资源合作伙伴组织包含托管帐户伙伴中用户将访问的基于 Web 的应用程序的 Web 服务器。 此组织中的管理员必须使用 AD FS 管理管理单元才能创建声明提供程序信任来表示其与帐户伙伴组织之间的信任关系。 反过来,账户合作伙伴管理员必须为每个他们想信任的账户合作伙伴组织创建信任关系。
此清单包括在资源合作伙伴组织中部署 Active Directory 联合身份验证服务(AD FS)所需的任务。 它还包括配置组件所需的任务,以建立一半联合伙伴关系。
如果要部署 Web SSO 设计,则无需遵循此清单。 但是,必须完成此清单中的任务才能成功部署 联合 Web SSO 设计。
重要
确保帐户合作伙伴组织的管理员遵循清单中的指导 :配置帐户合作伙伴组织 ,以确保完成所有必要的部署任务,以成功创建联合合作关系的后半部分
注释
请按顺序完成本清单中的任务。 引用链接将你带到某个过程后,在完成该过程中的步骤后返回到本主题,以便你可以继续执行此清单中的剩余任务。
清单:配置资源伙伴组织
| 任务 | 参考文献 |
|---|---|
| 如果目前在生产环境中已有 AD FS 1.0 或 1.1 部署,请参阅右侧的链接,了解如何将设置从当前联合身份验证服务迁移到新的 AD FS 联合身份验证服务。 如果这是您首次使用 AD FS 在您的组织中进行部署,可以跳过此步骤,直接继续执行此清单中的下一个任务,以了解如何设置新的资源合作伙伴组织。 |
规划迁移到 AD FS |
| 根据部署目标,查看有关向用户提供对联合应用程序的访问权限所需的组件的信息。 |
为 Active Directory 用户提供对声明感知应用程序和服务的访问权限 |
| 确定哪些 AD FS 设计此资源伙伴组织将与相关联。 |
Web SSO 设计 |
| 查看不同的应用程序类型,并确定要部署的应用程序。 |
确定资源伙伴中的联合应用程序策略 |
| 开始部署 AD FS 服务器之前,请查看;1.) 选择 Windows 内部数据库(WID)或 SQL Server 来存储 AD FS 配置数据库 2 的优点和缺点。 AD FS 部署拓扑类型及其关联的服务器放置和网络布局建议。 |
确定 AD FS 部署拓扑 |
| 查看 AD FS 容量规划指南,以确定应在生产环境中使用的联合服务器和联合服务器代理服务器的正确数量。 | “规划 AD FS 服务器容量 |
| 若要有效地规划和实现帐户合作伙伴部署的物理拓扑,请确定 AD FS 设计是否需要一个或多个联合服务器或联合服务器代理。 |
清单:设置联合服务器 |
| 确定要添加到 AD FS 的属性存储的类型。 然后,使用 AD FS 管理管理单元添加属性存储。 |
属性存储的角色 |
| 如果需要向使用 AD FS 1.0 或 1.1 联合服务的帐户合作伙伴发送声明或消费声明,请参阅右侧的链接,了解如何将 AD FS 配置为与之前版本的 AD FS 进行互操作。 如果帐户伙伴组织也使用 AD FS 以发送或使用您的组织声明,您可以跳过此步骤,然后继续进行此检查表的下一任务。 |
规划与 AD FS 1.x 的互操作性 |
| 在资源伙伴组织中部署第一个联合服务器后,使用 AD FS 管理管理单元创建声明提供程序信任关系。 输入有关帐户伙伴手动数据,或者通过使用帐户伙伴组织的管理员可为您提供的联合身份验证元数据 URL,可以创建声明提供方信任。 可以使用联合元数据自动检索资源伙伴的数据。 注意: 如果帐户合作伙伴发布其联合元数据或可以提供要使用的文件副本,我们建议你自动检索数据,因为它可以节省时间。 |
手动创建声明提供程序信任 |
| 根据组织需要,为在 AD FS 管理管理单元中指定的每个声明提供程序信任创建一个或多个声明规则集,以便传入的声明将通过、转换或适当映射到资源伙伴中的相应声明。 |
清单:为声明提供程序信任创建声明规则 |
| (可选)如果不存在满足贵组织需求的声明说明,则可能必须创建声明说明。 AD FS 包括一组默认的声明说明,这些说明在 AD FS 管理管理单元中公开。 |
添加声明说明 |