Предоставьте пользователям Active Directory доступ к приложениям и службам, поддерживающим утверждения.
Если вы являетесь администратором в организации-партнере по учетным записям в развертывании служб федерации Active Directory (AD FS) и у вас есть цель развернуть единую аутентификацию (SSO) для сотрудников корпоративной сети к вашим размещенным ресурсам:
Сотрудники, которые вошли в структуру Active Directory в корпоративной сети, могут использовать единую регистрацию для доступа к нескольким приложениям или службам в периметральной сети в вашей организации. Эти приложения и службы защищены AD FS.
Например, Fabrikam может потребовать, чтобы сотрудники корпоративной сети имели федеративный доступ к веб-ориентированным приложениям, размещённым в сети периметра для Fabrikam.
Удаленные сотрудники, вошедшие в домен Active Directory, могут получать токены AD FS с сервера федерации в вашей организации для получения федеративного доступа к веб-приложениям или службам, защищенным AD FS, которые также находятся в вашей организации.
Сведения из хранилища атрибутов Active Directory можно использовать в токенах AD FS сотрудников.
Для этой цели развертывания требуются следующие компоненты:
Доменные службы Active Directory (AD DS): AD DS содержит учетные записи пользователей сотрудников, которые используются для создания маркеров AD FS. Сведения, такие как членство в группах и атрибуты, заполняются маркерами AD FS в виде утверждений групп и пользовательских утверждений.
Примечание.
Кроме того, можно использовать протокол LDAP или язык структурированных запросов (SQL) для хранения идентификаторов, необходимых для генерации маркеров AD FS.
Корпоративный DNS: Эта реализация системы доменных имен (DNS) содержит простую ресурсную запись узла (A), чтобы клиенты интрасети могли находить сервер федерации аккаунтов. Эта реализация DNS также может размещать другие записи DNS, необходимые в корпоративной сети. Для получения дополнительной информации см. раздел Требования к разрешению имен для серверов федерации.
Сервер федерации партнера учетной записи: Этот сервер федерации присоединяется к домену в лесу партнера учетной записи. Он проверяет подлинность учетных записей пользователей сотрудников и создает маркеры AD FS. Клиентский компьютер сотрудника выполняет проверку подлинности Windows Integrated Authentication на сервере федерации для создания токена AD FS. Для получения дополнительной информации см. раздел Роль сервера федерации у партнера по учетной записи.
Сервер федерации учетной записи партнера может аутентифицировать следующих пользователей:
Сотрудники с учетными записями пользователей в этом домене
Сотрудники с учетными записями пользователей в любом месте в этом лесу
Сотрудники с учетными записями пользователей в любом месте в лесах, доверенных этим лесом (с помощью двустороннего доверия Windows)
Служащий: Сотрудник обращается к веб-службе (через приложение) или веб-приложению (через поддерживаемый веб-браузер) во время входа в корпоративную сеть. Клиентский компьютер сотрудника в корпоративной сети взаимодействует непосредственно с сервером федерации для проверки подлинности.
После ознакомления со сведениями в связанных темах вы можете начать развертывание этой цели, выполнив шаги, описанные в контрольном списке : Реализация дизайна федеративного веб-единого входа.
На следующем рисунке показаны все необходимые компоненты для этой цели развертывания AD FS.