Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'organizzazione partner dell'account contiene gli utenti che accederanno alle applicazioni basate sul Web nel partner delle risorse. Gli amministratori di questa organizzazione devono usare lo snap-in Gestione AD FS per creare relazioni di attendibilità del relying party al fine di rappresentare le loro relazioni di trust con le organizzazioni partner di risorse. A sua volta, l'amministratore partner delle risorse deve creare trust dei provider di attestazioni per ogni organizzazione partner dell'account che vuole considerare attendibile.
Questo elenco di controllo include le attività per la distribuzione di Active Directory Federation Services (AD FS) nell'organizzazione partner dell'account. Include anche attività per la configurazione dei componenti necessari per stabilire una metà di una partnership federativa.
Se si distribuisce un web SSO Design, non è necessario seguire questo elenco di controllo. Tuttavia, è necessario completare le attività in questo elenco di controllo per distribuire correttamente una progettazione SSO Web federata.
Important
Assicurarsi che l'amministratore dell'organizzazione partner risorse segua le indicazioni riportate in Elenco di controllo: Configurazione dell'organizzazione partner risorse per assicurarsi che tutte le attività di distribuzione necessarie vengano completate per creare correttamente la seconda metà della partnership federativa.
Note
Completare le attività in questa lista di controllo seguendo l'ordine. Quando un collegamento di riferimento consente di passare a una procedura, ritorna a questo argomento dopo aver completato i passaggi di tale procedura in modo da poter procedere con le attività rimanenti in questa lista di controllo.
Elenco di controllo: Configurazione dell'organizzazione partner dell'account
| Task | Reference |
|---|---|
| Se si dispone di una distribuzione esistente di AD FS 1.0 o 1.1 nell'ambiente di produzione, vedere il collegamento a destra per informazioni su come eseguire la migrazione delle impostazioni dal servizio federativo corrente a un nuovo servizio federativo AD FS. Se stai distribuendo AD FS per la prima volta nella tua organizzazione, puoi ignorare questo passaggio e continuare con il compito successivo in questa lista di controllo per informazioni su come configurare una nuova organizzazione partner dell'account. |
Pianificazione di una migrazione ad AD FS 2.0 |
| In base agli obiettivi di distribuzione, esaminare le informazioni sui componenti necessari per fornire agli utenti l'accesso alle applicazioni federate. |
Fornire agli utenti di Active Directory l'accesso alle applicazioni e ai servizi in grado di riconoscere attestazioni |
| Determinare a quale progettazione AD FS questa organizzazione partner di account verrà associata. |
Progettazione Single Sign-On Web |
| Prima di iniziare a distribuire i server AD FS, esamina: 1.) vantaggi e svantaggi della scelta di Database interno di Windows (WID) o SQL Server per archiviare il database di configurazione di AD FS 2. Tipi di topologia di distribuzione di AD FS e i relativi consigli sul posizionamento del server e sul layout di rete associati. |
Determinare la topologia di distribuzione di AD FS |
| Revisionare le linee guida per la pianificazione della capacità di AD FS per determinare il numero appropriato di server federativi e server proxy federativi da utilizzare nell'ambiente di produzione. |
Pianificazione della capacità del server AD FS |
| Per pianificare e implementare in modo efficace la topologia fisica per la distribuzione partner account, determinare se la progettazione di AD FS richiede uno o più server federativi o proxy server federativi. |
Elenco di controllo: Configurazione di un server federativo
|
| Determina il tipo di archivio di attributi che desideri aggiungere ad AD FS. Quindi, aggiungere l'archivio attributi usando lo snap-in Gestione AD FS. |
Ruolo degli archivi di attributi |
| Se sarà necessario inviare attestazioni o utilizzare attestazioni da un partner di risorse che utilizza un servizio federativo AD FS 1.0 o 1.1, consultare il collegamento a destra per ottenere informazioni su come configurare AD FS per interoperare con le versioni precedenti di AD FS. Se l'organizzazione partner di risorse usa anche AD FS per inviare o utilizzare attestazioni alla tua organizzazione, è possibile ignorare questo passaggio e continuare con l'attività successiva in questa lista di controllo. |
Pianificazione dell'interoperabilità con AD FS 1.x |
| Dopo aver distribuito il primo server federativo nell'organizzazione partner dell'account, creare una relazione di trust con relying party usando lo snap-in Gestione di AD FS. È possibile creare un trust della relying party inserendo manualmente i dati relativi a un partner di risorse oppure utilizzando un URL di metadati di federazione fornito dall'amministratore dell'organizzazione del partner di risorse. È possibile usare i metadati della federazione per recuperare automaticamente i dati per il partner risorse. Note: If the resource partner publishes its federation metadata or can provide a file copy of it for you to use, we recommend that you retrieve the data automatically because it can save time. |
Creare manualmente un trust di terze parti
|
| A seconda delle esigenze dell'organizzazione, creare uno o più set di regole di attestazione per ogni trust di relying party specificato nello snap-in Gestione AD FS in modo che le attestazioni vengano rilasciate correttamente. |
Elenco di controllo: Creazione delle regole per attestazioni per una parte fidata |
| Se non esiste già una descrizione dell'attestazione, è necessario crearne una che soddisfi le esigenze della tua organizzazione. AD FS viene fornito con un insieme predefinito di descrizioni di attestazioni che sono visibili nello snap-in di gestione di AD FS. |
Aggiungere una descrizione del reclamo |
| Determinare se l'organizzazione dovrà usare la delega delle identità per autorizzare o vincolare un account specificato a "agire come" o rappresentare altri utenti. Questo è spesso un requisito quando le applicazioni Web front-end devono interagire con i servizi Web back-end. |
Quando usare la delega di identità |
| Preparare i computer client per la federazione seguendo questi passaggi: - Aggiunta dell'URL del server federativo dell'account partner all'elenco dei siti attendibili per il browser client. |
Preparare i computer client nel partner di account
|