Share via

Configurar organizações parceiras

  • Artigo

Para implantar uma nova organização parceira no AD FS (Serviços de Federação do Active Directory), conclua as tarefas na Lista de verificação: Configurar a organização parceira de recurso ou Lista de verificação: Configurar a organização parceira de conta, dependendo do design do AD FS.

Observação

Ao usar qualquer uma dessas listas de verificação, é altamente recomendável que você leia primeiro as referências às diretrizes de planejamento de parceiros de contas ou de parceiros de recursos no Guia de Design do AD FS no Windows Server 2012 antes de continuar com os procedimentos para configurar a nova organização parceira. Seguir a lista de verificação dessa forma ajudará a fornecer uma melhor compreensão da história completa de design e implantação do AD FS para a organização parceira de conta ou de recurso.

Sobre organizações parceiras de contas

Um parceiro de conta é a organização na relação de confiança de federação que armazena fisicamente as contas de usuários em um repositório de atributos compatível com o AD FS. O parceiro de conta é responsável por coletar e autenticar as credenciais de um usuário, compilar declarações desse usuário e empacotá-las em tokens de segurança. Esses tokens podem ser apresentados em uma relação de confiança de federação para habilitar o acesso a recursos baseados na Web localizados na organização parceira de recurso.

Em outras palavras, um parceiro de conta representa a organização para cujos usuários o servidor de federação do lado da conta emite tokens de segurança. O servidor de federação na organização parceira de conta autentica os usuários locais e cria tokens de segurança que o parceiro de recurso usa na tomada de decisões de autorização.

Em relação aos repositórios de atributos, o parceiro de conta no AD FS é conceitualmente equivalente a uma única floresta do Active Directory, cujas contas precisam de acesso a recursos que estão fisicamente localizados em outra floresta. As contas nessa floresta podem acessar recursos na floresta de recursos somente quando existe uma relação de confiança externa ou de confiança de floresta entre as duas florestas, e os recursos aos quais os usuários estão tentando obter acesso foram definidos com as permissões de autorização adequadas.

Sobre organizações parceiras de recursos

O parceiro de recurso é a organização em uma implantação do AD FS em que os servidores Web estão localizados. O parceiro de recurso confia no parceiro de conta para autenticar usuários. Portanto, para tomar decisões de autorização, o parceiro de recurso consome as declarações que são empacotadas em tokens de segurança provenientes de usuários no parceiro de conta.

Em outras palavras, um parceiro de recurso representa a organização cujos servidores Web são protegidos pelo servidor de federação do lado do recurso. O servidor de federação no parceiro de recurso usa os tokens de segurança que são produzidos pelo parceiro de conta para tomar decisões de autorização para servidores Web no parceiro de recurso.

Para funcionar como um recurso do AD FS, os servidores Web na organização parceira de recurso devem ter o WIF (Windows Identity Foundation) instalado ou ter os serviços de função instalados do Agente Web com reconhecimento de declarações do AD FS (Serviços de Federação do Active Directory) 1.x. Os servidores Web que funcionam como um recurso do AD FS podem hospedar aplicativos baseados no navegador da Web ou no serviço Web.