Fornecer a seus usuários do Active Directory acesso a aplicativos e serviços com reconhecimento de declarações
Quando você é um administrador na organização parceira de conta em uma implantação do AD FS (Serviços de Federação do Active Directory) e tem uma meta de implantação para fornecer acesso SSO (Logon Único) a funcionários na rede corporativa aos recursos hospedados:
Funcionários que estiverem conectados a uma floresta do Active Directory na rede corporativa podem usar o SSO para acessar vários aplicativos ou serviços na rede de perímetro da sua organização. Esses aplicativos e serviços são protegidos pelo AD FS.
Por exemplo, Fabrikam pode querer que os funcionários da rede corporativa tenham acesso federado a aplicativos baseados na Web e hospedados na rede de perímetro da Fabrikam.
Funcionários remotos conectados a um domínio do Active Directory podem obter tokens do AD FS do servidor de federação na sua organização para ganhar acesso federado a aplicativos baseados na Web e protegidos do AD FS ou serviços que também residem em sua organização.
Informações do armazenamento de atributo do Active Directory podem ser preenchidas em tokens do AD FS dos funcionários.
Os seguintes componentes são necessários para essa meta de implantação:
AD DS (Serviços de Domínio do Active Directory): o AD DS contém as contas de usuário dos funcionários que são usadas para gerar tokens do AD FS. Informações, como associações de grupo e atributos, são preenchidas em tokens do AD FS como declarações de grupo e declarações personalizadas.
Observação
Você também pode usar o protocolo LDAP ou o protocolo SQLpara conter as identidades para geração de token do AD FS.
DNS corporativo: essa implementação de DNS (Sistema de Nomes de Domínio) contém um registro de recurso de host simples (A) para que os clientes da intranet possam localizar a conta do servidor de federação. Essa implementação do DNS também pode hospedar outros registros DNS necessários na rede corporativa. Para obter mais informações, consulte Requisitos de resolução de nomes para servidores de federação.
Servidor de federação do parceiro de conta: esse servidor de federação é ingressado em um domínio na floresta do parceiro da conta. Ele autentica as contas de usuário do funcionário e gera tokens do AD FS. O computador cliente do funcionário executa a Autenticação Integrada do Windows em relação a esse servidor de federação para gerar um token do AD FS. Para obter mais informações, consulte Review the Role of the Federation Server in the Account Partner.
O servidor de federação do parceiro de conta pode autenticar os seguintes usuários:
Funcionários com contas de usuário neste domínio
Funcionários com contas de usuário em qualquer lugar deste domínio
Funcionários com contas de usuário em qualquer lugar em florestas confiáveis por essa floresta (por meio de uma relação de confiança bidirecional do Windows)
Funcionário: um funcionário acessa um serviço online (por meio de um aplicativo) ou um aplicativo baseado na Web (por meio de um navegador da Web com suporte) enquanto está conectado à rede corporativa. O computador cliente do funcionário na rede corporativa se comunica diretamente com o servidor de federação para autenticação.
Depois de revisar as informações nos tópicos vinculados, você pode começar a implantar essa meta, seguindo as etapas em Checklist: Implementing a Federated Web SSO Design.
A ilustração a seguir mostra cada um dos componentes necessários para essa meta de implantação do AD FS.
