帐户合作伙伴组织包含将访问资源合作伙伴中基于 Web 的应用程序的用户。 此组织中的管理员必须使用 AD FS 管理管理单元来创建受信方信任关系,以表示他们与资源合作伙伴组织之间的信任关系。 反过来,资源伙伴管理员必须创建每个帐户伙伴组织,他们想要信任的声明提供方信任。
此清单包括用于在帐户合作伙伴组织中部署 Active Directory 联合身份验证服务(AD FS)的任务。 它还包括配置组件所需的任务,以建立一半联合伙伴关系。
如果要部署 Web SSO 设计,则无需遵循此清单。 但是,必须完成此清单中的任务才能成功部署 联合 Web SSO 设计。
重要
确保资源合作伙伴组织中的管理员遵循清单中的指导 :配置资源合作伙伴组织 ,以确保完成所有必要的部署任务,以成功创建联合合作关系的后半部分。
注释
请按顺序完成本清单中的任务。 引用链接将你带到某个过程后,在完成该过程中的步骤后返回到本主题,以便你可以继续执行此清单中的剩余任务。
清单:配置帐户合作伙伴组织
| 任务 | 参考文献 |
|---|---|
| 如果目前在生产环境中已有 AD FS 1.0 或 1.1 部署,请参阅右侧的链接,了解如何将设置从当前联合身份验证服务迁移到新的 AD FS 联合身份验证服务。 如果您是首次在组织中使用 AD FS 部署,那么可以跳过此步骤,直接执行此清单中的下一个任务,以了解如何设置新的账户合作伙伴组织。 |
规划迁移到 AD FS 2.0 |
| 根据部署目标,查看有关向用户提供对联合应用程序的访问权限所需的组件的信息。 |
为 Active Directory 用户提供对声明感知应用程序和服务的访问权限 |
| 确定哪些 AD FS 设计此帐户伙伴组织将与相关联。 |
Web SSO 设计 |
| 开始部署 AD FS 服务器之前,请查看;1.) 选择 Windows 内部数据库(WID)或 SQL Server 来存储 AD FS 配置数据库 2 的优点和缺点。 AD FS 部署拓扑类型及其关联的服务器放置和网络布局建议。 |
确定 AD FS 部署拓扑 |
| 查看 AD FS 容量规划指南,以确定应在生产环境中使用的联合服务器和联合服务器代理服务器的正确数量。 |
规划 AD FS 服务器容量 |
| 若要有效地规划和实现帐户合作伙伴部署的物理拓扑,请确定 AD FS 设计是否需要一个或多个联合服务器或联合服务器代理。 |
清单:设置联合服务器 |
| 确定要添加到 AD FS 的属性存储的类型。 然后,使用 AD FS 管理管理单元添加属性存储。 |
属性存储的作用 |
| 如果需要向使用 AD FS 1.0 或 1.1 联合身份验证服务的资源合作伙伴发送声明或使用声明,请参阅右侧的链接,了解如何将 AD FS 配置为与以前版本的 AD FS 进行互作。 如果资源合作伙伴组织也使用 AD FS 向您的组织发送或接收身份声明,您可以跳过此步骤并继续执行此清单中的下一个任务。 |
规划与 AD FS 1.x 的互操作性 |
| 在帐户伙伴组织中部署第一台联合服务器后,使用“AD FS 管理”管理单元创建一个信赖方信任关系。 可以通过手动输入有关资源合作伙伴的数据或使用资源合作伙伴组织管理员提供给你的联合元数据 URL 来创建信赖方信任。 可以使用联合元数据自动检索资源伙伴的数据。 注意: 如果资源伙伴发布其联合元数据或可以提供要使用的文件副本,我们建议你自动检索数据,因为它可以节省时间。 |
手动创建信赖方信任 |
| 根据你的组织的需要,为在“AD FS 管理”管理单元中指定的每个信赖方信任创建一个或多个声明规则集,以便正确地发出声明。 |
清单:为信赖方信任创建声明规则 |
| 如果尚不存在,则必须创建索赔说明,将满足您的组织的需求。 AD FS 附带了一组默认的声明说明,这些说明在“AD FS 管理”管理单元中公开。 |
添加声明说明 |
| 确定组织是否需要使用标识委派来授权或限制指定帐户“充当”或模拟其他用户。 当前端 Web 应用程序必须与后端 Web 服务交互时,这通常是一项要求。 |
何时使用身份委派 |
| 通过以下方式准备客户端计算机以进行联合: - 将帐户伙伴联合服务器的 URL 添加到客户端浏览器的受信任站点列表中。 |
在帐户合作伙伴中准备客户端计算机 |