Fornecer a usuários de outra organização acesso a seus aplicativos e serviços com reconhecimento de declarações
Quando você é um administrador na organização parceira de recurso no AD FS (Serviços de Federação do Active Directory) e tem uma meta de implantação de conceder acesso federado para usuários em outra organização (a organização parceira de conta) a um aplicativo com reconhecimento de declarações ou um serviço online que está localizado na sua organização (a organização parceira de recurso):
Os usuários federados na sua organização e em organizações que tenham configurado uma relação de confiança de federação para sua organização (organizações de parceiros de conta) podem acessar o aplicativo protegido ou serviço do AD FS que é hospedado pela sua organização. Para obter mais informações, consulte Federated Web SSO Design.
Por exemplo, Fabrikam pode querer que os funcionários da rede corporativa tenham acesso federado a serviços Web hospedados na Contoso.
Usuários federados que não tenham associação direta com uma organização confiável (como clientes individuais), que são conectados a um repositório de atributos hospedado em sua rede de perímetro, podem acessar vários aplicativos protegidos do AD FS, que também estão hospedados na rede de perímetro, efetuando logon uma vez de computadores cliente que estão localizados na Internet. Em outras palavras, quando você hospeda contas de clientes para permitir o acesso a aplicativos ou serviços na rede de perímetro, os clientes que você hospeda em um repositório de atributos podem acessar um ou mais aplicativos ou serviços na rede de perímetro simplesmente efetuando logon uma vez. Para obter mais informações, consulte Web SSO Design.
Por exemplo, a Fabrikam pode querer que seus clientes tenham acesso de logon único (SSO) para vários aplicativos ou serviços que são hospedados em sua rede de perímetro.
Os seguintes componentes são necessários para essa meta de implantação:
AD DS (Active Directory Domain Services): o servidor de federação do parceiro de recurso deve ser ingressado em um domínio do Active Directory.
DNS de perímetro: o DNS (Sistema de Nomes de Domínio) deve conter um registro de recurso de host simples (A) para que os computadores cliente possam localizar o servidor de federação do parceiro de recurso e o servidor Web. O servidor DNS pode hospedar outros registros DNS que também são necessários na rede de perímetro. Para obter mais informações, consulte Requisitos de resolução de nomes para servidores de federação.
Servidor de federação do parceiro de recurso: o servidor de federação do parceiro de recurso valida os tokens do AD FS que os parceiros da conta enviam. A descoberta do parceiro de conta é executada por meio do servidor de federação. Para obter mais informações, consulte Review the Role of the Federation Server in the Resource Partner.
Servidor Web: o servidor Web pode hospedar um aplicativo Web ou um serviço Web. O servidor Web confirma que recebe tokens do AD FS válidos de usuários federados antes de permitir acesso ao aplicativo Web protegido ou serviço Web.
Usando o WIF (Windows Identity Foundation), você pode desenvolver seu aplicativo Web ou serviço de forma que ele aceite solicitações de logon do usuário federado que são feitas com qualquer método de logon padrão, como nome de usuário e senha.
Depois de examinar as informações nos tópicos vinculados, você pode começar a implantar essa meta seguindo as etapas na Lista de verificação: implementar um Design SSO da Web Federado e na Lista de verificação: implementar um Design SSO da Web.
A ilustração a seguir mostra cada um dos componentes necessários para essa meta de implantação do AD FS.
