設定夥伴組織
若要在 Active Directory 同盟服務 (AD FS) 中部署新的夥伴組織,請根據 AD FS 設計完成檢查清單:設定資源夥伴組織或檢查清單:設定帳戶夥伴組織中的工作。
注意
當您使用其中一個檢查清單時,強烈建議您先閱讀 Windows Server 2012 中 AD FS 設計指南中的帳戶夥伴或資源夥伴規劃指導的參考,再繼續新夥伴組織的設定程序。 以這種方式遵循檢查清單,有助於進一步了解帳戶夥伴或資源夥伴組織的完整 AD FS 設計和部署故事。
關於帳戶夥伴組織
帳戶夥伴代表組織在支援 AD FS 的屬性存放區中,實際儲存使用者帳戶的同盟信任關係。 帳戶夥伴負責收集與驗證使用者認證、建立該使用者的宣告,以及將宣告封裝到安全性權杖中。 接著可跨同盟信任呈現這些權杖,以存取資源夥伴組織中的網頁型資源。
換句話說,帳戶夥伴代表將接收帳戶端 Federation Service 所發行之安全性權杖的使用者所屬的組織。 帳戶夥伴組織中的同盟伺服器會驗證本機使用者並建立安全性權杖,供進行授權決策的資源夥伴使用。
至於屬性存放區,AD FS 中的帳戶夥伴在概念上相當於單一 Active Directory 樹系,其帳戶需要存取實際位於另一個樹系中的資源。 只有當兩個樹系之間存在外部信任或樹系信任關係,而且已對使用者嘗試存取的資源設定適當的授權權限時,此樹系中的帳戶才能存取資源樹系的資源。
關於資源夥伴組織
資源夥伴是在網頁伺服器所在之 AD FS 部署中的組織。 資源夥伴信任帳戶夥伴來驗證使用者。 因此,為了進行授權決策,資源夥伴所使用的宣告,必須位於帳戶夥伴中的使用者所封裝的安全性權杖中。
換句話說,資源夥伴代表資源端同盟伺服器所保護的網頁伺服器所屬的組織。 資源夥伴上的同盟伺服器會使用帳戶夥伴所產生的安全性權杖,為資源夥伴中的網頁伺服器進行授權決策。
若要以 AD FS 資源的形式運作,資源夥伴組織中的網頁伺服器必須已安裝 Windows Identity Foundation (WIF),或已安裝 Active Directory 同盟服務 (AD FS) 1.x 宣告感知網頁代理程式角色服務。 以 AD FS 資源形式運作的網頁伺服器,可以裝載以網頁瀏覽器為基礎或以網頁服務為基礎的應用程式。