Condividi tramite


Fornire agli utenti di un'altra organizzazione l'accesso ai propri servizi e alle applicazioni in grado di riconoscere attestazioni

Se si è un amministratore dell'organizzazione partner risorse in Active Directory Federation Services (AD FS) e gli obiettivi di distribuzione includono fornire agli utenti di un'altra organizzazione (l'organizzazione partner account) l'accesso federativo a un'applicazione in grado di riconoscere attestazioni o a un servizio basato sul Web presente nella propria organizzazione (l'organizzazione partner risorse):

  • Gli utenti federati sia della propria organizzazione che di altre organizzazioni, che hanno configurato un trust federativo per la propria organizzazione (le organizzazioni partner account) possono accedere all'applicazione o al servizio protetto da AD FS ospitato dalla propria organizzazione. Per altre informazioni, vedere Federated Web SSO Design.

    È possibile, ad esempio, che Fabrikam voglia concedere ai dipendenti della rete aziendale l'accesso federativo ai servizi Web ospitati in Contoso.

  • Gli utenti federati senza alcuna associazione diretta a un'organizzazione considerata attendibile (ad esempio, i singoli clienti), che sono connessi a un archivio di attributi ospitato nella rete perimetrale, possono accedere a più applicazioni protette da AD FS, anch'esse ospitate nella rete perimetrale, effettuando l'accesso una sola volta da computer client presenti su Internet. In altre parole, quando si ospitano account cliente per abilitare l'accesso ad applicazioni o servizi nella rete perimetrale, i clienti ospitati in un archivio di attributi possono accedere a una o più applicazioni o servizi nella rete perimetrale semplicemente effettuando l'accesso una sola volta. Per altre informazioni, vedere Web SSO Design.

    È possibile, ad esempio, che Fabrikam voglia concedere ai clienti l'accesso Single Sign-On (SSO) a più applicazioni o servizi ospitati nella rete perimetrale.

Per questo obiettivo di distribuzione, sono necessari i componenti seguenti:

  • Active Directory Domain Services (AD DS): il server federativo partner risorse deve essere aggiunto a un dominio di Active Directory.

  • DNS perimetrale: DNS (Domain Name System) deve contenere un record di risorse host (A) semplice in modo che i computer client possano individuare il server federativo partner risorse e il server Web. Il server DNS può ospitare altri record DNS anch'essi necessari nella rete perimetrale. Per altre informazioni, vedere Name Resolution Requirements for Federation Servers.

  • Server federativo partner risorse: il server federativo partner risorse convalida i token di AD FS inviati dai partner account. L'individuazione partner account viene eseguita tramite questo server federativo. Per altre informazioni, vedere Review the Role of the Federation Server in the Resource Partner.

  • Server Web: il server Web può ospitare un'applicazione Web o un servizio Web. Il server Web verifica di avere ricevuto token AD FS validi dagli utenti federati prima di consentire l'accesso all'applicazione Web o al servizio Web protetto.

    Usando Windows Identity Foundation (WIF), è possibile sviluppare l'applicazione o il servizio Web in modo che accetti le richieste di accesso degli utenti federati effettuate con un metodo di accesso standard, ad esempio nome utente e password.

Dopo aver esaminato le informazioni negli argomenti collegati, è possibile iniziare a distribuire questo obiettivo seguendo la procedura descritta in Elenco di controllo: Implementazione di un progetto Web SSO federativo ed Elenco di controllo: Elenco di controllo: Implementazione di un progetto Web SSO.

La figura seguente mostra ogni componente necessario per questo obiettivo di distribuzione di AD FS.

access to your claims

Vedi anche

Guida alla progettazione di AD FS in Windows Server 2012