Поделиться через

Контрольный список. Настройка организации партнера по учетной записи

Партнерская организация по учетным записям содержит данные пользователей, которые будут осуществлять доступ к веб-приложениям от партнера по ресурсам. Администратор istrators в этой организации должны использовать оснастку управления AD FS для создания доверия проверяющей стороны для представления отношений доверия с организациями партнеров по ресурсам. В свою очередь администратор партнера ресурсов должен создавать доверия поставщика утверждений для каждой партнерской организации учетной записи, которую они хотят доверять.

Этот список проверка включает задачи развертывания службы федерации Active Directory (AD FS) (AD FS) в партнерской организации учетной записи. Она также включает задачи по настройке компонентов, необходимых для установления одного половины партнерства федерации.

Если вы развертываете веб-проект единого входа, вам не нужно следовать этому списку проверка. Однако вам нужно выполнить задачи в этом списке проверка, чтобы успешно развернуть федеративный веб-единый вход.

Внимание

Убедитесь, что администратор в партнерской организации ресурсов следует руководству в контрольном списке: настройка организации партнера по ресурсам, чтобы убедиться, что все необходимые задачи развертывания будут успешно завершены для успешного создания второй половины партнерства федерации.

Примечание.

Выполните по порядку задачи в контрольном списке. После выполнения всех шагов процедуры, на которую указывает ссылка, следует вернуться к этому разделу и продолжить выполнение оставшихся задач контрольного списка.

Check mark icon, Configure the account partner organization.Контрольный список. Настройка партнерской организации учетной записи

Задача Справочные материалы
Если у вас есть существующее развертывание AD FS 1.0 или 1.1 в рабочей среде, см. ссылку справа на сведения о переносе параметров из текущей службы федерации в новую службу федерации AD FS. Если вы впервые развертываете AD FS в организации с помощью AD FS, вы можете пропустить этот шаг и продолжить следующую задачу в этом списке проверка для получения сведений о настройке новой партнерской организации учетной записи. Icon, Plan to migrate to AD FS 2.0.Планирование миграции в AD FS 2.0
На основе целей развертывания просмотрите сведения о компонентах, необходимых для предоставления пользователям доступа к федеративными приложениями. Icon, Provide your AD users access to your claims-aware applications.Предоставление пользователям Active Directory вашей организации доступа к вашим приложениям и службам с поддержкой утверждений

Icon, Provide your AD users access to applications and services.Предоставление пользователям Active Directory вашей организации доступа к приложениям и службам других организаций

Icon, Provide users in another organization acces to your claims-aware applications and services.Предоставление пользователям другой организации доступа к вашим приложениям и службам с поддержкой утверждений
Определите, с какой структурой AD FS будет связана эта партнерская организация учетной записи. Icon, Web SSO design.Проектирование единого входа для интернет-решений

Icon, Federated Web SSO design.Проектирование федеративного единого входа для интернет-решений
Прежде чем приступить к развертыванию серверов AD FS, просмотрите его. 1.) преимущества и недостатки выбора внутренняя база данных Windows (WID) или SQL Server для хранения базы данных конфигурации AD FS 2.) Типы топологий развертывания AD FS и связанные с ними рекомендации по размещению сервера и макету сети. Icon, Determine your AD FS deployment topology.Определение топологии развертывания для служб федерации Active Directory

Icon, AD FS deployment topology considerations.Некоторые аспекты топологии развертывания AD FS
Ознакомьтесь с рекомендациями по планированию емкости AD FS, чтобы определить правильное количество серверов федерации и прокси-серверов серверов федерации, которые следует использовать в рабочей среде. Icon, Plan for AD FS server capacity.Планирование мощности сервера AD FS
Чтобы эффективно спланировать и реализовать физическую топологию для развертывания партнера по учетной записи, определите, требуется ли проект AD FS один или несколько серверов федерации или прокси-серверов федерации. Icon, Set up a Federation server.Контрольный список. Настройка сервера федерации

Icon, Set up a Federation server proxy.Контрольный список. Настройка прокси-сервера федерации
Определите тип хранилища атрибутов, которое требуется добавить в AD FS. Затем добавьте хранилище атрибутов с помощью оснастки управления AD FS. Icon, The role of attribute stores.Роль хранилищ атрибутов

Icon, Add an attribute store.Добавление хранилища атрибутов
Если вам потребуется отправить утверждения или использовать утверждения от партнера по ресурсам, который использует службу федерации AD FS 1.0 или 1.1, см. ссылку справа для получения сведений о том, как настроить AD FS для взаимодействия с предыдущими версиями AD FS. Если организация партнера по ресурсам также использует AD FS для отправки или использования утверждений в организации, можно пропустить этот шаг и продолжить следующую задачу в этом списке проверка. Icon, Plan for interoperability with AD FS 1.x.Планирование взаимодействия с AD FS 1.x
После развертывания первого сервера федерации в партнерской организации учетной записи создайте отношение доверия проверяющей стороны с помощью оснастки управления AD FS. Чтобы создать отношение доверия с проверяющей стороной, можно ввести данные о партнере по ресурсам вручную или использовать URL-адрес метаданных федерации, который предоставлен администратором организации партнера по ресурсам. С помощью метаданных федерации можно автоматически получить данные для партнера по ресурсам. Примечание. Если партнер ресурсов публикует метаданные федерации или может предоставить копию файла для использования, рекомендуется автоматически извлекать данные, так как это может сэкономить время. Icon, Manually create a relying party trust.Создание отношений доверия с проверяющей стороной вручную

Icon, Create a relying party trust using Federation metadata.Создание отношений доверия с проверяющей стороной с использованием метаданных федерации
В зависимости от потребностей организации создайте один или несколько наборов правил утверждений для каждого доверия проверяющей стороны, указанного в оснастке управления AD FS, чтобы утверждения были выданы соответствующим образом. Icon, Create claim rules for a relying party trust.Контрольный список. Создание правил утверждений для доверия проверяющей стороны
Описание утверждения должно быть создано, если оно еще не существует, которое будет соответствовать потребностям вашей организации. AD FS поставляется с набором описаний утверждений по умолчанию, предоставляемых в оснастке управления AD FS. Icon, Add a claim description.Добавление описания утверждения
Определите, потребуется ли вашей организации использовать делегирование удостоверений для авторизации или ограничения указанной учетной записи для того, чтобы "действовать как" или олицетворить других пользователей. Это часто требуется, если интерфейсные веб-приложения должны взаимодействовать с внутренними веб-службами. Icon, Use identity delegation.Когда следует использовать делегирование удостоверений
Подготовьте клиентские компьютеры для федерации следующими причинами:

— Добавление URL-адреса сервера федерации партнера учетной записи в список доверенных сайтов для клиентского браузера.
— Использование групповой политики для отправки на клиентские компьютеры соответствующих сертификатов уровня SSL.

 Icon, Prepare client computers in the account partner.Подготовка клиентских компьютеров в партнере учетной записи

Icon, Configure client computers to trust the account Federation server.Настройка клиентских компьютеров для доверия к серверу федерации учетных записей

configure account partner orgРаспространение сертификатов на клиентские компьютеры с помощью групповой политики