Bereitstellen von Zugriff auf die Anwendungen und Dienste anderer Organisationen für Ihre Active Directory-Benutzer
Dieses Active Directory-Verbunddienste (AD FS)-Bereitstellungsziel basiert auf dem Ziel unter Bereitstellen des Zugriffs auf Ihre anspruchsfähigen Anwendungen und Dienste für Ihre Active Directory-Benutzer.
Wenn Sie Administrator der Kontopartnerorganisation sind und ihr Bereitstellungsziel darin besteht, Mitarbeitern Verbundzugriff auf Ressourcen zu ermöglichen, die in einer anderen Organisation gehostet werden, lesen Sie bitte Folgendes:
Mitarbeiter, die an einer Active Directory-Domäne im Unternehmensnetzwerk angemeldet sind, können die Funktion für einmaliges Anmelden (Single-Sign-on, SSO) für den Zugriff auf webbasierte Anwendungen und Dienste verwenden, die durch AD FS gesichert werden, wenn die Programme oder Dienste sich in einer anderen Organisation befinden. Weitere Informationen finden Sie unter Federated Web SSO Design.
Beispielsweise könnte Fabrikam fordern, dass Mitarbeiter im Unternehmensnetzwerk Verbundzugriff auf Webdienste erhalten, die von Contoso gehostet werden.
Remotemitarbeiter, die bei der Active Directory-Domäne angemeldet sind, können AD FS-Tokens von dem Verbundserver in Ihrer Organisation erhalten, um Verbundzugriff auf AD FS-gesicherte webbasierte Anwendungen oder Dienste zu erhalten, die in einer anderen Organisation gehostet werden.
Beispielsweise könnte Fabrikam fordern, dass die Remotemitarbeiter Verbundzugriff auf durch AD FS-gesicherte Dienste erhalten, die von Contoso gehostet werden, ohne dass sich die Fabrikam-Mitarbeiter im Unternehmensnetzwerk von Fabrikam befinden müssen.
Zusätzlich zu den grundlegenden Komponenten, die in Provide Your Active Directory Users Access to Your Claims-Aware Applications and Services beschrieben und in der folgenden Abbildung schattiert dargestellt werden, sind für dieses Bereitstellungsziel folgende Komponenten erforderlich:
Kontopartner-Verbundserverproxy: Mitarbeiter, die über das Internet auf den Verbunddienst oder die Anwendung zugreifen, können diese AD FS-Komponente zum Durchführen der Authentifizierung nutzen. Standardmäßig führt diese Komponente Formularauthentifizierung durch, kann jedoch auch Standardauthentifizierung durchführen. Sie können diese Komponente auch so konfigurieren, dass eine SSL (Secure Sockets Layer)-Clientauthentifizierung stattfindet, wenn Mitarbeitern Ihrer Organisation Zertifikate vorliegen. Weitere Informationen hierzu finden Sie unter Where to Place a Federation Server Proxy (Platzieren eines Verbundserverproxys).
Umkreis-DNS: Diese DNS-Implementierung (Domain Name System, DNS) bietet die Hostnamen für das Umkreisnetzwerk. Weitere Informationen zum Konfigurieren von Umkreis-DNS für einen Verbundserverproxy finden Sie unter Namensauflösungsanforderungen für Verbundserverproxys.
Remotemitarbeiter: Der Remotemitarbeiter greift mit gültigen Anmeldeinformationen aus dem Unternehmensnetzwerk auf eine webbasierte Anwendung (über einen unterstützten Webbrowser) oder einen webbasierten Dienst (über eine Anwendung) zu, während er sich außerhalb des Standorts im Internet befindet. Der Clientcomputer des Mitarbeiters am Remotestandort kommuniziert direkt mit dem Verbundserverproxy, um ein Token zu erstellen und sich bei der Anwendung oder dem Dienst zu authentifizieren.
Nach Durchlesen der Informationen in den verknüpften Themen können Sie anhand der Schritte in Checklist: Implementing a Federated Web SSO Designmit der Umsetzung dieses Bereitstellungsziels beginnen.
In der folgenden Abbildung sind die zum Erreichen dieses AD FS-Bereitstellungsziels erforderlichen Komponenten dargestellt.
