Контрольный список. Настройка организации партнера по учетной записи

Организация-партнер по учетной записи содержит пользователей, которые будут получать доступ к веб-приложениям в организации-партнере по ресурсам. Администраторы в этой организации должны использовать оснастку управления AD FS для создания доверия проверяющей стороны, чтобы представлять отношения доверия с организациями партнеров по ресурсам. В свою очередь, администратор партнера ресурсов должен создавать доверительные отношения с поставщиком утверждений для каждой организации-партнера учетной записи, которой они хотят доверять.

Этот контрольный список включает задачи по развертыванию служб федерации Active Directory (AD FS) в организации-партнера по учетной записи. Она также включает задачи по настройке компонентов, необходимых для установления половины федеративного партнерства.

Если вы развертываете веб-проект единого входа, вам не нужно следовать этому контрольным списку. Однако вам нужно выполнить задачи из этого контрольного списка, чтобы успешно развернуть дизайн федеративного веб-единого входа.

Important

Убедитесь, что администратор в партнерской организации ресурсов следует руководству в Контрольный список: Настройка партнерской организации ресурсов, чтобы все необходимые задачи развертывания были завершены для успешного создания второй половины федеративного партнерства.

Note

Выполните задачи в этом контрольном списке по порядку. Когда ссылка переходит к процедуре, вернитесь к этому разделу после выполнения действий, описанных в этой процедуре, чтобы продолжить остальные задачи в этом контрольном списке.

Иконка галочки, настройка организации-партнера учетной записи. Контрольный список: Настройка организации-партнера учетной записи

Task Reference
Если у вас есть существующее развертывание AD FS 1.0 или 1.1 в вашей рабочей среде, см. ссылку справа для получения информации о том, как перенести настройки из существующей службы федерации в новую службу федерации AD FS. Если вы впервые развертываете AD FS в своей организации, вы можете пропустить этот шаг и перейти к следующей задаче в этом контрольном списке, чтобы узнать, как настроить новую партнерскую организацию по учетным записям. Значок, план миграции в AD FS 2.0. Планирование миграции в AD FS 2.0
На основе целей развертывания просмотрите сведения о компонентах, необходимых для предоставления пользователям доступа к федеративными приложениями. Значок: предоставление пользователям AD доступа к приложениям с поддержкой утверждений. Предоставление пользователям Active Directory доступа к приложениям и службам с поддержкой утверждений

Значок: предоставление пользователям AD доступа к приложениям и службам. Предоставление пользователям Active Directory доступа к приложениям и службам других организаций

Значок: предоставьте пользователям другой организации доступ к вашим приложениям и службам с поддержкой утверждений. Предоставьте пользователям другой организации доступ к вашим приложениям и службам с поддержкой утверждений
Определите, к какому дизайну AD FS будет относиться эта организация-партнер по учетной записи. Значок, дизайн единого входа в Интернете. Проектирование единого входа в Интернете

Иконка, федеративная веб-аутентификация SSO. Структура федеративной веб-аутентификации SSO
Прежде чем приступить к развертыванию серверов AD FS, ознакомьтесь с: 1.) преимущества и недостатки выбора внутренней базы данных Windows (WID) или SQL Server для хранения базы данных конфигурации AD FS 2.) Типы топологий развертывания AD FS и связанные с ними рекомендации по размещению сервера и макету сети. Значок, определение топологии развертывания AD FS. Определение топологии развертывания AD FS

Соображения по топологии развертывания AD FS. Соображения по топологии развертывания AD FS
Ознакомьтесь с рекомендациями по планированию емкости AD FS, чтобы определить правильное количество серверов федерации и прокси-серверов серверов федерации, которые следует использовать в рабочей среде. Значок, планирование емкости сервера AD FS. Планирование емкости сервера AD FS
Чтобы эффективно спланировать и реализовать физическую топологию для развертывания учетного партнера, определите, требует ли ваш дизайн AD FS наличие одного или нескольких серверов федерации или прокси-серверов федерации. Значок, настройка сервера федерации. Контрольный список. Настройка сервера федерации

Значок: настройте прокси-сервер федерации. Контрольный список: настройка прокси-сервера федерации
Определите тип хранилища атрибутов, которое требуется добавить в AD FS. Затем с помощью оснастки управления AD FS добавьте хранилище атрибутов. Значок, роль хранилищ атрибутов. Роль хранилищ атрибутов

Значок, добавление хранилища атрибутов. Добавление хранилища атрибутов
Если вам потребуется отправить утверждения или использовать утверждения от партнера по ресурсам, который использует службу федерации AD FS 1.0 или 1.1, см. ссылку справа для получения сведений о том, как настроить AD FS для взаимодействия с предыдущими версиями AD FS. Если организация-партнер по ресурсам также использует AD FS для отправки или использования утверждений в вашу организацию, можно пропустить этот шаг и продолжить к следующему заданию в этом контрольном списке. Значок, план взаимодействия с AD FS 1.x. Планирование взаимодействия с AD FS 1.x
После развертывания первого сервера федерации в организации партнера по учетной записи создайте отношение доверия достоверной стороны с помощью инструмента администрирования AD FS. Вы можете создать доверенные отношения с проверяющей стороной, введя данные о партнере ресурсов вручную или используя URL-адрес метаданных федерации, предоставляемый администратором организации-партнера по ресурсам. Метаданные федерации можно использовать для автоматического получения данных для партнера по ресурсам. Заметка: Если партнер ресурсов публикует метаданные федерации или может предоставить копию файла для использования, рекомендуется автоматически извлекать данные, так как это может сэкономить время. Значок, вручную создайте доверительные отношения с проверяющей стороной. Создание доверительных отношений с проверяющей стороной вручную

Значок, создание доверия проверяющей стороны с помощью метаданных федерации. Создание доверия проверяющей стороны с помощью метаданных федерации
В зависимости от потребностей вашей организации создайте один или несколько наборов правил для утверждений для каждой доверенной стороны, указанной в оснастке AD FS Management, чтобы утверждения были выданы соответствующим образом. Значок: создание правил утверждений для доверяющей стороны. Контрольный список: создание правил утверждений для доверяющей стороны
Описание утверждения должно быть создано, если его еще не существует, чтобы оно соответствовало потребностям вашей организации. AD FS поставляется с набором описаний утверждений по умолчанию, которые отображаются в оснастке управления AD FS. Значок, добавление описания утверждения. Добавление описания утверждений
Определите, потребуется ли вашей организации использовать делегирование удостоверений для авторизации или ограничения указанной учетной записи для того, чтобы "действовать как" или олицетворить других пользователей. Это часто требуется, если интерфейсные веб-приложения должны взаимодействовать с внутренними веб-службами. Значок, используйте делегирование удостоверений. Когда следует использовать делегирование удостоверений
Подготовьте клиентские компьютеры для федерации следующими шагами:

— Добавление URL-адреса сервера федерации партнера по учетной записи в список доверенных сайтов для клиентского браузера.
— Использование групповой политики для отправки на клиентские компьютеры соответствующих сертификатов уровня SSL.

 Значок, подготовьте клиентские компьютеры у партнера по учетной записи. Подготовьте клиентские компьютеры у партнера по учетной записи

Настройка клиентских компьютеров для доверия серверу федерации аккаунтов. Настройка клиентских компьютеров для доверия серверу федерации аккаунтов

Настроить организацию-партнера аккаунта Распределение сертификатов на клиентские компьютеры с помощью групповой политики
  • Last updated on