为另一个组织中的用户提供对声明感知应用程序和服务的访问权限

当你是 Active Directory 联合身份验证服务 (AD FS) 中的资源合作伙伴组织中的管理员,并且你的一个部署目标是为另一个组织(帐户合作伙伴组织)中的用户提供对你的组织(资源合作伙伴组织)中的声明感知应用程序或基于 Web 的服务的联合访问权限时:

  • 你的组织中以及配置了与你组织的联合信任的组织(帐户伙伴组织)中的联合用户可以访问由你的组织托管的受 AD FS 保护的应用程序或服务。 有关详细信息,请参阅 Federated Web SSO Design

    例如,Fabrikam 可能希望其企业网络员工对 Contoso 中托管的 Web 服务具有联合访问权限。

  • 与受信任组织没有直接关联的联合用户(如个人客户)、登录到在外围网络中托管的属性存储的联合用户可以通过从位于 Internet 上的客户端计算机进行一次性登录,来访问也在外围网络中托管的多个受 AD FS 保护的应用程序。 换句话说,当你托管客户帐户以实现对外围网络中的应用程序或服务的访问时,你在属性存储中托管的客户只需登录一次,便可访问外围网络中的一个或多个应用程序或服务。 有关详细信息,请参阅 Web SSO Design

    例如,Fabrikam 可能希望其客户可以对外围网络中托管的多个应用程序或服务进行单一登录 (SSO) 访问。

此部署目标需要以下组件:

  • Active Directory 域服务 (AD DS):资源合作伙伴联合服务器必须加入 Active Directory 域。

  • 外围 DNS:域名系统 (DNS) 应包含一个简单主机 (A) 资源记录,以便客户端计算机可以找到资源合作伙伴联合服务器和 Web 服务器。 DNS 服务器可以托管在外围网络中也需要的其他 DNS 记录。 有关详细信息,请参阅联合服务器的名称解析要求

  • 资源合作伙伴联合服务器:资源合作伙伴联合服务器验证帐户合作伙伴发送的 AD FS 令牌。 帐户合作伙伴发现是通过此联合服务器执行的。 有关详细信息,请参阅 Review the Role of the Federation Server in the Resource Partner

  • Web 服务器:Web 服务器可以托管 Web 应用程序或 Web 服务。 Web 服务器先确认它从联合用户收到有效 AD FS 令牌,然后才允许访问受保护的 Web 应用程序或 Web 服务。

    通过使用 Windows Identity Foundation (WIF),你可以开发 Web 应用程序或服务,使它可接受使用任何标准登录方法(如用户名和密码)进行的联合用户登录请求。

在查看链接的主题中的信息后,可以按照清单︰实现联合的 Web SSO 设计清单:实现 Web SSO 设计中的步骤开始部署此目标。

下图显示了此 AD FS 部署目标所需的每个组件。

access to your claims

另请参阅

Windows Server 2012 中的 AD FS 设计指南