清单︰ 配置帐户伙伴组织
帐户伙伴组织包含将访问资源伙伴中基于 Web 的应用程序的用户。 此组织中的管理员必须使用“AD FS 管理”管理单元来创建信赖方信任以表示它们与资源合作伙伴组织之间的信任关系。 反过来,资源伙伴管理员必须创建每个帐户伙伴组织,他们想要信任的声明提供方信任。
此清单包括用于在帐户合作伙伴组织中部署 Active Directory 联合身份验证服务 (AD FS) 的任务。 它还包括了对建立联合身份验证合作伙伴关系的一半所需的组件进行配置的任务。
如果正在部署 Web SSO 设计, ,无需按照此清单。 但是,您是否需要完成此清单,若要成功部署中的任务 联合 Web SSO 设计。
重要
请确保资源伙伴组织中的管理员,如下所示中的指导 核对清单︰ 配置资源伙伴组织 以确保所有必需的部署任务将会完成若要成功创建第二个半个联合合作关系。
注意
请按顺序完成本清单中的任务。 当某个参考连接将你转至某个过程时,应在完成该过程中的步骤之后返回此主题,以便你可以继续执行此清单中的其他任务。
清单:配置帐户合作伙伴组织
| 任务 | 参考 |
|---|---|
| 如果您目前在生产环境中拥有现有的 AD FS 1.0 或 1.1 生成的部署,请参阅有关如何将设置从当前的联合身份验证服务迁移到新的 AD FS 联合身份验证服务的信息的右侧的链接。 如果您首次在组织中部署 AD FS 使用 AD FS 中,您可以跳过此步骤,并继续下一任务在此清单中有关如何设置新的帐户伙伴组织的信息。 |  规划到 AD FS 2.0 的迁移 |
| 根据您的部署目标,查看有关用户提供对联合应用程序的访问权限所需的组件的信息。 | 为你的 Active Directory 用户提供对声明感知应用程序和服务的访问权限 |
| 确定哪些 AD FS 设计此帐户伙伴组织将与相关联。 | Web SSO 设计 |
| 开始部署 AD FS 服务器之前,请查看;1.) 选择 Windows 内部数据库 (WID) 或 SQL Server 来存储 AD FS 配置数据库的优缺点 2.) AD FS 部署拓扑类型和关联的服务器位置和网络布局建议。 | 确定 AD FS 部署拓扑 |
| 查看 AD FS 容量规划指南以确定联合身份验证服务器和联合服务器代理服务器应在生产环境中使用的正确号码。 | 规划 AD FS 服务器容量 |
| 为了有效地规划和实施帐户合作伙伴部署的物理拓扑,确定你的 AD FS 设计需要一个或多个联合服务器或联合服务器代理。 |  清单:设置联合服务器 |
| 确定想要添加到 AD FS 的属性存储的类型。 然后,使用 AD FS 管理管理单元添加属性存储。 | 属性存储的作用 |
| 如果您将需要发送声明或使用 AD FS 1.0 或 1.1 联合身份验证服务的来自资源合作伙伴正在使用其中一个声明,请参阅有关如何配置 AD FS 的信息的权限与以前版本的 AD FS 进行互操作的链接。 如果资源伙伴组织也使用 AD FS 以发送或使用您的组织声明,您可以跳过此步骤,然后继续进行此检查表的下一任务。 | 规划与 AD FS 1.x 的互操作性 |
| 在帐户合作伙伴组织中部署第一台联合服务器后,使用“AD FS 管理”管理单元创建一个信赖方信任关系。 可以通过手动输入有关资源伙伴的数据,或者使用资源伙伴组织管理员提供给你的联合元数据 URL,来创建信赖方信任。 可以使用联合元数据来自动检索资源伙伴的数据。 注意︰ 如果资源伙伴发布其联合元数据,或者可以提供它为您要使用的文件副本,我们建议可以节省时间,因为自动检索数据。 |  手动创建信赖方信任 |
| 根据你的组织的需要,为在“AD FS 管理”管理单元中指定的每个信赖方信任创建一个或多个声明规则集,以便正确地发出声明。 | 清单:为信赖方信任创建声明规则 |
| 如果尚不存在,则必须创建索赔说明,将满足您的组织的需求。 AD FS 附带了一组默认的声明说明,这些说明在“AD FS 管理”管理单元中公开。 | 添加声明说明 |
| 确定您的组织将需要使用标识委托来授权或约束指定的帐户"作为"或模拟其他用户。 当前端 Web 应用程序必须与后端 Web 服务交互时,这通常是一项要求。 | 何时使用标识委派 |
| 准备联合身份验证的客户端计算机︰ - 将帐户合作伙伴联合服务器的 URL 添加到客户端浏览器的受信任站点列表。 |
在帐户合作伙伴中准备客户端计算机 |