資源夥伴組織包含裝載帳戶夥伴中使用者將存取之 Web 架構應用程式的 Web 伺服器。 此組織中的系統管理員必須使用 AD FS 管理嵌入式管理單元來建立宣告提供者信任關係,以表示其與帳戶夥伴組織的信任關係。 接著,帳戶夥伴的系統管理員必須為每個希望信任的帳戶夥伴組織建立信賴憑證信任。
此檢查清單包含資源夥伴組織中部署 Active Directory 同盟服務 (AD FS) 所需的工作。 它也包含設定建立同盟合作關係一半所需元件的工作。
如果您要部署 Web SSO 設計,則不需要遵循此檢查清單。 不過,您必須完成此檢查清單中的工作,才能成功部署 同盟 Web SSO 設計。
這很重要
請確定帳戶夥伴組織的系統管理員遵循 檢查清單中的指引:設定帳戶夥伴組織 ,以確保將完成所有必要的部署工作,以順利建立同盟合作關係的後半部
備註
依序完成此檢查清單中的工作。 當參考連結帶您前往程式時,請在完成該程式中的步驟之後返回本主題,以便繼續進行此檢查清單中的其餘工作。
設定資源夥伴組織檢查清單的核取圖示。檢查清單:設定資源夥伴組織
| 任務 | 參考文獻 |
|---|---|
| 如果您目前在生產環境中有現有的 AD FS 1.0 或 1.1 部署,請參閱右側的連結,以瞭解如何將設定從目前的同盟服務移轉至新的 AD FS 同盟服務。 如果您是第一次在組織中部署 AD FS,您可以略過此步驟,並繼續執行此檢查清單中的下一項工作,以取得如何設定新資源夥伴組織的相關資訊。 |
規劃移轉至AD FS |
| 根據您的部署目標,檢閱提供使用者存取同盟應用程式所需元件的相關信息。 |
為您的 Active Directory 使用者提供宣告感知應用程式和服務的存取 |
| 判斷此資源夥伴組織將與哪個 AD FS 設計建立關聯。 |
Web SSO 設計 |
| 檢閱不同的應用程式類型,並決定要部署的應用程式。 |
在資源夥伴中判斷您的同盟應用程式策略 |
| 開始部署AD FS 伺服器之前,請先檢閱 ;1.) 選擇 Windows 內部資料庫 (WID) 或 SQL Server 來儲存 AD FS 組態資料庫 2 的優點和缺點。 AD FS 部署拓撲類型及其相關聯的伺服器放置和網路配置建議。 |
決定您的 AD FS 部署拓撲 |
| 檢閱 AD FS 容量規劃指引,以判斷您應該在生產環境中使用的適當同盟伺服器和同盟伺服器 Proxy 伺服器數目。 |
規劃 AD FS 伺服器容量 |
| 若要有效地規劃和實作帳戶夥伴部署的實體拓撲,請判斷您的 AD FS 設計是否需要一或多個同盟伺服器或同盟伺服器代理。 |
檢查清單:設定同盟伺服器 |
| 決定您要新增至 AD FS 的屬性存放區類型。 然後,使用 AD FS 管理插件新增屬性存放區。 |
屬性存放區的角色 |
| 如果您需要將宣告傳送給或從使用 AD FS 1.0 或 1.1 同盟服務的帳戶夥伴取用宣告,請參閱右側的連結,以瞭解如何設定 AD FS 以與先前版本的 AD FS 互操作。 如果帳戶夥伴組織也使用 AD FS 將聲明傳送或取用到您的組織,您可以略過此步驟並繼續進行此檢查清單中的下一項工作。 |
規劃與 AD FS 1.x 的互操作性 |
| 在資源夥伴組織中部署第一部同盟伺服器之後,請使用 AD FS 管理嵌入式模組建立宣告提供者的信任關係。 您可以手動輸入帳戶夥伴的相關數據,或使用帳戶夥伴組織管理員提供給您的同盟元數據 URL,來建立宣告提供者信任。 您可以使用同盟元數據自動擷取資源夥伴的數據。 注意: 如果帳戶夥伴發佈其同盟元數據,或可以提供檔案複本以供您使用,建議您自動擷取數據,因為它可以節省時間。 |
手動建立宣告提供者信任 |
| 根據您的組織需求,為 AD FS 管理工具中指定的每個宣告提供者信任建立一或多個宣告規則集,以便傳入的宣告能通過、轉換或正確映射到資源夥伴的相應宣告。 |
檢查清單:建立宣告提供者信任的宣告規則 |
| (選擇性)如果尚不存在符合您組織需求的宣告描述,可能需要加以創建。 AD FS 包含一組預設的宣告描述,這些描述會顯示在 AD FS 管理擴展中。 |
新增宣稱描述 |