Предоставление пользователям в другой организации доступа к приложениям и службам с поддержкой утверждений
Если вы являетесь администратором в партнерской организации ресурсов в службах федерации Active Directory (AD FS) и у вас есть цель развернуть федеративный доступ пользователям другой организации (организации-партнера по учетным записям) к утвержденческому приложению или веб-службе, расположенной в вашей организации (партнерской организации ресурсов):
Федеративные пользователи как в вашей организации, так и в организациях-партнёрах по учётным записям, которые настроили доверие федерации с вашей организацией, могут получить доступ к защищенному приложению или службе AD FS, размещенному в вашей организации. Для получения дополнительной информации см. раздел «Дизайн федеративного единого входа в веб».
Например, Fabrikam может потребовать, чтобы сотрудники корпоративной сети имели федеративный доступ к веб-службам, размещенным в Contoso.
Федеративные пользователи, не имеющие прямой связи с доверенной организацией (например, индивидуальными клиентами), могут войти в хранилище атрибутов, размещённое в вашей сети периметра, и получить доступ к нескольким приложениям, защищённым с помощью AD FS. Эти приложения также находятся в сети периметра и доступны после разового входа в систему с клиентских компьютеров, подключённых к Интернету. Другими словами, при размещении учетных записей клиентов для предоставления доступа к приложениям или службам в сети периметра клиенты, размещенные в хранилище атрибутов, могут получить доступ к одному или нескольким приложениям или службам в сети периметра, просто выполнив вход один раз. Дополнительные сведения см. в разделе "Проектирование единого входа в Интернете".
Например, Fabrikam может потребовать, чтобы у своих клиентов был единый вход (SSO) к нескольким приложениям или службам, размещенным в сети периметра.
Для этой цели развертывания требуются следующие компоненты:
Доменные службы Active Directory (AD DS): Сервер федерации партнеров ресурсов должен быть присоединен к домену Active Directory.
DNS периметра: Система доменных имен (DNS) должна содержать простую запись ресурсов узла (A), чтобы клиентские компьютеры могли находить сервер федерации партнеров ресурсов и веб-сервер. DNS-сервер может размещать другие записи DNS, необходимые также в сети периметра. Для получения дополнительной информации см. раздел Требования к разрешению имен для серверов федерации.
Сервер федерации партнеров ресурсов: Сервер федерации партнеров ресурсов проверяет маркеры AD FS, отправляемые партнерам учетной записи. Обнаружение партнера учётной записи выполняется с помощью этого сервера федерации. Дополнительные сведения см. в разделе Обзор роли сервера федерации в партнере по ресурсам.
Веб-сервер: Веб-сервер может размещать веб-приложение или веб-службу. Веб-сервер подтверждает, что он получает допустимые маркеры AD FS от федеративных пользователей, прежде чем он разрешает доступ к защищенному веб-приложению или веб-службе.
С помощью Windows Identity Foundation (WIF) вы можете разрабатывать веб-приложение или службу, чтобы оно принимало федеративные запросы на вход пользователей, выполненные с помощью любого стандартного метода входа, например имени пользователя и пароля.
После изучения информации в связанных разделах вы можете приступить к реализации этой задачи, следуя шагам в Контрольный список: Реализация дизайна федеративной веб-SSO и Контрольный список: Реализация дизайна веб-SSO.
На следующем рисунке показаны все необходимые компоненты для этой цели развертывания AD FS.
