Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si è un amministratore dell'organizzazione partner account in una distribuzione di Active Directory Federation Services (AD FS) e si ha un obiettivo di distribuzione per fornire l'accesso Single Sign-On (SSO) per i dipendenti nella rete aziendale alle risorse ospitate:
I dipendenti connessi a una foresta Active Directory nella rete aziendale possono usare l'accesso SSO per accedere a più applicazioni o servizi nella rete perimetrale nella propria organizzazione. Queste applicazioni e servizi sono protette da AD FS.
Ad esempio, Fabrikam potrebbe volere che i dipendenti della rete aziendale abbiano accesso federato alle applicazioni basate sul Web ospitate nella rete perimetrale per Fabrikam.
I dipendenti remoti connessi a un dominio di Active Directory possono ottenere i token AD FS dal server federativo dell'organizzazione per ottenere l'accesso federato ad applicazioni o servizi basati sul Web protetti da AD FS che risiedono anche nell'organizzazione.
Le informazioni contenute nell'archivio attributi di Active Directory possono essere inserite nei token AD FS dei dipendenti.
Per questo obiettivo di distribuzione sono necessari i componenti seguenti:
Active Directory Domain Services (AD DS): Active Directory Domain Services contiene gli account utente dei dipendenti usati per generare token AD FS. Le informazioni, ad esempio le appartenenze ai gruppi e gli attributi, vengono popolate in token AD FS come attestazioni di gruppo e attestazioni personalizzate.
Nota
È anche possibile usare LDAP (Lightweight Directory Access Protocol) o Structured Query Language (SQL) per contenere le identità per la generazione di token AD FS.
DNS aziendale: Questa implementazione di Domain Name System (DNS) contiene un record di risorse host (A) semplice in modo che i client Intranet possano individuare il server federativo dell'account. Questa implementazione di DNS può anche ospitare altri record DNS necessari nella rete aziendale. Per altre informazioni, vedere Requisiti di risoluzione dei nomi per i server di federazione.
Server federativo partner account: Questo server federativo è collegato a un dominio nella foresta del partner di account. Autentica gli account utente dei dipendenti e genera token AD FS. Il computer client per il dipendente esegue l'autenticazione integrata di Windows su questo server federativo per generare un token AD FS. Per altre informazioni, vedere Esaminare il ruolo del server federativo nel partner di account.
Il server federativo partner account può autenticare gli utenti seguenti:
Dipendenti con account utente in questo dominio
Dipendenti con account utente ovunque in questa foresta
Dipendenti con account utente ovunque nelle foreste considerate attendibili da questa foresta (tramite un trust di Windows bidirezionale)
Impiegato: Un dipendente accede a un servizio basato sul Web (tramite un'applicazione) o a un'applicazione basata sul Web (tramite un Web browser supportato) mentre è connesso alla rete aziendale. Il computer client del dipendente nella rete aziendale comunica direttamente con il server federativo per l'autenticazione.
Dopo aver esaminato le informazioni negli argomenti collegati, è possibile iniziare a distribuire questo obiettivo seguendo la procedura descritta in Elenco di controllo: Implementazione di una progettazione SSO Web federata.
La figura seguente mostra ognuno dei componenti necessari per questo obiettivo di distribuzione di AD FS.
