當您是 Active Directory 聯合服務 (AD FS) 部署中帳戶夥伴組織的系統管理員,且您的部署目標是提供公司網路上的員工單一登入 (SSO) 訪問您託管的資源時:
登入公司網路中 Active Directory 樹系的員工可以使用 SSO 存取您組織周邊網路中多個應用程式或服務。 這些應用程式和服務受到AD FS保護。
例如,Fabrikam 可能希望公司網路員工能夠同盟存取 Fabrikam 周邊網路中裝載的 Web 型應用程式。
登入 Active Directory 網域的遠端員工可以從您組織中的同盟伺服器取得 AD FS 令牌,以取得也位於您組織中的 AD FS 保護 Web 應用程式或服務的同盟存取權。
Active Directory 屬性儲存庫中的資訊可以匯入到員工的 AD FS 令牌中。
此部署目標需要下列元件:
Active Directory Domain Services (AD DS): AD DS 包含用來產生 AD FS 令牌的員工用戶帳戶。 群組成員資格和屬性等資訊會填入AD FS令牌中,做為群組宣告和自定義宣告。
備註
您也可以使用輕量型目錄存取通訊協定 (LDAP) 或結構化查詢語言 (SQL) 來包含 AD FS 令牌產生的身分識別。
公司 DNS: 此網域名稱系統 (DNS) 的實作包含簡單的主機 (A) 記錄資源,以便內部網路客戶端能夠定位帳戶同盟伺服器。 此 DNS 實作也可能裝載公司網路中所需的其他 DNS 記錄。 如需詳細資訊,請參閱 同盟伺服器的名稱解析需求。
帳戶夥伴同盟伺服器: 此同盟伺服器已加入帳戶夥伴樹系中的網域。 它會驗證員工用戶帳戶併產生AD FS令牌。 員工的用戶端電腦會向此聯合伺服器執行 Windows 整合式驗證,以產生 AD FS 令牌。 如需詳細資訊,請參閱 帳戶夥伴中的同盟伺服器角色。
帳戶夥伴同盟伺服器可以驗證下列使用者:
此網域中具有用戶帳戶的員工
在此樹系中任何位置擁有用戶帳戶的員工
具有此樹系信任之樹系中任何位置使用者帳戶的員工(透過雙向 Windows 信任)
員工: 員工登入公司網路時,存取 Web 服務(透過應用程式)或 Web 型應用程式(透過支援的網頁瀏覽器)。 公司網路上的員工用戶端計算機會直接與同盟伺服器通訊以進行驗證。
檢閱連結主題中的資訊之後,您可以依照 檢查清單中的步驟開始部署此目標:實作同盟 Web SSO 設計。
下圖顯示此 AD FS 部署目標的每個必要元件。
另請參閱
Windows Server 2012 中的 AD FS 設計指南