此 Active Directory 同盟服務 (AD FS) 部署目標是以 提供您的 Active Directory 使用者存取您的宣告感知應用程式和服務中的目標為基礎。
當您是帳戶合作夥伴組織中的系統管理員,而且您有一個部署計畫,為員工提供跨組織的聯邦存取權,進入另一個組織的託管資源時:
登入公司網路中 Active Directory 網域的員工可以使用單一登錄 (SSO) 功能來存取多個受 AD FS 保護的 Web 應用程式或服務,而當應用程式或服務位於不同的組織中時,這些應用程式或服務會受到保護。 如需詳細資訊,請參閱 同盟 Web SSO 設計。
例如,Fabrikam 可能希望公司網路員工能夠同盟存取 Contoso 中裝載的 Web 服務。
登入 Active Directory 網域的遠端員工可以從組織中的同盟伺服器取得 AD FS 令牌,以取得另一個組織中裝載之 AD FS 保護的 Web 應用程式或服務的同盟存取權。
例如,Fabrikam 可能會希望其遠端員工能夠同盟存取 Contoso 中裝載的 AD FS 保護服務,而不需要 Fabrikam 員工位於 Fabrikam 公司網路上。
除了 提供您的 Active Directory 使用者存取您的宣告感知應用程式和服務 中所述的基礎元件,以及下圖中陰影部分所示的元件之外,這個部署目標還需要以下元件:
帳戶夥伴同盟伺服器 Proxy: 從因特網存取同盟服務或應用程式的員工可以使用這個 AD FS 元件來執行驗證。 根據預設,此元件會執行表單驗證,但也可以執行基本驗證。 如果您的組織的員工有要出示憑證,您也可以將此元件設定為執行安全套接字層 (SSL) 客戶端驗證。 如需詳細資訊,請參閱 Where to Place a Federation Server Proxy。
周邊 DNS: 這個網域名稱系統(DNS)的實作提供周邊網路的主機名稱。 如需如何為同盟伺服器 Proxy 設定周邊 DNS 的詳細資訊,請參閱 同盟伺服器 Proxy 的名稱解析需求。
遠端員工: 遠端員工在使用因特網離開辦公地點時,透過支援的網頁瀏覽器或應用程式,使用公司網路的有效憑證來存取 Web 型應用程式或 Web 型服務。 遠端位置的員工用戶端電腦會直接與同盟伺服器代理程式通訊,以產生令牌並向應用程式或服務驗證。
檢閱連結主題中的資訊之後,您可以依照 檢查清單中的步驟開始部署此目標:實作同盟 Web SSO 設計。
下圖顯示此 AD FS 部署目標的每個必要元件。
