Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um eine neue Partnerorganisation in Active Directory Federation Services (AD FS) bereitzustellen, führen Sie die Aufgaben in einer Prüfliste aus: Konfigurieren der Ressourcenpartnerorganisation oder Prüfliste: Konfigurieren der Kontopartnerorganisation, je nach AD FS-Design.
Note
Wenn Sie eine dieser Checklisten verwenden, empfehlen wir dringend, zunächst die Verweise auf die Planungshinweise für Kontopartner oder Ressourcenpartner im AD FS Entwurfshandbuch in Windows Server 2012 zu lesen, bevor Sie mit den Verfahren zur Einrichtung der neuen Partnerorganisation fortfahren. Wenn Sie die Prüfliste auf diese Weise durcharbeiten, erhalten Sie ein besseres Verständnis des gesamten AD FS-Entwurfs und der Bereitstellung für den Kontopartner oder die Ressourcenpartnerorganisation.
Informationen zu Kontopartnerorganisationen
Ein Kontopartner ist die Organisation in der Verbundvertrauensbeziehung, die Benutzerkonten physisch in einem von AD FS unterstützten Attributspeicher speichert. Der Kontopartner ist für das Sammeln und Authentifizieren der Anmeldeinformationen eines Benutzers, das Erstellen von Ansprüchen für diesen Benutzer und das Verpacken der Ansprüche in Sicherheitstoken verantwortlich. Diese Token können dann in einer Verbundvertrauensstellung angezeigt werden, um den Zugriff auf webbasierte Ressourcen zu ermöglichen, die sich in der Ressourcenpartnerorganisation befinden.
Mit anderen Worten, ein Kontopartner stellt die Organisation dar, für deren Benutzer der kontoseitige Partnerverbundserver Sicherheitstoken ausgibt. Der Partnerverbundserver in der Kontopartnerorganisation authentifiziert lokale Benutzer und erstellt Sicherheitstoken, die der Ressourcenpartner beim Treffen von Autorisierungsentscheidungen verwendet.
Im Hinblick auf Attributspeicher entspricht der Kontopartner in AD FS konzeptionell einer einzelnen Active Directory-Gesamtstruktur, deren Konten Zugriff auf Ressourcen benötigen, die sich physisch in einer anderen Gesamtstruktur befinden. Konten in dieser Gesamtstruktur können nur dann auf Ressourcen in der Ressourcengesamtstruktur zugreifen, wenn eine Vertrauensstellung zwischen den beiden Gesamtstrukturen und den Ressourcen, auf die die Benutzenden zugreifen möchten, mit den richtigen Autorisierungsberechtigungen festgelegt wurde.
Informationen zu Ressourcenpartnerorganisationen
Der Ressourcenpartner ist die Organisation in einer AD FS-Bereitstellung, in der sich Webserver befinden. Der Ressourcenpartner vertraut dem Kontopartner, um Benutzer zu authentifizieren. Um Autorisierungsentscheidungen zu treffen, nutzt der Ressourcenpartner daher die Ansprüche, die in Sicherheitstoken verpackt sind, die von Benutzern im Kontopartner stammen.
Anders ausgedrückt: Ein Ressourcenpartner stellt die Organisation dar, deren Webserver vom ressourcenseitigen Verbundserver geschützt sind. Der Verbundserver beim Ressourcenpartner verwendet die vom Kontopartner erstellten Sicherheitstoken, um Autorisierungsentscheidungen für Webserver des Ressourcenpartners zu treffen.
Um als AD FS-Ressource zu funktionieren, müssen Webserver in der Ressourcenpartnerorganisation entweder Windows Identity Foundation (WIF) installiert haben oder die Active Directory-Verbunddienste (AD FS) 1.x Claims-Aware Web Agent-Rollendienste installiert haben. Webserver, die als AD FS-Ressource funktionieren, können webbasierte oder webdienstbasierte Anwendungen hosten.