TechNet - Experternas arenaFrågespalt: Windows Server 2008Hur gör vi för att enklare hantera webbåtkomst mellan olika organisationer?Hej Joachim! Joachim Nässlander
Svar:Hej Carl-Gustav! Problemet du beskriver är relativt vanligt förekommande. Vill ni inte slå ihop de två miljöerna eller skapa förtroenden mellan domänerna blir problemet av en mer manuell natur, då användarkonton och dylikt måste underhållas från er sida. Som jag ser det finns det två lösningar på problemet. Det första alternativet är att använda Active Directory Lightweight Directory Services (AD LDS) och autentisera användarna mot detta. Det innebär att du måste synkronisera bägge domänerna mot katalogtjänsten. Det är inte jättekrångligt, men innebär dock att grupptillhörigeter och dylikt, tillsammans med rättigheter, måste omkonfigureras i ert extra-/intranät. Det andra alternativet är Active Directory Federation Services (AD FS). Den lösningen innebär att du i respektive domän sätter upp en AD FS-server, där din domän blir en så kallad resurs-partner medan det företag ni köpt blir en konto-partner. För att detta ska fungera så smidigt som möjligt bör din applikation vara ”claims-aware”. Då kan din applikation ta emot information från konto-partnern i ett så kallat claim. Detta fungerar med flera content management-system, till exempel Sharepoint Portal Server. Tillgång till AD FS kräver antingen Windows Server 2003 R2 eller Windows Server 2008. Om du väljer Windows Server 2008 Enterprise kan du även bygga din AD FS-lösning redundant via Network Load Balancing. Om du i dagsläget har en blandad miljö kan du även hitta produkter från andra tillverkare än Microsoft, till exempel Oracle Identity Federation och ett öppet källkodsprojekt som heter Shibboleth. Mer information om AD FS (på engelska) Med vänliga hälsningar, Joachim Nässlander De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter. |