Kontrolní seznam: Konfigurace organizace partnera poskytujícího účty
Organizace partnera poskytujícího účty obsahuje uživatele, kteří budou přistupovat k webovým aplikacím v partnerovi poskytujícím prostředky. Správci v této organizaci musí použít modul snap-in Správa služby AD FS k vytvoření důvěryhodných odběratelů, které budou reprezentovat jejich vztahy důvěryhodnosti s organizacemi partnerskými poskytovateli zdrojů. Správce partnera poskytujícího prostředky musí pro každou organizaci partnera poskytujícího účty, které chce důvěřovat, vytvořit důvěryhodné vztahy s poskytovateli prohlášení.
Tento kontrolní seznam obsahuje úlohy pro nasazení služby Active Directory Federation Services (AD FS) v organizaci partnera poskytujícího účty. Zahrnuje také úlohy pro konfiguraci komponent, které jsou potřeba k vytvoření poloviny partnerství federace.
Pokud nasazujete návrh webového jednotného přihlašování, nemusíte postupovat podle tohoto kontrolního seznamu. K úspěšnému nasazení návrhu federovaného webového jednotného přihlašování však musíte dokončit úkoly v tomto kontrolním seznamu.
Důležitý
Ujistěte se, že se správce v organizaci partnera poskytujícího prostředky řídí pokyny v kontrolním seznamu: Konfigurace organizace partnera poskytujícího prostředky, aby bylo zajištěno, že všechny nezbytné úkoly nasazení budou dokončeny pro úspěšné vytvoření druhé části partnerství ve federaci.
Poznámka
Dokončete úkoly v tomto kontrolním seznamu v pořadí. Když vás odkaz zavede na proceduru, vraťte se do tohoto tématu po dokončení kroků v tomto postupu, abyste mohli pokračovat se zbývajícími úkoly v tomto kontrolním seznamu.
Konfigurace partnerské organizace účtů
| Úkol | Odkaz |
|---|---|
| Pokud máte v produkčním prostředí existující nasazení služby AD FS 1.0 nebo 1.1, podívejte se na odkaz napravo, kde najdete informace o tom, jak migrovat nastavení z aktuální federační služby do nové služby AD FS Federation Service. Pokud službu AD FS nasazujete poprvé ve vaší organizaci pomocí služby AD FS, můžete tento krok přeskočit a pokračovat k dalšímu úkolu v tomto kontrolním seznamu, kde najdete informace o tom, jak nastavit novou organizaci partnera poskytujícího účty. |
plánování migrace do služby AD FS 2.0 |
| Na základě cílů nasazení zkontrolujte informace o komponentách, které jsou potřeba k poskytování přístupu uživatelů k federovaným aplikacím. |
Poskytněte uživatelům Active Directory přístup k vašim aplikacím a službám pracujícím s deklaracemi
|
| Určete, k jakému návrhu služby AD FS bude tato organizace partnera poskytujícího účty přidružená. |
návrh jednotného přihlašování na web |
| Než začnete nasazovat servery služby AD FS, zkontrolujte následující: 1.) výhody a nevýhody výběru interní databáze Windows (WID) nebo SQL Serveru pro uložení konfigurační databáze služby AD FS 2.) Typy topologie nasazení služby AD FS a jejich přidružené umístění serveru a doporučení rozložení sítě |
Určete topologii nasazení služby AD FS |
| Projděte si pokyny k plánování kapacity služby AD FS a určete správný počet federačních serverů a proxy federačních serverů, které byste měli použít v produkčním prostředí. |
Plánování kapacity serveru AD FS |
| Pokud chcete efektivně naplánovat a implementovat fyzickou topologii pro nasazení partnera poskytujícího účty, určete, jestli návrh služby AD FS vyžaduje jeden nebo více federačních serverů nebo proxy federačních serverů. |
Nastavení federačního serveru |
| Určete typ úložiště atributů, které chcete přidat do služby AD FS. Pak přidejte úložiště atributů pomocí modulu snap-in Správa služby AD FS. |
Role úložišť atributů |
| Pokud budete muset odesílat deklarace identity nebo využívat deklarace identity od partnera poskytujícího prostředky, který používá službu AD FS 1.0 nebo 1.1 Federation Service, přečtěte si odkaz na správné informace o tom, jak nakonfigurovat službu AD FS pro spolupráci s předchozími verzemi služby AD FS. Pokud organizace partnera poskytujícího prostředky také používá službu AD FS k zasílání nebo přijímání deklarací identity vaší organizace, můžete tento krok přeskočit a pokračovat v dalším úkolu v tomto kontrolním seznamu. | Ikona ,Plánování interoperability se službou AD FS 1.x |
| Po nasazení prvního federačního serveru v organizaci partnera poskytujícího účty vytvořte vztah důvěryhodnosti předávající strany pomocí modulu snap-in Správa služby AD FS. Vztah důvěryhodnosti předávající strany můžete vytvořit tak, že zadáte data o partnerovi poskytujícího prostředky ručně nebo pomocí adresy URL federačních metadat, kterou vám poskytne správce organizace partnera poskytujícího prostředky. Federační metadata můžete použít k automatickému načtení dat partnera poskytujícího prostředky. Poznámka: Pokud partner poskytující prostředky publikuje federační metadata nebo může poskytnout kopii souboru, kterou můžete použít, doporučujeme, abyste data načetli automaticky, protože může ušetřit čas. |
Ručně vytvořte vztah důvěryhodnosti předávající strany
|
| V závislosti na potřebách vaší organizace vytvořte jednu nebo více sad pravidel deklarací pro každý vztah důvěryhodnosti spoléhající strany, který je zadaný v modulu snap-in Správa AD FS, aby se deklarace vystavily odpovídajícím způsobem. |
Kontrolní seznam: Vytvoření pravidel deklarací identity pro vztah důvěryhodnosti předávající strany |
| Popis nároku se musí vytvořit, pokud ještě neexistuje, se který bude splňovat potřeby vaší organizace. Služba AD FS obsahuje výchozí sadu popisů deklarací identity, které jsou dostupné v modulu snap-in Správa služby AD FS. |
Přidat popis tvrzení |
| Určete, jestli vaše organizace bude muset k autorizaci nebo omezení zadaného účtu použít delegování identity, aby "fungovalo jako" nebo aby zosobňovala ostatní uživatele. To je často požadavek, když front-end webové aplikace musí interagovat s back-end webovými službami. |
Kdy použít delegování identity |
| Příprava klientských počítačů na federaci pomocí: – Přidání adresy URL federačního serveru partnera poskytujícího účty do seznamu důvěryhodných webů pro klientský prohlížeč. |
Připravte klientské počítače u partnerského účtu
|