Menyediakan Akses Pengguna Direktori Aktif Anda ke Aplikasi dan Layanan yang Sadar Klaim Anda
Ketika Anda adalah administrator di organisasi mitra akun dalam penyebaran Layanan Federasi Direktori Aktif (AD FS) dan Anda memiliki tujuan penyebaran untuk menyediakan akses menyeluruh (SSO) bagi karyawan di jaringan perusahaan ke sumber daya yang dihosting:
Karyawan yang masuk ke forest Direktori Aktif di jaringan perusahaan dapat menggunakan SSO untuk mengakses beberapa aplikasi atau layanan di jaringan perimeter di organisasi Anda sendiri. Aplikasi dan layanan ini diamankan oleh Layanan Federasi Direktori Aktif.
Misalnya, Fabrikam mungkin ingin karyawan jaringan perusahaan memiliki akses federasi ke aplikasi berbasis Web yang dihosting di jaringan perimeter untuk Fabrikam.
Karyawan jarak jauh yang masuk ke domain Direktori Aktif dapat memperoleh token Layanan Federasi Direktori Aktif dari server federasi di organisasi Anda untuk mendapatkan akses federasi ke aplikasi atau layanan berbasis Web yang diamankan Ad FS yang juga berada di organisasi Anda.
Informasi di penyimpanan atribut Direktori Aktif dapat diisi ke dalam token LAYANAN Federasi Direktori Aktif karyawan.
Komponen berikut diperlukan untuk tujuan penyebaran ini:
Active Directory Domain Services (AD DS): AD DS berisi akun pengguna karyawan yang digunakan untuk menghasilkan token AD FS. Informasi, seperti keanggotaan grup dan atribut, diisi ke dalam token LAYANAN Federasi Direktori Aktif sebagai klaim grup dan klaim kustom.
Catatan
Anda juga dapat menggunakan Lightweight Directory Access Protocol (LDAP) atau Bahasa Permintaan Terstruktur (SQL) untuk berisi identitas untuk pembuatan token Ad FS.
DNS Perusahaan: Implementasi Sistem Nama Domain (DNS) ini berisi rekaman sumber daya host sederhana (A) sehingga klien intranet dapat menemukan server federasi akun. Implementasi DNS ini juga dapat menghosting catatan DNS lain yang diperlukan di jaringan perusahaan. Untuk informasi selengkapnya, lihat Persyaratan Resolusi Nama untuk Server Federasi.
Server federasi mitra akun: Server federasi ini bergabung ke domain di forest mitra akun. Ini mengautentikasi akun pengguna karyawan dan menghasilkan token LAYANAN Federasi Direktori Aktif. Komputer klien untuk karyawan melakukan Autentikasi Terintegrasi Windows terhadap server federasi ini untuk menghasilkan token Layanan Federasi Direktori Aktif. Untuk informasi selengkapnya, lihat Meninjau Peran Server Federasi di Mitra Akun.
Server federasi mitra akun dapat mengautentikasi pengguna berikut:
Karyawan dengan akun pengguna di domain ini
Karyawan dengan akun pengguna di mana saja di forest ini
Karyawan dengan akun pengguna di mana saja di forest yang dipercaya oleh forest ini (melalui kepercayaan Windows dua arah)
Karyawan: Karyawan mengakses layanan berbasis Web (melalui aplikasi) atau aplikasi berbasis Web (melalui browser Web yang didukung) saat dia masuk ke jaringan perusahaan. Komputer klien karyawan di jaringan perusahaan berkomunikasi langsung dengan server federasi untuk autentikasi.
Setelah meninjau informasi dalam topik yang ditautkan, Anda dapat mulai menyebarkan tujuan ini dengan mengikuti langkah-langkah dalam Daftar Periksa: Menerapkan Desain SSO Web Federasi.
Ilustrasi berikut menunjukkan setiap komponen yang diperlukan untuk tujuan penyebaran Layanan Federasi Direktori Aktif ini.
Lihat Juga
Panduan Desain Layanan Federasi Direktori Aktif di Windows Server 2012
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk