Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo obiettivo di distribuzione di Active Directory Federation Services (AD FS) si basa sull'obiettivo di fornire agli utenti di Active Directory l'accesso ad applicazioni e servizi capaci di riconoscere attestazioni.
Quando si è un amministratore dell'organizzazione partner account e si ha un obiettivo di distribuzione per fornire ai dipendenti l'accesso federato alle risorse ospitate in un'altra organizzazione:
I dipendenti connessi a un dominio di Active Directory nella rete aziendale possono usare la funzionalità Single Sign-On (SSO) per accedere a più applicazioni o servizi basati sul Web, protetti da AD FS, quando le applicazioni o i servizi si trovano in un'organizzazione diversa. Per altre informazioni, vedere Federated Web SSO Design.
Ad esempio, Fabrikam può consentire ai dipendenti della rete aziendale di avere accesso federato ai servizi Web ospitati in Contoso.
I dipendenti remoti connessi a un dominio di Active Directory possono ottenere token AD FS dal server federativo dell'organizzazione per ottenere l'accesso federativo ad applicazioni o servizi basati sul Web protetti da AD FS ospitati in un'altra organizzazione.
Ad esempio, Fabrikam potrebbe volere che i dipendenti remoti abbiano accesso federato ai servizi protetti da AD FS ospitati in Contoso, senza richiedere che i dipendenti Fabrikam si trovino nella rete aziendale Fabrikam.
Oltre ai componenti fondamentali descritti in Fornire agli utenti di Active Directory l'accesso alle applicazioni e ai servizi in grado di riconoscere attestazioni e evidenziati nella figura seguente, sono necessari i seguenti componenti per lo scopo della distribuzione:
Proxy del server di federazione partner account: I dipendenti che accedono a un servizio o un'applicazione federata da Internet possono usare questo componente AD FS per eseguire l'autenticazione. Per impostazione predefinita, questo componente esegue l'autenticazione basata su form, ma può anche eseguire l'autenticazione di base. È anche possibile configurare questo componente per eseguire l'autenticazione client SSL (Secure Sockets Layer) se i dipendenti dell'organizzazione dispongono di certificati da presentare. Per altre informazioni, vedere Dove posizionare un Proxy Server federativo.
DNS perimetrale: Questa implementazione di Domain Name System (DNS) fornisce i nomi host per la rete perimetrale. Per altre informazioni su come configurare il DNS perimetrale per un proxy server federativo, vedere Requisiti di risoluzione dei nomi per proxy server federatici.
Dipendente remoto: Il dipendente remoto accede a un'applicazione basata sul Web (tramite un Web browser supportato) o a un servizio basato sul Web (tramite un'applicazione), usando credenziali valide dalla rete aziendale, mentre il dipendente è fuori sede usando Internet. Il computer client del dipendente nella posizione remota comunica direttamente con il proxy del server federativo per generare un token ed eseguire l'autenticazione all'applicazione o al servizio.
Dopo aver esaminato le informazioni negli argomenti collegati, è possibile iniziare a distribuire questo obiettivo seguendo la procedura descritta in Elenco di controllo: Implementazione di una progettazione SSO Web federata.
La figura seguente mostra ognuno dei componenti necessari per questo obiettivo di distribuzione di AD FS.
