Condividi tramite

Elenco di controllo: Configurazione dell'organizzazione Partner Account

L'organizzazione partner account include gli utenti che accederanno alle applicazioni basate sul Web nel partner risorse. Gli amministratori nell'organizzazione devono utilizzare lo snap di gestione di ADFS per creare trust della relying party per rappresentare le relazioni di trust con le organizzazioni partner risorse. A sua volta, l'amministratore di partner risorse deve creare provider di attestazioni per ogni organizzazione partner account che si desidera considerare attendibile.

Questo elenco di controllo include attività per la distribuzione di Active Directory Federation Services (AD FS) nell'organizzazione partner account. Include anche attività per la configurazione dei componenti necessari per stabilire una metà di una partnership federativa.

Se si distribuisce un Progettazione di Web SSO, non è necessario seguire questo elenco di controllo. Tuttavia, è necessario completare le attività nell'elenco di controllo per distribuire correttamente un Progettazione di Web SSO federato.

Importante

Assicurarsi che l'amministratore dell'organizzazione partner risorse segue le indicazioni fornite in elenco di controllo: configurazione dell'organizzazione Partner risorse per garantire che verranno completate tutte le attività di distribuzione necessari per creare la seconda metà della relazione di federazione.

Nota

Completare le attività dell'elenco di controllo nell'ordine indicato. Quando un collegamento a un riferimento porta a una procedura, tornare a questo argomento una volta completati i passaggi della procedura, in modo da poter procedere con le operazioni rimanenti nell'elenco di controllo.

Check mark icon, Configure the account partner organization.Elenco di controllo: Configurazione dell'organizzazione Partner Account

Attività Riferimento
Se si dispone oggi una distribuzione di ADFS 1.0 o 1.1 esistente nell'ambiente di produzione, vedere il collegamento a destra per informazioni su come migrare le impostazioni dal servizio federativo corrente a un nuovo servizio federativo ADFS di Active Directory. Se si distribuisce ADFS per la prima volta all'interno dell'organizzazione tramite ADFS, è possibile ignorare questo passaggio e continuare per l'attività successiva nell'elenco di controllo per informazioni su come configurare una nuova organizzazione partner account. Icon, Plan to migrate to AD FS 2.0.Pianificazione di una migrazione ad AD FS 2.0
In base agli obiettivi di distribuzione, esaminare le informazioni sui componenti necessari per fornire agli utenti l'accesso alle applicazioni federate. Icon, Provide your AD users access to your claims-aware applications.Fornire agli utenti di Active Directory l'accesso ai servizi e alle applicazioni in grado di riconoscere attestazioni

Icon, Provide your AD users access to applications and services.Fornire agli utenti di Active Directory l'accesso ai servizi e alle applicazioni di altre organizzazioni

Icon, Provide users in another organization acces to your claims-aware applications and services.Fornire agli utenti di un'altra organizzazione l'accesso ai propri servizi e alle applicazioni in grado di riconoscere attestazioni
Determinare quale progettazione ADFS questa organizzazione partner account verranno associati. Icon, Web SSO design.Progetto di Web SSO

Icon, Federated Web SSO design.Progetto di Web SSO federativo
Prima di iniziare a distribuire i server AD FS, esaminare; 1.) vantaggi e svantaggi della scelta di un Database interno di Windows (WID) o SQL Server per archiviare il database di configurazione di AD FS 2.) Tipi di topologia di distribuzione AD FS e i suggerimenti di layout posizionamento e la rete di server associato. Icon, Determine your AD FS deployment topology.Determinare la topologia di distribuzione di AD FS

Icon, AD FS deployment topology considerations.Considerazioni sulla topologia di distribuzione di AD FS
Esaminare la capacità di ADFS sulla pianificazione per determinare il numero corretto di server federativo e server proxy server federativo che è necessario utilizzare nell'ambiente di produzione. Icon, Plan for AD FS server capacity.Pianificazione della capacità per i server AD FS
Per pianificare e implementare la topologia fisica per la distribuzione di partner account, determinare se la progettazione di ADFS richiede uno o più server federativi o server federativi. Icon, Set up a Federation server.Elenco di controllo: Configurazione di un server federativo

Icon, Set up a Federation server proxy.Elenco di controllo: Configurazione di un Proxy Server federativo
Determinare il tipo di archivio di attributi che si desidera aggiungere ad ADFS. Aggiungere quindi l'archivio attributi usando lo snap-in Gestione AD FS. Icon, The role of attribute stores.Il ruolo degli archivi di attributi

Icon, Add an attribute store.Aggiungere un archivio attributi
Se è necessario inviare attestazioni o utilizzare attestazioni da un partner risorse che utilizzano entrambi un servizio federativo ADFS 1.0 o 1.1, vedere il collegamento a destra per informazioni su come configurare ADFS per interagire con le versioni precedenti di ADFS. Se l'organizzazione partner risorse inoltre utilizza ADFS per l'invio o utilizzare le attestazioni per l'organizzazione, è possibile ignorare questo passaggio e continuare con l'attività successiva nell'elenco di controllo. Icon, Plan for interoperability with AD FS 1.x.Pianificazione per l'interoperabilità con AD FS 1.x
Dopo aver distribuito il primo server federativo nell'organizzazione partner account, creare una relazione di trust relying party usando lo snap-in Gestione AD FS. Per creare un'attendibilità della relying party, è possibile immettere manualmente i dati su un partner risorse oppure utilizzare un URL dei metadati federativi fornito dall'amministratore dell'organizzazione del partner risorse. È possibile utilizzare i metadati federativi per recuperare automaticamente i dati per il partner risorse. Nota: Se il partner risorse pubblica i metadati della federazione o può fornire una copia file da utilizzare, è consigliabile recuperare automaticamente i dati in quanto consente di risparmiare tempo. Icon, Manually create a relying party trust.Creare manualmente un'istanza di attendibilità del componente

Icon, Create a relying party trust using Federation metadata.Creare un'istanza di attendibilità del componente con i metadati della federazione
A seconda delle esigenze dell'organizzazione, creare uno o più set di regole attestazioni per ogni trust della relying party specificato nello snap-in Gestione AD FS in modo che le attestazioni vengano rilasciate in modo appropriato. Icon, Create claim rules for a relying party trust.Elenco di controllo: Creazione di regole attestazione per un Trust della Relying Party
Una descrizione di attestazione deve essere creata se non ne esiste già che verrà usata per soddisfare le esigenze dell'organizzazione. AD FS viene fornito con un set predefinito di descrizioni di attestazioni esposte nello snap-in Gestione AD FS. Icon, Add a claim description.Aggiungere una descrizione di attestazione
Determinare se l'organizzazione sarà necessario utilizzare la delega dell'identità per autorizzare o limitare un account specificato per "agire come" o rappresentare altri utenti. Questo è spesso un requisito quando le applicazioni Web front-end devono interagire con i servizi Web back-end. Icon, Use identity delegation.Quando usare la delega di identità
Preparazione dei computer client per la federazione da:

-Aggiunta dell'URL per il server federativo del partner account all'elenco siti attendibili per il browser client.
- Uso di Criteri di gruppo per eseguire il push dei certificati SSL (Secure Sockets Layer) appropriati nei computer client.

 Icon, Prepare client computers in the account partner.Preparare i computer client nel partner account

Icon, Configure client computers to trust the account Federation server.Configurare i computer client per considerare attendibile il server federativo account

configure account partner orgDistribuire i certificati ai computer client tramite criteri di gruppo