Поделиться через


Настройка партнерских организаций

Чтобы развернуть новую партнерская организацию в службы федерации Active Directory (AD FS) (AD FS), выполните задачи в контрольном списке: настройка организации партнера по ресурсам или контрольного списка: настройка партнерской организации учетной записи в зависимости от структуры AD FS.

Примечание.

Если вы используете любой из этих списков проверка, настоятельно рекомендуется сначала ознакомиться со ссылками на рекомендации по планированию партнера по учетной записи или партнеру по планированию ресурсов в руководстве по проектированию AD FS в Windows Server 2012, прежде чем продолжить процедуры настройки новой партнерской организации. После проверка списка таким образом поможет лучше понять полную историю проектирования и развертывания AD FS для партнера учетной записи или партнерской организации ресурсов.

Сведения о партнерских организациях учетной записи

Партнер учетной записи — это организация в отношениях доверия федерации, которые физически хранят учетные записи пользователей в хранилище атрибутов, поддерживаемом AD FS. Партнер учетной записи отвечает за сбор и проверку подлинности учетных данных пользователя, создание утверждений для этого пользователя и упаковку утверждений в маркеры безопасности. Затем эти маркеры можно представить в доверии федерации, чтобы обеспечить доступ к веб-ресурсам, расположенным в партнерской организации ресурсов.

Другими словами, партнер учетной записи представляет организацию, для которой пользователи сервера федерации на стороне учетной записи выдает маркеры безопасности. Сервер федерации в партнерской организации учетной записи проверяет подлинность локальных пользователей и создает маркеры безопасности, которые партнер ресурсов использует при принятии решений о авторизации.

Что касается хранилищ атрибутов, партнер учетной записи в AD FS концептуально эквивалентен одному лесу Active Directory, учетные записи которого нуждаются в доступе к ресурсам, физически расположенным в другом лесу. Учетные записи в этом лесу могут получить доступ к ресурсам в лесу ресурсов только в том случае, если связь доверия внешнего доверия или леса существует между двумя лесами и ресурсами, к которым пользователи пытаются получить доступ с соответствующими разрешениями авторизации.

Сведения о партнерских организациях ресурсов

Партнер по ресурсам — это организация в развертывании AD FS, на котором находятся веб-серверы. Партнер ресурсов доверяет партнеру учетной записи для проверки подлинности пользователей. Таким образом, чтобы принять решения об авторизации, партнер ресурсов использует утверждения, которые упаковываются в маркеры безопасности, поступающие от пользователей в партнере учетной записи.

Другими словами, партнер по ресурсам представляет организацию, веб-серверы которой защищены сервером федерации на стороне ресурса. Сервер федерации в партнере ресурсов использует маркеры безопасности, созданные партнером учетной записи, для принятия решений об авторизации веб-серверов в партнере ресурсов.

Чтобы работать в качестве ресурса AD FS, веб-серверы в партнерской организации ресурсов должны установить Windows Identity Foundation (WIF) или установить службы ролей веб-агента с поддержкой утверждений службы федерации Active Directory (AD FS) (AD FS) 1.x. Веб-серверы, которые работают в качестве ресурса AD FS, могут размещать приложения на основе веб-браузера или веб-службы.