Checklista: Konfigurera kontopartnerorganisationen
Kontopartnerorganisationen innehåller de användare som kommer åt webbaserade program i resurspartnern. Administratörer i den här organisationen måste använda snapin-modulen AD FS Management för att skapa förlitande partförtroenden för att representera sina förtroenderelationer med resurspartnerorganisationer. Resurspartneradministratören måste i sin tur skapa anspråksproviderförtroenden för varje kontopartnerorganisation som de vill lita på.
Den här checklistan innehåller uppgifter för att distribuera Active Directory Federation Services (AD FS) i kontopartnerorganisationen. Den innehåller även uppgifter för att konfigurera de komponenter som krävs för att upprätta hälften av ett federationspartnerskap.
Om du distribuerar en Web SSO Designbehöver du inte följa den här checklistan. Du måste dock slutföra uppgifterna i den här checklistan för att implementera en federerad webb-SSO-design.
Viktigt!
Kontrollera att administratören i resurspartnerorganisationen följer riktlinjerna i Checklista: Konfigurera resurspartnerorganisationen för att säkerställa att alla nödvändiga distributionsuppgifter slutförs för att skapa den andra halvan av federationspartnerskapet.
Anmärkning
Slutför uppgifterna i den här checklistan i ordning. När en referenslänk tar dig till en procedur går du tillbaka till det här avsnittet när du har slutfört stegen i den proceduren så att du kan fortsätta med de återstående uppgifterna i den här checklistan.
Checklista: Konfigurera kontopartnerorganisationen
| Uppgift | Hänvisning |
|---|---|
| Om du har en befintlig AD FS 1.0- eller 1.1-distribution i produktionsmiljön i dag kan du läsa länken till höger för information om hur du migrerar inställningar från din aktuella federationstjänst till en ny AD FS-federationstjänst. Om du distribuerar AD FS för första gången i din organisation med hjälp av AD FS kan du hoppa över det här steget och fortsätta till nästa uppgift i den här checklistan för information om hur du konfigurerar en ny kontopartnerorganisation. | sv-SE:  Planera en migrering till AD FS 2.0 |
| Baserat på dina distributionsmål granskar du information om de komponenter som krävs för att ge användarna åtkomst till de federerade programmen. |
Ge dina Active Directory-användare åtkomst till dina applikationer och tjänster som är medvetna om anspråk
|
| Ta reda på vilken AD FS-design den här kontopartnerorganisationen ska associeras med. |
Web SSO Design |
| Innan du börjar distribuera dina AD FS-servrar bör du granska; 1.) fördelar och nackdelar med att välja antingen Windows Internal Database (WID) eller SQL Server för att lagra AD FS-konfigurationsdatabasen 2.) Topologityper för AD FS-distribution och deras associerade rekommendationer för serverplacering och nätverkslayout. |
fastställa din AD FS-distributionstopologi |
| Granska vägledningen för AD FS-kapacitetsplanering för att fastställa rätt antal federationsserver- och federationsserverproxyservrar som du bör använda i produktionsmiljön. |
Planera för AD FS-serverkapacitet |
| För att effektivt planera och implementera den fysiska topologin för kontopartnerdistributionen ska du avgöra om din AD FS-design kräver en eller flera federationsservrar eller federationsserverproxy. |
Checklista: Sätta upp en federationsserver |
| Fastställa vilken typ av attributarkiv som du vill lägga till i AD FS. Lägg sedan till attributarkivet med hjälp av snapin-modulen AD FS Management. |
Rollen för attributlagring |
| Om du behöver skicka anspråk till eller använda anspråk från en resurspartner som använder antingen en AD FS 1.0- eller 1.1-federationstjänst kan du läsa länken till höger för information om hur du konfigurerar AD FS för att samverka med tidigare versioner av AD FS. Om resurspartnerorganisationen också använder AD FS för att skicka eller använda anspråk till din organisation kan du hoppa över det här steget och fortsätta med nästa uppgift i den här checklistan. |
Planering för interoperabilitet med AD FS 1.x |
| När du har distribuerat den första federationsservern i kontopartnerorganisationen skapar du en förtroenderelation för förlitande part med hjälp av snapin-modulen AD FS Management. Du kan skapa ett förlitande partförtroende genom att ange data om en resurspartner manuellt eller genom att använda en url för federationsmetadata som administratören för resurspartnerorganisationen tillhandahåller dig. Du kan använda federationsmetadata för att hämta data för resurspartnern automatiskt. Obs! Om resurspartnern publicerar sina federationsmetadata eller kan tillhandahålla en filkopia av dem som du kan använda rekommenderar vi att du hämtar data automatiskt eftersom det kan spara tid. |
Skapa ett förtroende för förlitande part manuellt
|
| Beroende på organisationens behov skapar du en eller flera anspråksregeluppsättningar för varje förlitande parts förtroende som anges i snapin-modulen AD FS Management så att anspråk utfärdas på rätt sätt. |
Checklista: Skapa anspråksregler för en förlitande parts tillit |
| En anspråksbeskrivning måste skapas om det inte redan finns en som uppfyller organisationens behov. AD FS levereras med en standarduppsättning anspråksbeskrivningar som exponeras i snapin-modulen AD FS Management. |
Lägg till en beskrivning av krav |
| Avgör om din organisation behöver använda identitetsdelegering för att auktorisera eller begränsa ett angivet konto för att "agera som" eller personifiera andra användare. Detta är ofta ett krav när klientwebbprogram måste interagera med serverdelswebbtjänster. |
När identitetsdelegering ska användas |
| Förbered klientdatorer för federation genom att: – Lägga till URL:en för kontopartnerfederationsservern i listan över betrodda platser för klientwebbläsaren. |
Förbered klientdatorer i kontopartnern
|