Lista de verificação: configurando a organização do parceiro de conta

  • Artigo

A organização do parceiro de conta contém os usuários que acessarão os aplicativos baseados na Web no parceiro de recurso. Os administradores desta organização devem usar o snap-in gerenciamento do AD FS para criar objetos de confiança de terceira parte confiável para representar suas relações de confiança com organizações de parceiros de recursos. Por sua vez, o administrador do parceiro de recurso deve criar relações de confiança do provedor de declarações para cada organização de parceiro de conta em que deseja confiar.

Essa lista de verificação inclui tarefas para implantar os Serviços de Federação do Active Directory (AD FS) na organização do parceiro de conta. Ela também inclui tarefas para configurar os componentes necessários para estabelecer metade de uma parceria de federação.

Se você estiver implantando um Design de SSO da Web, não será necessário seguir essa lista de verificação. No entanto, você precisa concluir as tarefas desta lista de verificação para implantar com sucesso um Design de SSO da Web Federado.

Importante

Verifique se o administrador na organização do parceiro de recursos segue as diretrizes descritas em Lista de verificação: como configurar a organização do parceiro de recursos para garantir que todas as tarefas de implantação necessárias sejam concluídas, a fim de criar com sucesso a segunda metade da parceria de federação.

Observação

Execute as tarefas desta lista de verificação na ordem indicada. Quando um link de referência levar você a um procedimento, volte para este tópico depois de executar as etapas nesse procedimento para que você possa prosseguir com as tarefas restantes na lista de verificação.

Check mark icon, Configure the account partner organization.Lista de verificação: configurando a organização do parceiro de conta

Tarefa Referência
Se você tiver uma implantação existente do AD FS 1.0 ou 1.1 em seu ambiente de produção hoje, consulte o link à direita para obter informações sobre como migrar as configurações do serviço de federação atual para um novo Serviço de Federação do AD FS. Se você estiver implantando o AD FS pela primeira vez em sua organização usando o AD FS, poderá ignorar essa etapa e continuar para a próxima tarefa nesta lista de verificação para obter informações sobre como configurar uma nova organização de parceiros de conta. Icon, Plan to migrate to AD FS 2.0.Planejando uma migração para o AD FS 2.0
Com base nas suas metas de implantação, revise as informações sobre os componentes necessários para fornecer aos usuários acesso aos aplicativos federados. Icon, Provide your AD users access to your claims-aware applications.Fornecer a seus usuários do Active Directory acesso a aplicativos e serviços com reconhecimento de declarações

Icon, Provide your AD users access to applications and services.Fornecer a seus usuários do Active Directory acesso a aplicativos e serviços de outras organizações

Icon, Provide users in another organization acces to your claims-aware applications and services.Fornecer a usuários de outra organização acesso a seus aplicativos e serviços com reconhecimento de declarações
Determine a qual design do AD FS essa organização parceira de conta será associada. Icon, Web SSO design.Design SSO da Web

Icon, Federated Web SSO design.Design SSO da Web federado
Antes de começar a implantar servidores do AD FS, confira as; 1.) vantagens e desvantagens de escolher o WID (Banco de dados interno do Windows) ou o SQL Server para armazenar o banco de dados de configuração do AD FS 2.) Tipos de topologia de implantação do AD FS e suas recomendações de posicionamento de servidor e layout de rede associados. Icon, Determine your AD FS deployment topology.Determinar sua topologia de implantação do AD FS

Icon, AD FS deployment topology considerations.Considerações sobre a topologia de implantação do AD FS
Confira as diretrizes de planejamento da capacidade do AD FS para determinar o número adequado de servidores de federação e servidores proxy de federação que você deve usar no seu ambiente de produção. Icon, Plan for AD FS server capacity.Como planejar a capacidade do servidor do AD FS
Para planejar e implementar efetivamente a topologia física para a implantação do parceiro de conta, determine se o design do AD FS exige um ou mais servidores de federação ou proxies do servidor de federação. Icon, Set up a Federation server.Lista de verificação: Como configurar um servidor de federação

Icon, Set up a Federation server proxy.Lista de verificação: Como configurar um proxy do servidor de federação
Determine o tipo de repositório de atributos que deseja adicionar ao AD FS. Em seguida, adicione o repositório de atributos usando o snap-in Gerenciamento do AD FS. Icon, The role of attribute stores.A função dos repositórios de atributos

Icon, Add an attribute store.Adicionar um Repositório de Atributos
Se você for precisar enviar declarações ou consumir declarações de um parceiro de recursos que esteja usando um Serviço de Federação do AD FS 1.0 ou 1.1, confira o link à direita para obter informações sobre como configurar o AD FS para interoperabilidade com versões anteriores do AD FS. Se a organização do parceiro de recurso também estiver usando o AD FS para enviar ou consumir declarações para sua organização, você poderá ignorar essa etapa e continuar com a próxima tarefa nesta lista de verificação. Icon, Plan for interoperability with AD FS 1.x.Como planejar a interoperabilidade com o AD FS 1.x
Após implantar o primeiro servidor de federação na organização do parceiro de conta, crie uma relação de confiança de terceira parte confiável usando o snap-in Gerenciamento do AD FS. Para criar um objeto de confiança de terceira parte confiável, você pode inserir manualmente dados sobre um parceiro de recurso ou usar uma URL de metadados de federação que o administrador da organização do parceiro de recurso fornece. É possível usar os metadados de federação para recuperar automaticamente os dados do parceiro de recurso. Observação: se o parceiro de recurso publicar metadados de federação, ou fornecer uma cópia de arquivos para você usar, recomendamos recuperar os dados automaticamente porque isso pode economizar tempo. Icon, Manually create a relying party trust.Criar um objeto de confiança de terceira parte confiável manualmente

Icon, Create a relying party trust using Federation metadata.Criar um objeto de confiança de terceira parte confiável usando metadados de federação
Dependendo das necessidades da sua organização, crie um ou mais conjuntos de regras de declaração para cada objeto de confiança de terceira parte confiável especificado no snap-in Gerenciamento do AD FS para que as declarações sejam emitidas adequadamente. Icon, Create claim rules for a relying party trust.Lista de verificação: criação de regras de declaração para um objeto de confiança de terceira parte confiável
Uma descrição da declaração deverá ser criada se ainda não existir uma que atenda às necessidades da sua organização. O AD FS é fornecido com um conjunto padrão de descrições de declaração expostas no snap-in do Gerenciamento do AD FS. Icon, Add a claim description.Adicionar uma descrição de declaração
Determine se a organização precisará usar a delegação de identidade para autorizar ou restringir uma conta especificada para "agir como" ou representar outros usuários. Isso geralmente é um requisito quando os aplicativos Web de front-end devem interagir com serviços Web de back-end. Icon, Use identity delegation.Quando usar a delegação de identidade
Prepare computadores cliente para federação:

- Adicionando a URL do servidor de federação do parceiro de conta à lista de sites confiáveis do navegador do cliente.
- Usando a Política de Grupo para enviar por push os certificados SSL apropriados para computadores cliente.

 Icon, Prepare client computers in the account partner.Preparar computadores cliente no parceiro de conta

Icon, Configure client computers to trust the account Federation server.Configurar computadores cliente para confiar no servidor de federação da conta

configure account partner orgDistribuir certificados para computadores cliente usando a política de grupo