联合 Web SSO 设计

除了跨整个 Internet 路由基础结构的安全通信外，Active Directory 联合身份验证服务 (AD FS) 中的联合 Web 单一登录 (SSO) 设计还涉及跨多个防火墙、外围网络和名称解析服务器的安全通信。

通常，当两个组织同意创建联合信任关系，以允许一个组织（帐户合作伙伴组织）中的用户访问由另一组织中的 AD FS 保护的基于 Web 的应用程序或服务（资源合作伙伴组织）时，会使用此设计。

换句话说，联合信任关系是两个组织之间业务级协议或伙伴关系的体现。 如下图所示，可以在两个企业之间建立联合信任关系，从而实现端到端联合场景。

图中的单向箭头表示联合信任的方向，以 Windows 信任的方向为例，它始终指向林的帐户端。 这意味着身份验证从帐户合作伙伴组织流向资源合作伙伴组织。

在此联合 Web SSO 设计中，两个联合服务器（一个在 Fabrikam 中，另一个在 Contoso 中）将身份验证请求从 Fabrikam 中的用户帐户路由到 Contoso 中基于 Web 的应用程序或服务。

在此示例中，Fabrikam 是标识或账户提供商。 联合 Web SSO 设计的 Fabrikam 部分采用以下 AD FS 部署目标：

• 向 Active Directory 用户提供对其他组织的应用程序和服务的访问权限

Contoso 是资源提供单元。 联合 Web SSO 设计的 Contoso 部分实现以下 AD FS 部署目标：

• 为另一个组织中的用户提供对声明感知应用程序和服务的访问权限

• 为声明感知应用程序和服务提供 Active Directory 用户访问权限

有关可用于规划和部署联合 Web SSO 设计的详细任务列表，请参阅 清单：实现联合 Web SSO 设计。

另请参阅

Windows Server 2012 中的 AD FS 设计指南