Fornire agli utenti di Active Directory l'accesso ai servizi e alle applicazioni in grado di riconoscere attestazioni
Quando si è amministratori dell'organizzazione partner account in una distribuzione di Active Directory Federation Services (AD FS) e un obiettivo della distribuzione prevede l'accesso Single Sign-On (SSO) per i dipendenti nella rete aziendale alle risorse ospitate:
I dipendenti che sono connessi a una foresta di Active Directory nella rete aziendale possono usare SSO per accedere a più applicazioni o servizi nella rete perimetrale dell'organizzazione. Tali applicazioni e servizi sono protetti da AD FS.
È possibile, ad esempio, che Fabrikam voglia concedere ai dipendenti della rete aziendale l'accesso federativo alle applicazioni basate sul Web ospitate nella rete perimetrale per Fabrikam.
I dipendenti remoti connessi a un dominio Active Directory possono ottenere i token AD FS dal server federativo nell'organizzazione per ottenere l'accesso federato ai servizi o alle applicazioni basate sul Web protette da AD FS che risiedono anche nell'organizzazione.
Le informazioni nell'archivio di attributi di Active Directory possono essere popolate nei token AD FS dei dipendenti.
Per questo obiettivo di distribuzione, sono necessari i componenti seguenti:
Servizio di dominio Active Directory: Servizio di dominio Active Directory contiene gli account utente dei dipendenti usati per generare i token ADFS. Le informazioni come l'appartenenza ai gruppi e gli attributi vengono popolate nei token AD FS come attestazioni basate su gruppo e attestazioni personalizzate.
Nota
È anche possibile usare Lightweight Directory Access Protocol (LDAP) o Structured Query Language (SQL) per includere le identità per la generazione dei token AD FS.
DNS aziendale: questa implementazione di DNS (Domain Name System) contiene un record di risorse host semplice (A) in modo che i client Intranet possano individuare il server federativo dell'account. Questa implementazione di DNS può ospitare anche altri record DNS necessari nella rete aziendale. Per altre informazioni, vedere Name Resolution Requirements for Federation Servers.
Server federativo partner account: questo server federativo fa parte di un dominio nella foresta del partner account. Autentica gli account utente dei dipendenti e genera i token AD FS. Il computer client per il dipendente esegue l'autenticazione integrata di Windows a fronte di questo server federativo per generare un token AD FS. Per altre informazioni, vedere Review the Role of the Federation Server in the Account Partner.
Il server federativo del partner account può autenticare gli utenti seguenti:
Dipendenti con account utente nel dominio
Dipendenti con account utente in qualsiasi punto della foresta
Dipendenti con account utente in qualsiasi punto di foreste trusted dalla foresta corrente (tramite un trust bidirezionale di Windows)
Dipendente: un dipendente accede a un servizio basato sul Web (tramite un'applicazione) o a un'applicazione basata su Web (tramite un Web browser supportato) mentre è connesso alla rete aziendale. Il computer client del dipendente nella rete aziendale comunica direttamente con il server federativo per l'autenticazione.
Dopo aver esaminato le informazioni negli argomenti collegati, è possibile iniziare a distribuire questo obiettivo eseguendo la procedura descritta in Checklist: Implementing a Federated Web SSO Design.
La figura seguente mostra ogni componente necessario per questo obiettivo di distribuzione di AD FS.
