Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта цель развертывания служб федерации Active Directory (AD FS) основывается на цели предоставить пользователям Active Directory доступ к вашим приложениям и службам, поддерживающим работу с утверждениями.
Если вы являетесь администратором в организации-партнере по учетным записям и у вас есть цель предоставить сотрудникам федеративный доступ к размещённым ресурсам в другой организации:
Сотрудники, вошедшие в домен Active Directory в корпоративной сети, могут использовать функции единого входа для доступа к нескольким веб-приложениям или службам, защищенным AD FS, когда приложения или службы находятся в другой организации. Для получения дополнительной информации см. раздел «Дизайн федеративного единого входа в веб».
Например, Fabrikam может потребовать, чтобы сотрудники корпоративной сети имели федеративный доступ к веб-службам, размещенным в Contoso.
Удаленные сотрудники, вошедшие в домен Active Directory, могут получать маркеры AD FS с сервера федерации в организации, чтобы получить федеративный доступ к защищенным веб-приложениям или службам ad FS, размещенным в другой организации.
Например, Fabrikam может потребовать, чтобы удаленные сотрудники имели федеративный доступ к защищенным службам AD FS, размещенным в Contoso, не требуя, чтобы сотрудники Fabrikam были в корпоративной сети Fabrikam.
Помимо основных компонентов, описанных в разделах «Предоставление пользователям Active Directory доступа к приложениям и службам, поддерживающим утверждения» и, которые показаны затенёнными на следующем рисунке, для выполнения этой цели развертывания требуются следующие компоненты:
прокси-сервер федерации партнера по учетной записи: сотрудники, обращаюющиеся к федеративной службе или приложению из Интернета, могут использовать этот компонент AD FS для выполнения проверки подлинности. По умолчанию этот компонент выполняет проверку подлинности форм, но также может выполнять обычную проверку подлинности. Этот компонент также можно настроить для проверки подлинности клиента SSL, если у сотрудников организации есть сертификаты. Дополнительные сведения см. в статье Where to Place a Federation Server Proxy (Место размещения прокси-сервера федерации).
DNS периметра: Эта реализация системы доменных имен (DNS) предоставляет имена хостов для периметральной сети. Дополнительные сведения о настройке DNS периметра для прокси-сервера федерации см. в разделе Требования к разрешению имен для прокси-серверов федерации.
удаленный сотрудник: удаленный сотрудник обращается к веб-приложению (через поддерживаемый веб-браузер) или веб-службе (через приложение), используя допустимые учетные данные из корпоративной сети, когда он находится за пределами офиса и использует Интернет. Клиентский компьютер сотрудника в удаленном расположении взаимодействует непосредственно с прокси-сервером федерации для создания токена и аутентификации в приложении или службе.
После ознакомления со сведениями в связанных темах вы можете начать развертывание этой цели, выполнив шаги, описанные в контрольном списке : Реализация дизайна федеративного веб-единого входа.
На следующем рисунке показаны все необходимые компоненты для этой цели развертывания AD FS.
