Configurazione delle organizzazioni partner

  • Articolo

Per distribuire una nuova organizzazione partner in Active Directory Federation Services (AD FS), completare le attività in Elenco di controllo: Configurazione dell'organizzazione partner risorse o Elenco di controllo: configurazione dell'organizzazione partner account, a seconda della progettazione di AD FS.

Nota

Quando si usa uno di questi elenchi di controllo, consigliamo di leggere prima i riferimenti al partner account o alle linee guida per la pianificazione dei partner delle risorse nella Guida alla progettazione di AD FS in Windows Server 2012 prima di continuare con le procedure per la configurazione della nuova organizzazione partner. Seguendo l'elenco di controllo in questo modo sarà possibile comprendere meglio la storia completa della progettazione e della distribuzione di AD FS per il partner account o l'organizzazione partner risorse.

Informazioni sulle organizzazioni partner account

Un partner account è l'organizzazione nella relazione di trust federativa che archivia fisicamente gli account utente in un archivio di attributi supportato da AD FS. Il partner account è responsabile della raccolta e dell'autenticazione delle credenziali di un utente, della compilazione di attestazioni per tale utente e della creazione di pacchetti delle attestazioni in token di sicurezza. Questi token possono quindi essere presentati in un trust federativo per consentire l'accesso alle risorse basate sul Web che si trovano nell'organizzazione partner risorse.

In altre parole, un partner account rappresenta l'organizzazione per cui gli utenti del server federativo sul lato account rilasciano token di sicurezza. Il server federativo nell'organizzazione partner account autentica gli utenti locali e crea i token di sicurezza usati dal partner risorse per prendere decisioni riguardanti le autorizzazioni.

Per quanto riguarda gli archivi di attributi, il partner account in AD FS è concettualmente equivalente a una singola foresta Active Directory i cui account devono accedere alle risorse fisicamente situate in un'altra foresta. Gli account in questa foresta possono accedere alle risorse nella foresta di risorse solo quando esiste una relazione di attendibilità esterna o tra le due foreste e le risorse a cui gli utenti tentano di ottenere l'accesso sono state impostate con le autorizzazioni appropriate.

Informazioni sulle organizzazioni partner risorse

Il partner risorse è l'organizzazione in una distribuzione AD FS in cui si trovano i server Web. Il partner risorse considera attendibile il partner account per autenticare gli utenti. Pertanto, per prendere decisioni di autorizzazione, il partner delle risorse utilizza le attestazioni incluse nei token di sicurezza provenienti dagli utenti del partner account.

In altre parole, il partner risorse rappresenta l'organizzazione i cui server Web possono essere protetti tramite un server federativo sul lato risorsa. Il server federativo del partner risorse usa i token di sicurezza prodotti dal partner account per prendere decisioni di autorizzazione per i server Web nel partner risorse.

Per funzionare come risorsa AD FS, i server Web nell'organizzazione partner risorse devono avere installato Windows Identity Foundation (WIF) o avere installato i servizi ruolo Active Directory Federation Services (AD FS) 1.x Claims-Aware Web Agent. I server Web che funzionano come risorsa AD FS possono ospitare applicazioni basate su Web browser o basate su servizi Web.