为声明感知应用程序和服务提供 Active Directory 用户访问权限
如果你在 Active Directory 联合身份验证服务 (AD FS) 部署中是帐户伙伴组织中的管理员,并且你的部署目标是为企业网络上的员工提供对你的托管资源的单一登录 (SSO) 访问权限:
登录到企业网络中的 Active Directory 林的员工可以使用 SSO 访问你自己组织的外围网络中的多个应用程序或服务。 这些应用程序和服务受 AD FS 保护。
例如,Fabrikam 可能希望企业网络员工对 Fabrikam 外围网络中托管的基于 Web 的应用程序具有联合访问权限。
登录到 Active Directory 域的远程员工可以从你组织中的联合服务器获取 AD FS 令牌,从而对同样驻留在你组织中的受 AD FS 保护且基于 Web 的应用程序或服务获取联合访问权限。
Active Directory 属性存储中的信息可以填充到员工的 AD FS 令牌中。
此部署目标需要以下组件:
Active Directory 域服务 (AD DS):AD DS 包含用于生成 AD FS 令牌的员工用户帐户。 组成员身份和属性等信息将作为组声明和自定义声明填充到 AD FS 令牌中。
注意
你也可以使用轻型目录访问协议 (LDAP) 或结构化查询语言 (SQL) 来包含用于生成 AD FS 令牌的标识。
企业 DNS:域名系统 (DNS) 的此实现形式包含一条简单的主机 (A) 资源记录,以便 Intranet 客户端可以找到帐户联合服务器。 DNS 的此实现形式也可以托管企业网络所需的其他 DNS 记录。 有关详细信息,请参阅联合服务器的名称解析要求。
帐户伙伴联合服务器:此联合服务器将加入帐户伙伴林中的域。 它对员工用户帐户进行身份验证并生成 AD FS 令牌。 员工的客户端计算机将对此联合服务器执行 Windows 集成身份验证,以生成 AD FS 令牌。 有关详细信息,请参阅 Review the Role of the Federation Server in the Account Partner。
帐户伙伴联合服务器可以对以下用户进行身份验证:
此域中具有用户帐户的员工
位于此林中任意位置并具有用户帐户的员工
位于受此林信任(通过双向 Windows 信任)的林中的任意位置并具有用户帐户的员工
员工:员工在登录企业网络时将访问基于 Web 的服务(通过应用程序)或基于 Web 的应用程序(通过支持的 Web 浏览器)。 企业网络上员工的客户端计算机直接与联合服务器通信进行身份验证。
在查看链接的主题中的信息后,可以按照 Checklist: Implementing a Federated Web SSO Design中的步骤开始部署此目标。
下图显示了此 AD FS 部署目标所需的每个组件。
