為 Active Directory 使用者提供宣告感知應用程式與服務的存取權
如果您是 Active Directory 同盟服務 (AD FS) 部署中帳戶夥伴組織的系統管理員,且部署目標是在企業網路為員工提供單一登入 (SSO) 存取裝載的資源:
登入公司網路中 Active Directory 樹系的員工可以使用 SSO 存取組織內周邊網路中的多個應用程式或服務。 這些應用程式和服務由 AD FS 保護。
例如,Fabrikam 可能想讓公司網路員工對於裝載於 Fabrikam 周邊網路中的 Web 應用程式具有同盟存取權。
遠端登入 Active Directory 網域的員工可以從組織的同盟伺服器取得 AD FS 權杖,以便對於裝載於組織中受 AD FS 保護的 Web 應用程式或服務具有同盟存取權限。
Active Directory 屬性存放區中的資訊可以填入員工的 AD FS 權杖。
此部署目標需要下列元件:
Active Directory 網域服務 (AD DS):AD DS 包含用來產生 AD FS 權杖的員工的使用者帳戶。 會將群組成員資格和屬性等資訊視為群組宣告和自訂宣告而填入 AD FS 權杖中。
注意
您也可以使用輕量型目錄存取通訊協定 (LDAP) 或結構化查詢語言 (SQL) 來包含 AD FS 權杖產生的識別。
公司 DNS:這項網域名稱系統 (DNS) 的實作包含簡單的主機 (A) 資源記錄,讓內部網路的用戶端可以找到帳戶同盟伺服器。 這項 DNS 實作也可以裝載公司網路所需的其他 DNS 記錄。 如需詳細資訊,請參閱 Name Resolution Requirements for Federation Servers。
帳戶夥伴同盟伺服器: 此同盟伺服器會加入帳戶夥伴樹系中的網域。 它會驗證員工使用者帳戶,並產生 AD FS 權杖。 員工的用戶端電腦針對此同盟伺服器執行 Windows 整合式驗證以產生 AD FS 權杖。 如需詳細資訊,請參閱< Review the Role of the Federation Server in the Account Partner>。
帳戶夥伴同盟伺服器可以驗證下列使用者:
在這個網域中具有使用者帳戶的員工
在這個樹系中具有使用者帳戶的員工
在這個樹系信任 (透過雙向 Windows 信任) 的樹系中具有使用者帳戶的員工
員工:員工會存取 Web 服務 (透過應用程式) 或 Web 應用程式 (透過支援的 Web 瀏覽器),這時他或她會登入公司網路。 公司網路上的員工用戶端電腦會直接與同盟伺服器通訊以進行驗證。
檢閱連結主題中的資訊之後,您可以遵循< Checklist: Implementing a Federated Web SSO Design>中的步驟開始部署此目標。
下圖顯示這個 AD FS 部署目標的每個必要元件。
