Предоставление пользователям Active Directory вашей организации доступа к вашим приложениям и службам с поддержкой утверждений

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Если вы являетесь администратором в партнерской организации учетной записи в развертывании службы федерации Active Directory (AD FS) (AD FS), и у вас есть цель развертывания для предоставления единого входа для сотрудников в корпоративной сети к размещенным ресурсам:

• Сотрудники, вошедшие в лес Active Directory в корпоративной сети, могут использовать единый вход для доступа к нескольким приложениям или службам в сети периметра в вашей организации. Эти приложения и службы защищены AD FS.

  Например, компании Fabrikam может потребоваться предоставить пользователям своей корпоративной сети федеративный доступ к веб-приложениям, размещенным в сети периметра для компании Fabrikam.

• Удаленные сотрудники, вошедшие в домен Active Directory, могут получить токены AD FS от сервера федерации в вашей организации для получения федеративного доступа к веб-приложениям, защищенным AD FS, или веб-службам, также размещенным в вашей организации.

• Сведения из хранилища атрибутов Active Directory могут включаться в токены AD FS сотрудников.

Для выполнения этой задачи развертывания необходимы следующие компоненты.

• Доменные службы Active Directory (AD DS). Доменные службы Active Directory содержат учетные записи пользователей сотрудников, используемые для формирования токенов AD FS. Такие сведения, как членство в группах и атрибуты, включаются в токены AD FS маркеры как утверждения о группе и настраиваемые утверждения.

  Примечание.

  Вы также можете использовать протокол LDAP или SQL для хранения удостоверений, используемых для создания токенов AD FS.

• Корпоративная DNS: эта реализация системы доменных имен (DNS) содержит простую запись ресурсов узла (A), чтобы клиенты интрасети могли находить сервер федерации учетной записи. Эта реализация DNS также может содержать другие DNS-записи, необходимые в корпоративной сети. Дополнительные сведения см. в разделе Name Resolution Requirements for Federation Servers.

• Сервер федерации партнера учетной записи: этот сервер федерации присоединяется к домену в лесу партнера учетной записи. Он выполняет проверку подлинности учетных записей сотрудников и создает токены AD FS. Клиентский компьютер для сотрудника выполняет встроенную проверку подлинности Windows на этом сервере федерации для создания маркера AD FS. Дополнительные сведения см. в разделе Review the Role of the Federation Server in the Account Partner.

  Сервер федерации партнера учетной записи может пройти проверку подлинности следующих пользователей:

  • сотрудников с учетными записями пользователей в этом домене;

  • сотрудников с учетными записями в любом месте леса;

  • сотрудников с учетными записями пользователей в любом месте лесов, которым доверяет этот лес (через двустороннее доверие Windows).

• Сотрудник. Сотрудник получает доступ к веб-службе (с помощью приложения) или веб-приложению (с помощью поддерживаемого веб-браузера) при входе в корпоративную сеть. Клиентский компьютер сотрудника в корпоративной сети взаимодействует непосредственно с сервером федерации для проверки подлинности.

После просмотра информации в указанных разделах вы можете приступать к развертыванию по данной цели, следуя описанным в разделе Checklist: Implementing a Federated Web SSO Designшагам.

На следующем рисунке показаны все необходимые компоненты для этой цели развертывания AD FS.

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012