Prüfliste: Konfigurieren der Kontopartnerorganisation

  • Artikel

Die Kontopartnerorganisation enthält die Benutzer, die auf webbasierte Anwendungen im Ressourcenpartner zugreifen. Administratoren in dieser Organisation müssen das AD FS-Verwaltungs-Snap-In verwenden, um Vertrauensstellungen der vertrauenden Seite zu erstellen, die ihre Vertrauensstellungen mit Ressourcenpartnerorganisationen repräsentieren. Administratoren des Ressourcenpartners müssen wiederum Anspruchsanbieter-Vertrauensstellungen für jede Kontopartnerorganisation erstellen, der sie vertrauen möchten.

Diese Prüfliste enthält Aufgaben zum Bereitstellen von Active Directory-Verbunddiensten (AD FS) in der Kontopartnerorganisation. Sie enthält auch Aufgaben zum Konfigurieren der Komponenten, die zum Einrichten der einen Seite der Verbundpartnerschaft erforderlich sind.

Wenn Sie einen Web-SSO-Entwurf bereitstellen, müssen Sie diese Prüfliste nicht befolgen. Sie müssen die Aufgaben in dieser Prüfliste jedoch ausführen, um erfolgreich einen Verbund-Web-SSO-Entwurf bereitzustellen.

Wichtig

Stellen Sie sicher, dass der Administrator in der Ressourcenpartnerorganisation die Anleitungen in der Prüfliste: Konfigurieren der Ressourcenpartnerorganisation befolgt, um zu gewährleisten, dass alle erforderlichen Bereitstellungsaufgaben ausgeführt wurden, damit die zweite Seite der Verbundpartnerschaft erfolgreich erstellt werden kann.

Hinweis

Führen Sie die Aufgaben in dieser Prüfliste in der angegebenen Reihenfolge aus. Wenn Sie über einen Referenzlink zu einer Prozedur gelangen, kehren Sie zu diesem Thema zurück, nachdem Sie die Schritte in der betreffenden Prozedur ausgeführt haben, sodass Sie die Ausführung der verbleibenden Aufgaben in dieser Prüfliste fortsetzen können.

Check mark icon, Configure the account partner organization.Prüfliste: Konfigurieren der Kontopartnerorganisation

Aufgabe Verweis
Wenn in Ihrer Produktionsumgebung eine Bereitstellung von AD FS 1.0 oder 1.1 vorhanden ist, finden Sie unter dem Link auf der rechten Seite Informationen zum Migrieren von Einstellungen von Ihrem aktuellen Verbunddienst zu einem neuen AD FS-Verbunddienst. Wenn Sie AD FS zum ersten Mal in Ihrer Organisation bereitstellen, können Sie diesen Schritt überspringen und mit der nächsten Aufgabe in dieser Prüfliste fortfahren, um Informationen zum Einrichten einer neuen Kontopartnerorganisation zu erhalten. Icon, Plan to migrate to AD FS 2.0.Planen einer Migration zu AD FS 2.0
Lesen Sie – abhängig von Ihren Bereitstellungszielen – Informationen zu den Komponenten, die erforderlich sind, um Benutzern Zugriff auf die Verbundanwendungen zu bieten. Icon, Provide your AD users access to your claims-aware applications.Bereitstellen von Zugriff auf Ihre Ansprüche unterstützenden Anwendungen und Dienste für Ihre Active Directory-Benutzer

Icon, Provide your AD users access to applications and services.Bereitstellen von Zugriff auf die Anwendungen und Dienste anderer Organisationen für Ihre Active Directory-Benutzer

Icon, Provide users in another organization acces to your claims-aware applications and services.Bereitstellen von Zugriff auf Ihre Ansprüche unterstützenden Anwendungen und Dienste für die Benutzer anderer Organisationen
Bestimmen Sie, welchem AD FS-Entwurf diese Kontopartnerorganisation zugeordnet werden soll. Icon, Web SSO design.Web-SSO-Entwurf

Icon, Federated Web SSO design.Federated-Web-SSO-Entwurf
Bevor Sie mit der Bereitstellung Ihrer AD FS-Server beginnen, überprüfen Sie Folgendes: 1.) Vor- und Nachteile der internen Windows-Datenbank (Windows Internal Database, WID) bzw. von SQL Server in Bezug auf die Speicherung der AD FS-Konfigurationsdatenbank. 2.) AD FS-Bereitstellungstopologietypen und ihre zugehörigen Serverplatzierungs- und Netzwerklayoutempfehlungen Icon, Determine your AD FS deployment topology.Bestimmen Ihrer AD FS-Bereitstellungstopologie

