Создание отношений доверия с проверяющей стороной

  • Статья

В следующем документе содержатся сведения о создании доверия проверяющей стороны вручную и использовании метаданных федерации.

Создание утверждений с учетом доверия проверяющей стороны вручную

Чтобы добавить новое отношение доверия с проверяющей стороной с помощью оснастки управления AD FS и вручную настроить параметры, выполните следующую процедуру на сервере федерации.

Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В разделе "Действия" нажмите кнопку "Добавить доверие проверяющей стороны".

    Screenshot of the AD FS dialog box with the Add Relying Party Trust option in the Actions pane called out.

  3. На странице приветствия выберите Claims aware (Поддерживающие утверждения) и нажмите кнопку Начало.

    Screenshot of the Welcome page of the Add Relying Party Trust Wizard showing the Claims aware option selected.

  4. На странице Выберите источник данных щелкните Enter data about the relying party manually (Ввод данных о проверяющей стороне вручную), а затем нажмите кнопку Далее.

    Screenshot of the Select Data Source page of the Add Relying Party Trust Wizard showing the Enter data about the relying party manually option selected.

  5. На странице Specify Display Name (Указание отображаемого имени) введите имя в поле Отображаемое имя. В поле Примечания введите описание для этого отношения доверия с проверяющей стороной и нажмите кнопку Далее.

    Screenshot of the Specify Display Name page of the Add Relying Party Trust Wizard.

  6. На странице настройки сертификата, если у вас есть необязательный сертификат шифрования маркеров, нажмите кнопку "Обзор", чтобы найти файл сертификата, а затем нажмите кнопку "Далее".

    Screenshot of the Configure Certificate page of the Add Relying Party Trust Wizard showing the Browse button called out.

  7. На странице настройки URL-адреса выполните одно или оба из следующих действий, нажмите кнопку "Далее", а затем перейдите к шагу 8.

    • Установите флажок Включить поддержку пассивного протокола WS-Federation . В разделе URL-адрес пассивного протокола WS-Federation для проверяющей сторонывведите URL-адрес для отношений доверия этой проверяющей стороны, а затем нажмите кнопку Далее.

    • Установите флажок Включить поддержку протокола WebSSO SAML 2.0 . В поле Relying party SAML 2.0 SSO service URL (URL-адрес службы SAML 2.0 SSO проверяющей стороны) введите URL-адрес конечной точки службы SAML для этого отношения доверия с проверяющей стороной и нажмите кнопку Далее.

    Screenshot of the Configure Certificate page of the Add Relying Party Trust Wizard showing the configuration explained above.

  8. На странице Настройка удостоверений укажите один или несколько идентификаторов этой проверяющей стороны, нажмите кнопку Добавить , чтобы добавить их в список, а затем нажмите кнопку Далее.

    Screenshot of the Configure Identifiers page of the Add Relying Party Trust Wizard showing identifiers added to the Relying party trust identifiers section.

  9. На странице Choose Access Control Policy (Выбрать политику управления доступом) выберите политику и нажмите кнопку Далее. Дополнительные сведения о политиках контроль доступа см. в разделе контроль доступа Политики в AD FS.

    Screenshot of the Choose Access Control Policy page of the Add Relying Party Trust Wizard showing the Permit everyone and require MFA option highlighted.

  10. На странице Ready to Add Trust (Готовность для добавления отношения доверия) проверьте параметры и нажмите кнопку Далее, чтобы сохранить сведения об отношении доверия с проверяющей стороной.

    Screenshot of the Ready to Add Trust page of the Add Relying Party Trust Wizard.

  11. На странице Готово нажмите кнопку Закрыть. После этого автоматически откроется диалоговое окно Изменение правил утверждений .

    Screenshot of the Finish page of the Add Relying Party Trust Wizard.

Создание утверждений с учетом доверия проверяющей стороны с помощью метаданных федерации

Чтобы добавить новое доверие проверяющей стороны, используя оснастку управления AD FS, автоматически импортируя данные конфигурации о партнере из метаданных федерации, опубликованных партнером в локальной сети или в Интернете, выполните следующую процедуру на сервере федерации в партнерской организации учетной записи.

Примечание.

Несмотря на то, что уже давно существует распространенная практика использования сертификатов с неквалифицированными именами узлов, такими как https://myserver, эти сертификаты не имеют значения безопасности и могут позволить злоумышленнику олицетворить службу федерации, которая публикует метаданные федерации. Поэтому при запросе метаданных федерации следует использовать только полное доменное имя, например https://myserver.contoso.com.

Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В разделе "Действия" нажмите кнопку "Добавить доверие проверяющей стороны".

    Another screenshot of the AD FS dialog box with the Add Relying Party Trust option in the Actions pane called out.

  3. На странице приветствия выберите Claims aware (Поддерживающие утверждения) и нажмите кнопку Начало.

    Another screenshot of the Welcome page of the Add Relying Party Trust Wizard showing the Claims aware option selected.

  4. На странице Выбор источника данных щелкните Импорт данных о поставщике утверждений, опубликованных в Интернете или локальной сети. В поле Адрес метаданных федерации (имя узла или URL-адрес)введите URL-адрес метаданных федерации или имя узла для партнера, а затем нажмите кнопку Далее.

    Screenshot of the Select Data Source page of the Add Relying Party Trust Wizard showing the Import data about the relying party published online or on a local network option selected.

  5. На странице "Указание отображаемого имени" введите имя в поле "Отображаемое имя" в разделе "Заметки" введите описание для доверия проверяющей стороны и нажмите кнопку "Далее".

  6. На странице "Выбор правил авторизации выдачи" выберите "Разрешить всем пользователям доступ к этой проверяющей стороне " или "Запретить всем пользователям доступ к этой проверяющей стороне" и нажмите кнопку "Далее".

  7. На странице "Готово к добавлению доверия" просмотрите параметры и нажмите кнопку "Далее ", чтобы сохранить сведения о доверии проверяющей стороны.

  8. На странице "Готово" нажмите кнопку "Закрыть". После этого автоматически откроется диалоговое окно Изменение правил утверждений . Дополнительные сведения о добавлении правил утверждения для отношений доверия с этой проверяющей стороной см. в разделе "Дополнительные материалы".

См. также

Операции AD FS