Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten cel wdrożenia usług Active Directory Federation Services (AD FS) opiera się na celu opisanym w Zapewnianiu użytkownikom usługi Active Directory dostępu do aplikacji i usług obsługujących oświadczenia.
Jeśli jesteś administratorem w organizacji partnera kont i masz cel wdrożenia, aby zapewnić pracownikom federacyjny dostęp do hostowanych zasobów w innej organizacji:
Pracownicy zalogowani do domeny usługi Active Directory w sieci firmowej mogą używać funkcji logowania jednokrotnego w celu uzyskania dostępu do wielu aplikacji lub usług sieci Web, które są zabezpieczone przez usługi AD FS, gdy aplikacje lub usługi znajdują się w innej organizacji. Aby uzyskać więcej informacji, zobacz Projekt federacyjnego logowania jednokrotnego w sieci.
Na przykład firma Fabrikam może chcieć, aby pracownicy sieci firmowej mieli dostęp federacyjny do usług sieci Web hostowanych w firmie Contoso.
Zdalni pracownicy, którzy są zalogowani do domeny usługi Active Directory, mogą uzyskać tokeny usługi AD FS z serwera federacyjnego w twojej organizacji w celu uzyskania dostępu federacyjnego (współdzielonego) do aplikacji lub usług sieciowych zabezpieczonych przez AD FS hostowanych w innej organizacji.
Na przykład firma Fabrikam może chcieć, aby pracownicy zdalni mieli federacyjny dostęp do usług zabezpieczonych przez AD FS, które są hostowane przez firmę Contoso, bez konieczności korzystania przez pracowników Fabrikam z firmowej sieci Fabrikam.
Oprócz podstawowych składników opisanych w artykule Zapewnianie użytkownikom usługi Active Directory dostępu do aplikacji i usług obsługujących oświadczenia oraz które są zacienione na poniższej ilustracji, następujące składniki są wymagane dla tego celu wdrożenia:
Serwer proxy usługi federacyjnej partnera kont: Pracownicy, którzy uzyskują dostęp do usługi federacyjnej lub aplikacji z Internetu, mogą używać tego składnika usług AD FS do przeprowadzania uwierzytelniania. Domyślnie ten składnik wykonuje uwierzytelnianie formularzy, ale może również wykonywać uwierzytelnianie podstawowe. Możesz również skonfigurować ten składnik do przeprowadzania uwierzytelniania klienta w warstwie bezpiecznych gniazd (SSL), jeśli pracownicy w Twojej organizacji mają certyfikaty do przedłożenia. Aby uzyskać więcej informacji, zobacz Gdzie umieścić federacyjny serwer proxy.
Dns obwodowy: Ta implementacja systemu nazw domen (DNS) udostępnia nazwy hostów dla sieci obwodowej. Aby uzyskać więcej informacji na temat konfigurowania obwodowej usługi DNS dla federacyjnego serwera proxy, zobacz Wymagania dotyczące rozpoznawania nazw dla federacyjnych serwerów proxy.
Pracownik zdalny: Pracownik zdalny uzyskuje dostęp do aplikacji internetowej (za pośrednictwem obsługiwanej przeglądarki sieci Web) lub usługi internetowej (za pośrednictwem aplikacji) przy użyciu prawidłowych poświadczeń z sieci firmowej, podczas gdy pracownik jest poza siedzibą firmy przy użyciu Internetu. Komputer kliencki pracownika w lokalizacji zdalnej komunikuje się bezpośrednio z serwerem proxy serwera federacyjnego w celu wygenerowania tokenu i uwierzytelnienia w aplikacji lub usłudze.
Po przejrzeniu informacji w połączonych tematach można rozpocząć wdrażanie tego celu, wykonując kroki opisane na liście kontrolnej: Implementowanie federacyjnego projektu logowania jednokrotnego w sieci Web.
Na poniższej ilustracji przedstawiono każdy z wymaganych składników dla tego celu wdrożenia usług AD FS.
Zobacz też
Przewodnik projektowania AD FS w systemie Windows Server 2012