同盟網頁 SSO 設計
Active Directory 同盟服務 (AD FS) 中的同盟網頁單一登入 (SSO) 設計牽涉到跨多個防火牆、周邊網路和名稱解析伺服器的安全通訊,以及整個網際網路路由基礎結構。
這種設計通常用在兩個組織同意建立同盟信任關係,讓一個組織 (帳戶夥伴組織) 中的使用者能夠存取另一個組織 (資源夥伴組織) 中的 Web 型應用程式或服務 (受到 AD FS 保護) 時。
換句話說,同盟信任關係是兩個組織之間商業層級協議或合作關係的體現。 如下圖所示,您可以在兩家公司之間建立同盟信任關係,這會產生端對端同盟案例。
圖中的單向箭頭表示同盟信任的方向,(如同 Windows 信任方向) 一律會指向樹系的帳戶端。 這表示從帳戶夥伴組織到資源夥伴組織的驗證流程。
在此同盟網頁 SSO 設計中,兩個同盟伺服器 (一個在 Fabrikam 中,另一個在 Contoso 中) 會從 Fabrikam 中的使用者帳戶將驗證要求路由傳送至 Contoso 中的 Web 型應用程式或服務。
注意
為了得到額外的安全性,您可使用同盟伺服器 Proxy,將要求轉接到無法從網際網路直接存取的同盟伺服器。
在此範例中,Fabrikam 是身分識別或帳戶提供者。 同盟網頁 SSO 設計的 Fabrikam 部分會使用下列 AD FS 部署目標:
Contoso 是資源提供者。 同盟網頁 SSO 設計的 Contoso 部分會達成下列 AD FS 部署目標:
如需可用來規劃和部署同盟網頁 SSO 設計的詳細工作清單,請參閱< Checklist: Implementing a Federated Web SSO Design>。