當您是 Active Directory 同盟服務 (AD FS) 中資源夥伴組織的系統管理員,並且您的部署目標是為另一個組織(帳戶夥伴組織)的使用者提供對宣告感知應用程式或 Web 服務的同盟存取權,而該應用程式或 Web 服務位於您的組織(資源夥伴組織)中時:
貴組織與組織中已設定同盟信任的組織中的同盟使用者(帳戶夥伴組織)可以存取貴組織所裝載的 AD FS 安全應用程式或服務。 如需詳細資訊,請參閱 同盟 Web SSO 設計。
例如,Fabrikam 可能會希望其公司網路員工能夠同盟存取 Contoso 中裝載的 Web 服務。
未與受信任組織直接關聯的同盟使用者(例如個別客戶),他們登入裝載於周邊網路的屬性存放區,可以存取多個 AD FS 保護的應用程式,這些應用程式也裝載於周邊網路中,方法是從位於因特網的用戶端電腦登入一次。 換句話說,當您裝載客戶帳戶以啟用周邊網路中應用程式或服務的存取權時,您在屬性存放區中裝載的客戶只要登入一次,就可以存取周邊網路中一或多個應用程式或服務。 如需詳細資訊,請參閱 Web SSO 設計。
例如,Fabrikam 可能希望其客戶能夠單一登錄 (SSO) 存取其周邊網路中裝載的多個應用程式或服務。
此部署目標需要下列元件:
Active Directory 網域服務(AD DS): 資源夥伴同盟伺服器必須加入 Active Directory 網域。
周邊 DNS: 網域名稱系統(DNS)應包含簡單的主機(A)資源記錄,讓用戶端電腦可以找到資源伙伴聯盟伺服器和網路伺服器。 DNS 伺服器可能會裝載周邊網路中也需要的其他 DNS 記錄。 如需詳細資訊,請參閱 同盟伺服器的名稱解析需求。
Resource Partner 同盟伺服器: 資源夥伴同盟伺服器會驗證帳戶夥伴所傳送的 AD FS 令牌。 帳戶夥伴發現是透過此同盟伺服器進行的。 如需詳細資訊,請參閱 檢閱資源夥伴中的同盟伺服器角色。
Web 伺服器: Web 伺服器可以裝載 Web 應用程式或 Web 服務。 Web 伺服器會在允許存取受保護的 Web 應用程式或 Web 服務之前,先從同盟使用者接收有效的 AD FS 令牌。
藉由使用 Windows Identity Foundation (WIF),您可以開發 Web 應用程式或服務,以接受使用任何標準登入方法進行的同盟使用者登入要求,例如使用者名稱和密碼。
檢閱連結主題中的資訊之後,您可以遵循 檢查清單:實作同盟 Web SSO 設計 和 檢查清單:實作 Web SSO 設計中的步驟,開始部署此目標。
下圖顯示此 AD FS 部署目標的每個必要元件。
另請參閱
Windows Server 2012 中的 AD FS 設計指南