为其他组织的应用程序和服务提供 Active Directory 用户访问权限

此 Active Directory 联合身份验证服务 (AD FS) 部署目标基于为 Active Directory 用户提供对声明感知应用程序和服务的访问权限中的目标。

当你是帐户伙伴组织中的管理员,并且你的部署目标是为员工提供对另一组织中的托管资源的联合访问权限时:

  • 当基于 Web 的应用程序或服务位于其他组织中且由 AD FS 提供保护时,登录到企业网络中 Active Directory 域的员工可以使用单一登录 (SSO) 功能来访问多个这样的应用程序或服务。 有关详细信息,请参阅 Federated Web SSO Design

    例如,Fabrikam 可能希望企业网络员工具有对 Contoso 中托管的 Web 服务的联合访问权限。

  • 登录到 Active Directory 域的远程员工可以从你的组织中的联合服务器获取 AD FS 令牌,从而获得对其他组织中托管的受 AD FS 保护且基于 Web 的应用程序或服务的联合访问权限。

    例如,Fabrikam 可能希望其远程员工具有对 Contoso 中托管的由 AD FS 保护的服务的联合访问权限,而无需 Fabrikam 员工在 Fabrikam 企业网络上。

除了 Provide Your Active Directory Users Access to Your Claims-Aware Applications and Services 中所述的基本组件和以下插图中以阴影显示的组件之外,比部署目标还需要以下组件:

  • 帐户合作伙伴联合服务器代理:从 Internet 访问联合服务或应用程序的员工可以使用此 AD FS 组件来执行身份验证。 默认情况下,此组件执行窗体身份验证,但它还可以执行基本身份验证。 如果你组织中的员工可以提供证书,则还可以将此此组件配置为执行安全套接字层 (SSL) 客户端身份验证。 有关详细信息,请参阅放置联合服务器代理的位置

  • 外围 DNS:域名系统 (DNS) 的这种实现可为外围网络提供主机名。 有关如何为联合服务器代理配置外围 DNS 的详细信息,请参阅联合服务器代理的名称解析要求

  • 远程员工:远程员工可在非现场使用 Internet 时使用企业网络中的有效凭据访问基于 Web 的应用程序(通过受支持的 Web 浏览器)或基于 Web 的服务。 员工在远程位置中的客户端计算机直接与联合服务器代理进行通信,以生成令牌并向应用程序或服务进行身份验证。

在查看链接的主题中的信息后,可以按照 Checklist: Implementing a Federated Web SSO Design中的步骤开始部署此目标。

下图显示了此 AD FS 部署目标所需的每个组件。

access to your apps

另请参阅

Windows Server 2012 中的 AD FS 设计指南