Создание отношений доверия с проверяющей стороной
В следующем документе содержатся сведения о создании доверия проверяющей стороны вручную и использовании метаданных федерации.
Создание утверждений с учетом доверия проверяющей стороны вручную
Чтобы добавить новое отношение доверия с проверяющей стороной с помощью оснастки управления AD FS и вручную настроить параметры, выполните следующую процедуру на сервере федерации.
Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
В диспетчере сервера щелкните Средства и выберите Управление AD FS.
В разделе "Действия" нажмите кнопку "Добавить доверие проверяющей стороны".
На странице приветствия выберите Claims aware (Поддерживающие утверждения) и нажмите кнопку Начало.
На странице Выберите источник данных щелкните Enter data about the relying party manually (Ввод данных о проверяющей стороне вручную), а затем нажмите кнопку Далее.
На странице Specify Display Name (Указание отображаемого имени) введите имя в поле Отображаемое имя. В поле Примечания введите описание для этого отношения доверия с проверяющей стороной и нажмите кнопку Далее.
На странице настройки сертификата, если у вас есть необязательный сертификат шифрования маркеров, нажмите кнопку "Обзор", чтобы найти файл сертификата, а затем нажмите кнопку "Далее".
На странице настройки URL-адреса выполните одно или оба из следующих действий, нажмите кнопку "Далее", а затем перейдите к шагу 8.
Установите флажок Включить поддержку пассивного протокола WS-Federation . В разделе URL-адрес пассивного протокола WS-Federation для проверяющей сторонывведите URL-адрес для отношений доверия этой проверяющей стороны, а затем нажмите кнопку Далее.
Установите флажок Включить поддержку протокола WebSSO SAML 2.0 . В поле Relying party SAML 2.0 SSO service URL (URL-адрес службы SAML 2.0 SSO проверяющей стороны) введите URL-адрес конечной точки службы SAML для этого отношения доверия с проверяющей стороной и нажмите кнопку Далее.
На странице Настройка удостоверений укажите один или несколько идентификаторов этой проверяющей стороны, нажмите кнопку Добавить , чтобы добавить их в список, а затем нажмите кнопку Далее.
На странице Choose Access Control Policy (Выбрать политику управления доступом) выберите политику и нажмите кнопку Далее. Дополнительные сведения о политиках контроль доступа см. в разделе контроль доступа Политики в AD FS.
На странице Ready to Add Trust (Готовность для добавления отношения доверия) проверьте параметры и нажмите кнопку Далее, чтобы сохранить сведения об отношении доверия с проверяющей стороной.
На странице Готово нажмите кнопку Закрыть. После этого автоматически откроется диалоговое окно Изменение правил утверждений .
Создание утверждений с учетом доверия проверяющей стороны с помощью метаданных федерации
Чтобы добавить новое доверие проверяющей стороны, используя оснастку управления AD FS, автоматически импортируя данные конфигурации о партнере из метаданных федерации, опубликованных партнером в локальной сети или в Интернете, выполните следующую процедуру на сервере федерации в партнерской организации учетной записи.
Примечание.
Несмотря на то, что уже давно существует распространенная практика использования сертификатов с неквалифицированными именами узлов, такими как https://myserver, эти сертификаты не имеют значения безопасности и могут позволить злоумышленнику олицетворить службу федерации, которая публикует метаданные федерации. Поэтому при запросе метаданных федерации следует использовать только полное доменное имя, например https://myserver.contoso.com.
Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
В диспетчере сервера щелкните Средства и выберите Управление AD FS.
В разделе "Действия" нажмите кнопку "Добавить доверие проверяющей стороны".
На странице приветствия выберите Claims aware (Поддерживающие утверждения) и нажмите кнопку Начало.
На странице Выбор источника данных щелкните Импорт данных о поставщике утверждений, опубликованных в Интернете или локальной сети. В поле Адрес метаданных федерации (имя узла или URL-адрес)введите URL-адрес метаданных федерации или имя узла для партнера, а затем нажмите кнопку Далее.
На странице "Указание отображаемого имени" введите имя в поле "Отображаемое имя" в разделе "Заметки" введите описание для доверия проверяющей стороны и нажмите кнопку "Далее".
На странице "Выбор правил авторизации выдачи" выберите "Разрешить всем пользователям доступ к этой проверяющей стороне " или "Запретить всем пользователям доступ к этой проверяющей стороне" и нажмите кнопку "Далее".
На странице "Готово к добавлению доверия" просмотрите параметры и нажмите кнопку "Далее ", чтобы сохранить сведения о доверии проверяющей стороны.
На странице "Готово" нажмите кнопку "Закрыть". После этого автоматически откроется диалоговое окно Изменение правил утверждений . Дополнительные сведения о добавлении правил утверждения для отношений доверия с этой проверяющей стороной см. в разделе "Дополнительные материалы".