Konfigurieren von Partnerorganisationen

Um eine neue Partnerorganisation in Active Directory-Verbunddienste (AD FS) (AD FS) bereitzustellen, führen Sie je nach Ihrem AD FS Entwurf die Aufgaben in Checklist: Configuring the Resource Partner Organization (Prüfliste: Konfigurieren der Ressourcenpartnerorganisation ) oder Checklist: Configuring the Account Partner Organization (Prüfliste: Konfigurieren der Kontopartnerorganisation) aus.

Hinweis

Wenn Sie eine dieser Prüflisten verwenden, wird dringend empfohlen, zuerst die Referenzen zur Planung von Kontopartnern oder Ressourcenpartnern im AD FS Entwurfshandbuch in Windows Server 2012 zu lesen, bevor Sie mit den Verfahren zum Einrichten der neuen Partnerorganisation fortfahren. Wenn Sie die Checkliste auf diese Weise befolgen, erhalten Sie ein besseres Verständnis der vollständigen AD FS Entwurfs- und Bereitstellungsgeschichte für den Kontopartner oder die Ressourcenpartnerorganisation.

Informationen zu Kontopartnerorganisationen

Ein Kontopartner ist die Organisation in der Verbundvertrauensstellung, die Benutzerkonten physisch in einem AD FS unterstützten Attributspeicher speichert. Der Kontopartner ist für das Sammeln und Authentifizieren der Anmeldeinformationen eines Benutzers, das Erstellen von Ansprüchen für diesen Benutzer und das Packen der Ansprüche in Sicherheitstoken verantwortlich. Diese Token können dann über eine Verbundvertrauensstellung hinweg präsentiert werden, um den Zugriff auf webbasierte Ressourcen zu ermöglichen, die sich in der Ressourcenpartnerorganisation befinden.

Anders ausgedrückt: Ein Kontopartner stellt die Organisation dar, für deren Benutzer der kontoseitige Verbundserver Sicherheitstoken ausstellt. Der Verbundserver in der Kontopartnerorganisation authentifiziert lokale Benutzer und erstellt Sicherheitstoken, die der Ressourcenpartner bei Autorisierungsentscheidungen verwendet.

Im Hinblick auf Attributspeicher entspricht der Kontopartner in AD FS konzeptionell einer einzelnen Active Directory-Gesamtstruktur, deren Konten Zugriff auf Ressourcen benötigen, die sich physisch in einer anderen Gesamtstruktur befinden. Konten in dieser Gesamtstruktur können nur dann auf Ressourcen in der Ressourcenstruktur zugreifen, wenn zwischen den beiden Gesamtstrukturen und den Ressourcen, auf die die Benutzer Zugriff erhalten möchten, eine externe Vertrauensstellung oder eine Vertrauensstellung für die Gesamtstruktur besteht, die mit den richtigen Autorisierungsberechtigungen festgelegt wurde.

Informationen zu Ressourcenpartnerorganisationen

Der Ressourcenpartner ist die Organisation in einer AD FS Bereitstellung, in der sich Webserver befinden. Der Ressourcenpartner vertraut dem Kontopartner, um Benutzer zu authentifizieren. Daher nutzt der Ressourcenpartner die Ansprüche, die in Sicherheitstoken verpackt sind, die von Benutzern des Kontopartners stammen, um Autorisierungsentscheidungen zu treffen.

Anders ausgedrückt: Ein Ressourcenpartner stellt die Organisation dar, deren Webserver durch den ressourcenseitigen Verbundserver geschützt werden. Der Verbundserver beim Ressourcenpartner verwendet die Sicherheitstoken, die vom Kontopartner erstellt werden, um Autorisierungsentscheidungen für Webserver im Ressourcenpartner zu treffen.

Um als AD FS Ressource zu fungieren, müssen auf Webservern in der Ressourcenpartnerorganisation entweder Windows Identity Foundation (WIF) oder die Active Directory-Verbunddienste (AD FS) (AD FS) 1.x Claims-Aware Web Agent-Rollendienste installiert sein. Webserver, die als AD FS Ressource fungieren, können webanwendungsbasierte oder webdienstbasierte Anwendungen hosten.