Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jeśli jesteś administratorem w organizacji partnera kont we wdrożeniu usług Active Directory Federation Services (AD FS) i masz cel wdrożenia w celu zapewnienia dostępu do logowania jednokrotnego (SSO) dla pracowników w sieci firmowej do hostowanych zasobów:
Pracownicy zalogowani do lasu Active Directory w sieci firmowej mogą używać logowania jednokrotnego do uzyskiwania dostępu do wielu aplikacji lub usług w sieci perymetrycznej we własnej organizacji. Te aplikacje i usługi są zabezpieczone przez usługi AD FS.
Na przykład firma Fabrikam może chcieć, aby pracownicy sieci firmowej mieli dostęp federacyjny do aplikacji internetowych hostowanych w sieci obwodowej dla firmy Fabrikam.
Zdalni pracownicy, którzy są zalogowani do domeny usługi Active Directory, mogą uzyskać tokeny usług AD FS z serwera federacyjnego w organizacji, aby uzyskać federacyjny dostęp do aplikacji lub usług sieci Web zabezpieczonych za pomocą usług AD FS, które również znajdują się w organizacji.
Informacje z magazynu atrybutów usługi Active Directory można umieścić w tokenach AD FS pracowników.
Następujące składniki są wymagane dla tego celu wdrożenia:
Active Directory Domain Services (AD DS): Usługi AD DS zawierają konta użytkowników pracowników, które są używane do generowania tokenów usług AD FS. Informacje, takie jak członkostwo w grupach i atrybuty, są umieszczane w tokenach AD FS jako roszczenia grupowe i roszczenia niestandardowe.
Uwaga
Można również użyć protokołu LDAP (Lightweight Directory Access Protocol) lub structured Query Language (SQL), aby zawierać tożsamości na potrzeby generowania tokenów usług AD FS.
Firmowy system DNS: Ta implementacja systemu nazw domen (DNS) zawiera prosty rekord zasobu hosta (A), aby klienci intranetowi mogli zlokalizować serwer federacyjny kont. Ta implementacja systemu DNS może również hostować inne rekordy DNS, które są wymagane w sieci firmowej. Aby uzyskać więcej informacji, zobacz wymagania dotyczące rozpoznawania nazw dla serwerów federacyjnych.
Serwer federacyjny partnera kont: Ten serwer federacyjny jest przyłączony do domeny w lesie partnera kont. Uwierzytelnia konta użytkowników pracowników i generuje tokeny usług AD FS. Komputer kliencki pracownika wykonuje zintegrowane uwierzytelnianie systemu Windows względem tego serwera federacyjnego w celu wygenerowania tokenu usług AD FS. Aby uzyskać więcej informacji, zobacz Zrecenzuj rolę serwera federacji w partnerze konta.
Serwer federacyjny partnera kont może uwierzytelniać następujących użytkowników:
Pracownicy z kontami użytkowników w tej domenie
Pracownicy z kontami użytkowników w dowolnym miejscu w tym lesie
Pracownicy z kontami użytkowników w dowolnym miejscu w lasach zaufanych przez ten las (za pośrednictwem dwukierunkowej relacji zaufania systemu Windows)
Pracownik: Pracownik uzyskuje dostęp do usługi internetowej (za pośrednictwem aplikacji) lub aplikacji internetowej (za pośrednictwem obsługiwanej przeglądarki sieci Web), gdy jest zalogowany do sieci firmowej. Komputer kliencki pracownika w sieci firmowej komunikuje się bezpośrednio z serwerem federacyjnym na potrzeby uwierzytelniania.
Po przejrzeniu informacji w połączonych tematach można rozpocząć wdrażanie tego celu, wykonując kroki opisane na liście kontrolnej: Implementowanie federacyjnego projektu logowania jednokrotnego w sieci Web.
Na poniższej ilustracji przedstawiono każdy z wymaganych składników dla tego celu wdrożenia usług AD FS.
Zobacz też
Przewodnik projektowania AD FS w systemie Windows Server 2012