Поделиться через

Контрольный список. Настройка организации партнера по учетной записи

Организация-партнер по учетной записи содержит пользователей, которые будут получать доступ к веб-приложениям в организации-партнере по ресурсам. Администраторы в этой организации должны использовать оснастку управления AD FS для создания доверия проверяющей стороны, чтобы представлять отношения доверия с организациями партнеров по ресурсам. В свою очередь, администратор партнера ресурсов должен создавать доверительные отношения с поставщиком утверждений для каждой организации-партнера учетной записи, которой они хотят доверять.

Этот контрольный список включает задачи по развертыванию служб федерации Active Directory (AD FS) в организации-партнера по учетной записи. Она также включает задачи по настройке компонентов, необходимых для установления половины федеративного партнерства.

Если вы развертываете проект Web SSO, вам не нужно следовать этому контрольному списку. Однако необходимо выполнить задачи в этом контрольном списке, чтобы успешно развернуть федеративный дизайн единого веб-входа.

Это важно

Убедитесь, что администратор в организации-партнере по ресурсам следует руководству в Контрольный список: Настройка Организации-Партнера по Ресурсам, чтобы гарантировать, что все необходимые задачи развертывания будут успешно выполнены для успешного создания второй половины партнерства федерации.

Примечание.

Выполните задачи в этом контрольном списке по порядку. Когда ссылка переходит к процедуре, вернитесь к этому разделу после выполнения действий, описанных в этой процедуре, чтобы продолжить остальные задачи в этом контрольном списке.

Значок флажка — настройка организации-партнера учетной записи. Контрольный список: Настройка организации-партнера учетной записи

Задача Ссылка
Если у вас есть существующее развертывание AD FS 1.0 или 1.1 в вашей рабочей среде, см. ссылку справа для получения информации о том, как перенести настройки из существующей службы федерации в новую службу федерации AD FS. Если вы впервые развертываете AD FS в своей организации, вы можете пропустить этот шаг и перейти к следующей задаче в этом контрольном списке, чтобы узнать, как настроить новую партнерскую организацию по учетным записям. Значок, план миграции в AD FS 2.0. Планирование миграции в AD FS 2.0
На основе целей развертывания просмотрите сведения о компонентах, необходимых для предоставления пользователям доступа к федеративными приложениями. Значок: предоставьте пользователям Active Directory доступ к приложениям с поддержкой утверждений. Предоставьте пользователям Active Directory доступ к приложениям и службам с поддержкой утверждений

Значок: предоставление пользователям AD доступа к приложениям и службам. Предоставление пользователям Active Directory доступа к приложениям и службам других организаций

Значок: предоставление пользователям в другой организации доступа к вашим приложениям и службам с поддержкой утверждений. Предоставление пользователям в другой организации доступа к вашим приложениям и службам с поддержкой утверждений
Определите, к какому дизайну AD FS будет относиться эта организация-партнер по учетной записи. Значок, дизайн единого входа в Интернете. Проектирование единого входа в Интернете

Иконка, проектирование федеративного веб-единого входа. Проектирование федеративного веб-единого входа
Прежде чем приступить к развертыванию серверов AD FS, ознакомьтесь с: 1.) преимущества и недостатки выбора внутренней базы данных Windows (WID) или SQL Server для хранения базы данных конфигурации AD FS 2.) Типы топологий развертывания AD FS и связанные с ними рекомендации по размещению сервера и макету сети. Значок, определение топологии развертывания AD FS. Определение топологии развертывания AD FS

Рекомендации по топологии развертывания AD FS. Рекомендации по топологии развертывания AD FS
Ознакомьтесь с рекомендациями по планированию емкости AD FS, чтобы определить правильное количество серверов федерации и прокси-серверов серверов федерации, которые следует использовать в рабочей среде. Значок, планирование емкости сервера AD FS. Планирование емкости сервера AD FS
Чтобы эффективно спланировать и реализовать физическую топологию для развертывания учетного партнера, определите, требует ли ваш дизайн AD FS наличие одного или нескольких серверов федерации или прокси-серверов федерации. Значок, настройка сервера федерации. Контрольный список. Настройка сервера федерации

Значок. Настройка прокси-сервера федерации. Контрольный список: Настройка прокси-сервера федерации
Определите тип хранилища атрибутов, которое требуется добавить в AD FS. Затем с помощью оснастки управления AD FS добавьте хранилище атрибутов. Значок, роль хранилищ атрибутов. Роль хранилищ атрибутов

Значок, добавление хранилища атрибутов. Добавление хранилища атрибутов
Если вам потребуется отправить утверждения или использовать утверждения от партнера по ресурсам, который использует службу федерации AD FS 1.0 или 1.1, см. ссылку справа для получения сведений о том, как настроить AD FS для взаимодействия с предыдущими версиями AD FS. Если организация-партнер по ресурсам также использует AD FS для отправки или использования утверждений в вашу организацию, можно пропустить этот шаг и продолжить к следующему заданию в этом контрольном списке. Значок, план взаимодействия с AD FS 1.x. Планирование взаимодействия с AD FS 1.x
После развертывания первого сервера федерации в организации партнера по учетной записи создайте отношение доверия достоверной стороны с помощью инструмента администрирования AD FS. Вы можете создать доверенные отношения с проверяющей стороной, введя данные о партнере ресурсов вручную или используя URL-адрес метаданных федерации, предоставляемый администратором организации-партнера по ресурсам. Метаданные федерации можно использовать для автоматического получения данных для партнера по ресурсам. Заметка: Если партнер ресурсов публикует метаданные федерации или может предоставить копию файла для использования, рекомендуется автоматически извлекать данные, так как это может сэкономить время. Иконка, вручную создайте доверительную связь с проверяющей стороной. Создание доверительной связи с проверяющей стороной вручную

Значок, создание доверия проверяющей стороны с помощью метаданных федерации. Создание доверия проверяющей стороны с помощью метаданных федерации
В зависимости от потребностей вашей организации создайте один или несколько наборов правил для утверждений для каждой доверенной стороны, указанной в оснастке AD FS Management, чтобы утверждения были выданы соответствующим образом. Значок, создание правил утверждений для доверия проверяющей стороны. Контрольный список. Создание правил утверждений для доверия проверяющей стороны
Описание утверждения должно быть создано, если его еще не существует, чтобы оно соответствовало потребностям вашей организации. AD FS поставляется с набором описаний утверждений по умолчанию, которые отображаются в оснастке управления AD FS. Значок, добавление описания утверждения. Добавление описания утверждений
Определите, потребуется ли вашей организации использовать делегирование удостоверений для авторизации или ограничения указанной учетной записи для того, чтобы "действовать как" или олицетворить других пользователей. Это часто требуется, если интерфейсные веб-приложения должны взаимодействовать с внутренними веб-службами. Значок. Использование делегирования удостоверений. Когда следует использовать делегирование удостоверений
Подготовьте клиентские компьютеры для федерации следующими причинами:

— Добавление URL-адреса сервера федерации партнера учетной записи в список доверенных сайтов для клиентского браузера.
— Использование групповой политики для отправки на клиентские компьютеры соответствующих сертификатов уровня SSL.

 Значок, подготовка клиентских компьютеров в партнере учетной записи. Подготовка клиентских компьютеров в партнере учетной записи

Значок настройки клиентских компьютеров для доверия серверу федерации учетных записей. Настройка клиентских компьютеров для доверия серверу федерации учетных записей

настройка партнерской организации учетной записи Распространение сертификатов на клиентские компьютеры с использованием групповой политики