邮政编码 postalCode

“帐户”标签

用户登录名 userPrincipalName 形如：

用户登录名（以前版本） sAMAccountName 形如：S1

登录时间 logonHours

登录到 userWorkstations 多个以英文逗号分隔

用户账户控制 userAccountControl (启用：512，禁用：514 — 512 + 2， 密码永不过期：66048 — 65536 + 512 ,用户禁用：66050 — 65536 + 512 + 2) microsoft Msdn

账户过期 accountExpires

“配置文件”标签

配置文件路径 profilePath

登录脚本 scriptPath

主文件夹：本地路径 homeDirectory

连接 homeDrive

到 homeDirectory

“电话”标签

家庭电话 homePhone (若是其它，在前面加other。)

寻呼机 Pager 如：otherhomePhone。

移动电话 mobile 若多个以英文分号分隔。

传真 FacsimileTelephoneNumber

IP电话 ipPhone

注释 Info

“单位”标签

职务 Title

部门 Department

公司 Company

“隶属于”标签

隶属于 memberOf 用户组的DN不需使用引号， 多个用分号分隔

“拨入”标签 远程访问权限（拨入或VPN） msNPAllowDialin

允许访问 值：TRUE

拒绝访问 值：FALSE

回拨选项 msRADIUSServiceType

呼叫方设置或回拨到 值：4

总是回拨到 msRADIUSCallbackNumber

“环境”、“会话”、“远程控制”、“终端服务配置文件”、“COM+”标签

举例如下：

引自：