Предоставление пользователям другой организации доступа к вашим приложениям и службам с поддержкой утверждений

  • Статья

Если вы являетесь администратором в партнерской организации ресурсов в службы федерации Active Directory (AD FS) (AD FS) и у вас есть цель развертывания обеспечить федеративный доступ для пользователей в другой организации (партнерской организации учетной записи) для приложения с поддержкой утверждений или веб-службы, расположенной в организации (партнерской организации ресурсов):

  • федеративные пользователи в вашей организации и в организациях, настроивших федеративное доверие с вашей организацией (организации- партнеры по учетным записям), могут обращаться к размещенному в вашей организации приложению или службе, защищенной AD FS. Дополнительные сведения см. в разделе Federated Web SSO Design.

    Например, в компании Fabrikam может потребоваться предоставить ее сотрудникам федеративный доступ к веб-службам, размещенным в Contoso.

  • Федеративные пользователи, не имеющие прямой связи с доверенной организацией (например, отдельные клиенты), вошедшие в хранилище атрибутов, размещенное в вашей сети периметра, могут получать доступ к нескольким защищенным службами AD FS приложениям, которые также размещены в вашей сети периметра, путем однократного входа с клиентских компьютеров, расположенных в Интернете. Другими словами, когда учетные записи клиентов размещают в сети периметра для обеспечения доступа к приложениям или службам, клиенты, сведения о которых находятся в хранилище атрибутов, могут получать доступ к одному или нескольким приложениям или службам в сети периметра путем однократного входа. Дополнительные сведения см. в разделе Web SSO Design.

    Например, в компании Fabrikam может потребоваться предоставить ее клиентам единый вход (SSO) в несколько приложений или служб, размещенных в сети периметра организации.

Для выполнения этой задачи развертывания необходимы следующие компоненты.

  • службы домен Active Directory (AD DS): Сервер федерации партнеров ресурсов должен быть присоединен к домену Active Directory.

  • DNS периметра: система доменных имен (DNS) должна содержать простую запись ресурсов узла (A), чтобы клиентские компьютеры могли находить сервер федерации партнеров ресурсов и веб-сервер. DNS-сервер может содержать другие записи DNS, которые также являются обязательными в сети периметра. Дополнительные сведения см. в разделе Name Resolution Requirements for Federation Servers.

  • Сервер федерации партнеров ресурсов: сервер федерации партнеров ресурсов проверяет маркеры AD FS, отправляемые партнерам учетной записи. Обнаружение партнера учетной записи выполняется с помощью этого сервера федерации. Дополнительные сведения см. в разделе Review the Role of the Federation Server in the Resource Partner.

  • Веб-сервер. На веб-сервере может находиться веб-приложение или веб-служба. Веб-сервер подтверждает получение допустимых маркеров AD FS от федеративных пользователей перед тем, как разрешить доступ к защищенному веб-приложению или веб-службе.

    С помощью Windows Identity Foundation (WIF) вы можете разрабатывать веб-приложение или службу, чтобы оно принимало федеративные запросы на вход пользователей, выполненные с помощью любого стандартного метода входа, например имени пользователя и пароля.

После просмотра сведений в связанных разделах вы можете начать развертывание этой цели, выполнив действия в контрольном списке. Реализация федеративного единого входа в федеративный веб-сайт и контрольный список: реализация веб-единого входа.

На следующем рисунке показаны все необходимые компоненты для этой цели развертывания AD FS.

access to your claims

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012