联合 Web SSO 设计

除了跨整个 Internet 路由基础结构的安全通信外，Active Directory 联合身份验证服务 (AD FS) 中的联合 Web 单一登录 (SSO) 设计还涉及跨多个防火墙、外围网络和名称解析服务器的安全通信。

当两个组织都同意创建联合信任关系，以允许一个组织（帐户伙伴组织）中的用户访问另一个组织（资源伙伴组织）中由 AD FS 保护的基于 Web 的应用程序或服务时，通常采用此设计。

换而言之，联合信任关系是两个组织之间业务级别协议或合作关系的体现。 如以下插图中所示，你可以在两个企业之间建立联合信任关系，从而形成端到端的联合方案。

图中的单向箭头表示联合信任的方向，以 Windows 信任的方向为例，它始终指向林的帐户端。 这意味着，身份验证将从帐户伙伴组织流向资源伙伴组织。

在此联合 Web SSO 设计中，两个联合服务器（一个在 Fabrikam 中，另一个在 Contoso 中）将 Fabrikam 中的用户帐户发出的身份验证请求路由到 Contoso 中基于 Web 的应用程序或服务。

注意

为了提高安全性，可使用联合服务器代理将请求中继到无法直接通过 Internet 访问的联合服务器。

在此示例中，Fabrikam 是标识、帐户或提供程序。 联合 Web SSO 设计的 Fabrikam 部分采用以下 AD FS 部署目标：

• 为其他组织的应用程序和服务提供 Active Directory 用户访问权限

Contoso 是资源提供单元。 联合 Web SSO 设计的 Contoso 部分实现以下 AD FS 部署目标：

• 为另一个组织中的用户提供对声明感知应用程序和服务的访问权限

• 为声明感知应用程序和服务提供 Active Directory 用户访问权限

有关可用于计划和部署联合 Web SSO 设计的详细任务的列表，请参阅 Checklist: Implementing a Federated Web SSO Design。

另请参阅

Windows Server 2012 中的 AD FS 设计指南