配置合作伙伴组织
若要在 Active Directory 联合身份验证服务(AD FS)中部署新的合作伙伴组织,请完成“清单:配置资源合作伙伴组织”或“清单:配置帐户合作伙伴组织”中的任务,具体取决于你的 AD FS 设计。
注意
使用这些清单中的任何一个时,我们强烈建议你在继续设置新合作伙伴组织的过程之前,首先阅读 Windows Server 2012 中 AD FS 设计指南中的帐户合作伙伴或资源合作伙伴规划指南的参考。 以这种方式遵循检查表将有助于更好地了解客户合作伙伴或资源合作伙伴组织的完整 AD FS 设计和部署案例。
关于帐户伙伴组织
帐户伙伴是指联合身份验证信任关系中以物理方式将用户帐户存储在 AD FS 支持的属性存储中的组织。 帐户伙伴负责收集和验证用户凭据、累积该用户的声明并将声明封装到安全令牌中。 然后,可以通过联合身份验证信任提供这些令牌,以便访问位于资源伙伴组织中的基于 Web 的资源。
也就是说,帐户伙伴代表帐户端联合身份验证服务为其用户颁发安全令牌的组织。 帐户伙伴组织中的联合身份验证服务对本地用户进行身份验证并创建资源伙伴在做出授权决定时使用的安全令牌。
对于属性存储,AD FS 中的帐户伙伴在概念上等同于单个 Active Directory 林,其帐户需要访问物理上位于另一个林中的资源。 只有在两个林之间存在外部信任或林信任关系,并且用户尝试访问的资源设置了相应的授权权限时,此示例林中的帐户才可以访问资源林中的资源。
关于资源伙伴组织
资源伙伴是 Web 服务器所在的 AD FS 部署中的组织。 资源伙伴信任帐户伙伴对用户进行身份验证。 因此,要做出授权决定,资源伙伴将使用封装在来自帐户伙伴中用户的安全令牌中的声明。
也就是说,资源伙伴代表其 Web 服务器受到资源端联合身份验证服务器所保护的组织。 资源伙伴上的联合身份验证服务器使用帐户伙伴生成的安全令牌来为资源伙伴中的 Web 服务器做出授权决策。
要充当 AD FS 资源,资源合作伙伴组织中的 Web 服务器必须安装 Windows Identity Foundation (WIF) 或安装 Active Directory 联合身份验证服务 (AD FS) 1.X 声明感知 Web 代理角色服务。 充当 AD FS 资源的 Web 服务器可以承载基于 Web 浏览器或基于 Web 服务的应用程序。