設定合作夥伴組織
若要在 Active Directory 同盟服務 (AD FS) 中部署新的合作夥伴組織,請完成 檢查清單中的工作:設定 Resource Partner 組織 或 檢查清單:根據您的 AD FS 設計來設定帳戶夥伴組織。
備註
當您使用這些檢查清單之一時,強烈建議您先閱讀 Windows Server 201 2 AD FS 設計指南中的帳戶夥伴或資源合作夥伴規劃指南的參考,再繼續進行設定新合作夥伴組織的程式。 以這種方式遵循檢查清單,有助於進一步了解帳戶夥伴或資源合作夥伴組織的完整 AD FS 設計和部署案例。
關於帳戶夥伴組織
帳戶夥伴是同盟信任關係中的組織,可實際將使用者帳戶儲存在AD FS支援的屬性存放區中。 帳號合作夥伴負責收集和驗證使用者的憑證,建立該使用者的身份要求,並將其打包成安全令牌。 然後,這些憑證可以通過聯合信任協議呈現,以存取位於資源夥伴組織中的 Web 資源。
換句話說,帳戶合作夥伴代表的是那些由在帳戶端的同盟伺服器為其用戶簽發安全性令牌的組織。 帳戶夥伴組織中的同盟伺服器會驗證本機使用者,並建立資源夥伴在進行授權決策時所使用的安全性令牌。
至於屬性存放區,AD FS 中的帳戶夥伴在概念上相當於單一 Active Directory 樹系,其帳戶需要存取實際位於另一個樹系中的資源。 此樹系中的帳戶只有在存在外部信任或樹系信任關係的情況下,並且用戶嘗試存取的資源已設定適當的授權許可時,才能存取資源樹系中的資源。
關於資源夥伴組織
資源夥伴是位於 Web 伺服器所在 AD FS 部署中的組織。 資源夥伴信任帳戶夥伴來驗證使用者。 因此,為了做出授權決策,資源夥伴會使用來自帳戶夥伴使用者的安全性令牌中所封裝的宣告。
換句話說,資源夥伴代表Web伺服器受到資源端同盟伺服器保護的組織。 資源夥伴的同盟伺服器會使用帳戶夥伴所產生的安全性令牌,為資源夥伴中的網頁伺服器做出授權決策。
若要作為 AD FS 資源運作,資源夥伴組織中的 Web 伺服器必須已安裝 Windows Identity Foundation (WIF),或已安裝 Active Directory 同盟服務 (AD FS) 1.x 宣告感知 Web 代理程式角色服務。 做為 AD FS 資源的網頁伺服器可以裝載網頁瀏覽器型或 Web 服務型應用程式。