Icon, AD FS deployment topology considerations.Überlegungen zur AD FS-Bereitstellungstopologie
Lesen Sie den Leitfaden zur AD FS-Kapazitätsplanung, um die richtige Anzahl von Verbundservern und Verbundserverproxyservern zu ermitteln, die Sie in Ihrer Produktionsumgebung verwenden sollten. Icon, Plan for AD FS server capacity.Planen der AD FS-Serverkapazität
Um die physische Topologie für die Kontopartnerbereitstellung effektiv zu planen und zu implementieren, bestimmen Sie, ob Ihr AD FS-Entwurf einen oder mehrere Verbundserver oder Verbundserverproxys erfordert. Icon, Set up a Federation server.Checkliste: Einrichten eines Verbundservers

Icon, Set up a Federation server proxy.Prüfliste: Einrichten eines Verbundserverproxys
Bestimmen Sie die Art des Attributspeichers, den Sie AD FS hinzufügen möchten. Fügen Sie dann den Attributspeicher über das AD FS-Verwaltungs-Snap-In hinzu. Icon, The role of attribute stores.Rolle des Attributspeichers

Icon, Add an attribute store.Attributspeicher hinzufügen
Wenn Sie Ansprüche an einen Ressourcenpartner senden oder von einem Ressourcenpartner nutzen müssen, der AD FS 1.0 oder 1.1 verwendet, finden Sie unter dem Link auf der rechten Seite Informationen zum Konfigurieren von AD FS für die Interoperabilität mit früheren AD FS-Versionen. Wenn die Ressourcenpartnerorganisation ebenfalls AD FS zum Nutzen oder Senden von Ansprüchen an Ihre Organisation verwendet, können Sie diesen Schritt überspringen und mit der nächsten Aufgabe in dieser Prüfliste fortfahren. Icon, Plan for interoperability with AD FS 1.x.Planen der Interoperabilität mit AD FS 1.x
Verwenden Sie nach dem Bereitstellen des ersten Verbundservers in der Kontopartnerorganisation das AD FS-Verwaltungs-Snap-In, um eine Vertrauensstellung der vertrauenden Seite zu erstellen. Sie können eine Vertrauensstellung für vertrauende Seiten erstellen, indem Sie manuell Daten zu einem Ressourcenpartner eingeben oder eine Verbundmetadaten-URL verwenden, die Ihnen vom Administrator der Ressourcenpartnerorganisation zur Verfügung gestellt wird. Mithilfe der Verbundmetadaten können die Daten für den Ressourcenpartner automatisch abgerufen werden. Hinweis: Falls der Ressourcenpartner seine Verbundmetadaten veröffentlicht oder Ihnen die Daten in einer Datei zur Verfügung stellen kann, empfiehlt sich das automatische Abrufen der Daten, da Sie dadurch Zeit sparen können. Icon, Manually create a relying party trust.Manuelles Erstellen einer Vertrauensstellung der vertrauenden Seite

Icon, Create a relying party trust using Federation metadata.Erstellen einer Vertrauensstellung der vertrauenden Seite mit Verbundmetadaten
Erstellen Sie je nach den Anforderungen Ihrer Organisation einen oder mehrere Anspruchsregelsätze für jede Vertrauensstellung der vertrauenden Seite, die im AD FS-Verwaltungs-Snap-In angegeben ist, damit Ansprüche entsprechend ausgestellt werden. Icon, Create claim rules for a relying party trust.Prüfliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite
Es muss eine Anspruchsbeschreibung erstellt werden, sofern noch keine vorhanden ist, die die Anforderungen Ihrer Organisation erfüllt. Im Lieferumfang von AD FS ist ein Standardsatz von Anspruchsbeschreibungen enthalten, die im AD FS-Verwaltungs-Snap-In verfügbar gemacht werden. Icon, Add a claim description.Anspruchsbeschreibung hinzufügen
Bestimmen Sie, ob Ihre Organisation die Identitätsdelegierung verwenden muss, um ein angegebenes Konto zu autorisieren oder einzuschränken, das „im Namen anderer Benutzer“ handelt oder die Identität anderer Benutzer annimmt. Dies ist häufig erforderlich, wenn Front-End-Webanwendungen mit Back-End-Webdiensten interagieren müssen. Icon, Use identity delegation.Anwendungsbereiche für Identitätsdelegierung
Bereiten Sie Clientcomputer mit folgenden Maßnahmen auf den Verbund vor:

– Fügen Sie die URL des Verbundservers des Kontopartners zur Liste der vertrauenswürdigen Sites für den Clientbrowser hinzu.
– Verwenden Sie eine Gruppenrichtlinie, um die entsprechenden SSL-Zertifikate (Secure Sockets Layer) an die Clientcomputer zu pushen.

 Icon, Prepare client computers in the account partner.Vorbereiten von Clientcomputern des Kontopartners

Icon, Configure client computers to trust the account Federation server.Konfigurieren von Clientcomputern, sodass sie dem Kontoverbundserver vertrauen

configure account partner orgVerteilen von Zertifikaten an Clientcomputer mithilfe einer Gruppenrichtlinie