Настройка партнерских организаций

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Чтобы развернуть новую партнерскую организацию в службах федерации Active Directory (AD FS), выполните задачи в контрольном списке : настройка организации партнера ресурсов или контрольного списка : настройка партнерской организации учетной записив зависимости от структуры AD FS.

Примечание.

При использовании любого из этих контрольных списков мы настоятельно рекомендуем сначала ознакомиться с рекомендациями по планированию партнера по учетной записи или партнера по ресурсам в разделе Руководства по проектированию AD FS в Windows Server 2012, прежде чем переходить к процедурам настройки новой партнерской организации. Следуя контрольному списку таким образом, вы сможете лучше понять полную историю проектирования и развертывания AD FS для партнера по учетной записи или партнерской организации ресурсов.

Сведения о партнерских организациях учетной записи

Партнер учетной записи — это организация в отношениях доверия федерации, которые физически хранят учетные записи пользователей в хранилище атрибутов, поддерживаемом AD FS. Партнер учетной записи отвечает за сбор и проверку подлинности учетных данных пользователя, создание утверждений для этого пользователя и упаковку утверждений в маркеры безопасности. Затем эти токены можно представить через доверительные отношения в федерации, чтобы обеспечить доступ к веб-ресурсам, расположенным в организации-партнере по ресурсам.

Другими словами, партнер по учетной записи представляет организацию, для пользователей которой сервер федерации на стороне учетной записи выдает токены безопасности. Сервер федерации в партнерской организации учетной записи проверяет подлинность локальных пользователей и создает маркеры безопасности, которые партнер ресурсов использует при принятии решений о авторизации.

Что касается хранилищ атрибутов, партнер учетной записи в AD FS концептуально эквивалентен одному лесу Active Directory, учетные записи которого нуждаются в доступе к ресурсам, физически расположенным в другом лесу. Учетные записи в этом лесу могут получить доступ к ресурсам в лесу ресурсов только в том случае, если между двумя лесами существует внешняя или лесная связь доверия, и ресурсы, к которым пользователи пытаются получить доступ, имеют соответствующие разрешения авторизации.

Организации-партнеры по ресурсам

Партнер по ресурсам — это организация в развертывании AD FS, на котором находятся веб-серверы. Партнер ресурсов полагается на партнера учетной записи для аутентификации пользователей. Таким образом, чтобы принимать решения об авторизации, партнер по ресурсам использует утверждения, которые включены в маркеры безопасности и поступают от пользователей из партнера по учетным записям.

Другими словами, партнер по ресурсам представляет организацию, веб-серверы которой защищены сервером федерации на стороне ресурса. Сервер федерации у партнера по ресурсам использует маркеры безопасности, созданные партнером по учётным записям, для принятия решений об авторизации веб-серверов у партнера по ресурсам.

Для работы в качестве ресурса AD FS веб-серверы в партнерской организации должны иметь установленный Windows Identity Foundation (WIF) или службы ролей агента веб-утверждений Active Directory Federation Services (AD FS) 1.x. Веб-серверы, которые работают в качестве ресурса AD FS, могут размещать приложения на основе веб-браузера или веб-службы.