Предоставление пользователям Active Directory вашей организации доступа к приложениям и службам других организаций

  • Статья

Эта цель развертывания службы федерации Active Directory (AD FS) (AD FS) основана на цели предоставления пользователям Active Directory доступа к приложениям и службам с поддержкой утверждений.

Если вы являетесь администратором в организации партнера по учетным записям и вам была поставлена задача развертывания предоставить сотрудникам федеративный доступ к размещенным ресурсам в другой организации:

  • Сотрудники, вошедшие в домен Active Directory в корпоративной сети, могут использовать функции единого входа для доступа к нескольким веб-приложениям или службам, защищенным AD FS, когда приложения или службы находятся в другой организации. Дополнительные сведения см. в разделе Federated Web SSO Design.

    Например, компании Fabrikam может потребоваться предоставить пользователям своей корпоративной сети федеративный доступ к веб-службам, размещенным в компании Contoso.

  • Удаленные сотрудники, вошедшие в домен Active Directory, могут получать маркеры AD FS с сервера федерации в организации, чтобы получить федеративный доступ к защищенным веб-приложениям или службам ad FS, размещенным в другой организации.

    Например, Fabrikam может потребовать, чтобы удаленные сотрудники имели федеративный доступ к защищенным службам AD FS, размещенным в Contoso, не требуя, чтобы сотрудники Fabrikam были в корпоративной сети Fabrikam.

Помимо основных компонентов, которые описаны в разделе Provide Your Active Directory Users Access to Your Claims-Aware Applications and Services и затенены на следующем рисунке, для этой цели развертывания потребуются следующие компоненты:

  • Прокси-сервер федерации партнера учетной записи: сотрудники, обращаюющиеся к федеративной службе или приложению из Интернета, могут использовать этот компонент AD FS для выполнения проверки подлинности. По умолчанию этот компонент выполняет проверку подлинности на основе форм, но он также может выполнять и обычную проверку подлинности. Вы также можете настроить этот компонент для выполнения проверки подлинности клиента по протоколу SSL, если сотрудники в вашей организации располагают соответствующими сертификатами. Дополнительные сведения см. в статье Where to Place a Federation Server Proxy (Место размещения прокси-сервера федерации).

  • DNS периметра: эта реализация службы доменных имен (DNS) предоставляет имена узлов для сети периметра. Дополнительные сведения о настройке DNS периметра для прокси-сервера федерации см. в разделе "Требования к разрешению имен" для прокси-серверов федерации.

  • Удаленный сотрудник: осуществляет доступ к веб-приложению (через поддерживаемый веб-браузер) или веб-службе (через приложение), используя действительные учетные данные из корпоративной сети, когда пользователь работает удаленно через Интернет. Клиентский компьютер сотрудника в удаленном расположении взаимодействует непосредственно с прокси-сервером федерации для создания маркера и проверки подлинности в приложении или службе.

После просмотра информации в указанных разделах вы можете приступать к развертыванию по данной цели, следуя описанным в разделе Checklist: Implementing a Federated Web SSO Designшагам.

На следующем рисунке показаны все необходимые компоненты для этой цели развертывания AD FS.

access to your apps

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012