為 Active Directory 使用者提供其他組織的應用程式與服務的存取權
此 Active Directory 同盟服務 (AD FS) 部署目標建立在「為 Active Directory 使用者提供宣告感知應用程式與服務的存取權」中的目標基礎上。
當您在帳戶夥伴組織中身為系統管理員,且部署目標是為員工提供同盟存取,以存取其他組織內裝載的資源時:
當應用程式或服務位於不同的組織時,登入公司網路 Active Directory 網域的員工,可以使用單一登入 (SSO) 功能來存取多個 Web 應用程式或服務,這些都會受到 AD FS 保護。 如需詳細資訊,請參閱 Federated Web SSO Design。
例如,Fabrikam 可能想要公司網路員工對於裝載於 Contoso 的 Web 服務具有同盟存取權。
遠端登入 Active Directory 網域的員工可以從組織的同盟伺服器取得 AD FS 權杖,以獲得對裝載於另一個組織中的受 AD FS 保護的 Web 型應用程式或服務的同盟存取權。
例如,Fabrikam 可能會想要遠端員工對於裝載於 Contoso 且受到 AD FS 保護的服務具有同盟存取,而不必要求 Fabrikam 員工位於 Fabrikam 公司網路上。
除了 Provide Your Active Directory Users Access to Your Claims-Aware Applications and Services 所述的基本元件 (它們在下圖中加上陰影來表示) 之外,這項部署目標也需要下列元件:
帳戶夥伴同盟伺服器 Proxy: 從網際網路存取同盟服務或應用程式的員工可以使用這個 AD FS 元件來執行驗證。 根據預設,此元件會執行表單驗證,但它也可以執行基本驗證。 您也可以設定此元件以執行安全通訊端層 (SSL) 用戶端驗證,如果您組織的員工具有憑證可呈現的話。 如需詳細資訊,請參閱 Where to Place a Federation Server Proxy。
周邊網路 DNS: 此項網域名稱系統 (DNS) 實作提供周邊網路的主機名稱。 如需如何為同盟伺服器 Proxy 設定周邊 DNS 的詳細資訊,請參閱同盟伺服器 Proxy 的名稱解析需求。
遠端員工: 遠端員工會存取 Web 應用程式 (透過支援的 Web 瀏覽器) 或 Web 服務 (透過應用程式),這時會從公司網路使用有效的認證,員工不在公司時則使用網際網路。 遠端位置的員工用戶端電腦會直接與同盟伺服器 Proxy 通訊,產生權杖並驗證應用程式或服務。
檢閱連結主題中的資訊之後,您可以遵循< Checklist: Implementing a Federated Web SSO Design>中的步驟開始部署此目標。
下圖顯示這個 AD FS 部署目標的每個必要元件。
