檢查清單:設定帳戶合作夥伴組織
帳戶夥伴組織包含將存取資源夥伴中 Web 應用程式的使用者。 此組織中的系統管理員必須使用 AD FS 管理嵌入式管理單元來建立受信方信任,以表示他們與資源夥伴組織的信任關係。 接著,資源夥伴管理員必須為每個想要信任的帳戶合作夥伴組織建立宣告提供者的信任關係。
此檢查清單包含在帳戶夥伴組織中部署 Active Directory 同盟服務 (AD FS) 的工作。 它也包含設定建立同盟合作關係一半所需元件的工作。
如果您要部署 Web SSO 設計,則不需要遵循此檢查清單。 不過,您必須完成此檢查清單中的工作,才能成功部署 同盟 Web SSO 設計。
重要
請確定資源夥伴組織中的系統管理員遵循 檢查清單中的指引:設定資源夥伴組織,以確保所有必要部署工作將完成,以成功建立同盟合作關係的後半部。
注意
依序完成此檢查清單中的工作。 當參考連結帶您前往程式時,請在完成該程式中的步驟之後返回本主題,以便繼續進行此檢查清單中的其餘工作。
檢查清單:設定帳戶夥伴組織
| 任務 | 參考 |
|---|---|
| 如果您目前在生產環境中有現有的 AD FS 1.0 或 1.1 部署,請參閱右側的連結,以瞭解如何將設定從目前的同盟服務移轉至新的 AD FS 同盟服務。 如果您是第一次在您的組織中使用 AD FS 部署 AD FS,您可以略過此步驟,然後繼續執行此檢查清單中的下一項工作,以獲得如何設定新帳戶夥伴組織的相關資訊。 |
規劃移轉至AD FS 2.0 |
| 根據您的部署目標,檢閱提供使用者存取同盟應用程式所需元件的相關信息。 |
為您的 Active Directory 使用者提供具宣告感知應用程式和服務的存取權 |
| 確定此帳戶夥伴組織將與哪個AD FS設計相關聯。 |
Web SSO 設計 |
| 開始部署AD FS 伺服器之前,請先檢閱 ;1.) 選擇 Windows 內部資料庫 (WID) 或 SQL Server 來儲存 AD FS 組態資料庫 2 的優點和缺點。 AD FS 部署拓撲類型及其相關聯的伺服器放置和網路配置建議。 |
確定 AD FS 部署拓撲 |
| 檢閱 AD FS 容量規劃指引,以判斷您應該在生產環境中使用的適當同盟伺服器和同盟伺服器 Proxy 伺服器數目。 |
規劃 AD FS 伺服器容量 |
| 若要有效地規劃和實作帳戶夥伴部署的實體拓撲,請判斷您的 AD FS 設計是否需要一或多個同盟伺服器或同盟伺服器代理。 |
檢查清單:設定同盟伺服器 |
| 決定您要新增至 AD FS 的屬性存放區類型。 然後,使用 AD FS 管理插件新增屬性存放區。 |
屬性存儲區的功能 |
| 如果您需要將宣告傳送至或取用來自使用 AD FS 1.0 或 1.1 同盟服務的資源夥伴的宣告,請參考右側的連結,以了解如何設定 AD FS 與舊版 AD FS 互操作。 如果資源夥伴組織也使用 AD FS 來將宣告傳送或取用至您的組織,您可以略過此步驟,直接繼續執行此檢查清單中的下一項任務。 |
與 AD FS 1.x 的互操作性規劃 |
| 在帳戶夥伴組織中部署第一台同盟伺服器之後,請使用 AD FS 管理嵌入式管理單元建立信賴方信任關係。 您可以手動輸入有關資源夥伴的數據,或使用資源夥伴組織管理員提供的同盟中繼資料 URL,來建立信賴方信任。 您可以使用同盟元數據自動擷取資源夥伴的數據。 附注: 如果資源夥伴發佈其同盟元數據,或提供檔案複本以供您使用,建議您自動擷取數據,因為它可以節省時間。 |
手動建立信賴方信任 |
| 根據您的組織需求,為每個在 AD FS 管理擴充元件中指定的信任憑證的信賴方建立一或多個宣告規則集,以便適當地發出宣告。 |
檢查清單:建立信賴方信任的宣告規則 |
| 如果尚未建立一個能滿足您組織需求的宣告描述,則必須創建。 AD FS 隨附於AD FS管理嵌入式管理單元中公開的預設宣告描述集。 |
新增宣告描述 |
| 判斷您的組織是否需要使用身分識別委派來授權或限制指定的帳戶,以「代理」或模擬其他使用者的身份行事。 這通常是前端 Web 應用程式必須與後端 Web 服務互動時的需求。 |
使用身分識別委派的時機 |
| 透過下列方式準備用戶端計算機以進行同盟: - 將帳戶夥伴同盟伺服器的 URL 新增至用戶端瀏覽器的受信任網站清單。 |
準備帳戶夥伴中的客戶端電腦 |