檢查清單:設定帳戶夥伴組織
帳戶夥伴組織包含將存取資源夥伴之 Web 應用程式的使用者。 此組織中的系統管理員必須使用 AD FS 管理嵌入式管理單元來建立信賴憑證者信任,以代表其與資源夥伴組織的信任關係。 接著,資源夥伴系統管理員必須為每個想要信任的帳戶夥伴組織建立宣告提供者信任。
此檢查清單包含用來在帳戶夥伴組織中部署 Active Directory 同盟服務 (AD FS) 的工作。 其也包含設定建立同盟合作關係一半所需元件的工作。
如果您要部署 Web SSO 設計,則不需要遵循此檢查清單。 不過,您必須完成此檢查清單中的工作,才能順利部署 同盟 Web SSO 設計。
注意
請依序完成此檢查清單中的工作。 當某個參考連結帶您進入某個程序時,請在完成該程序中的步驟之後返回本主題,讓您可以繼續進行此檢查清單中其餘的工作。
檢查清單:設定帳戶夥伴組織
Task | 參考 |
---|---|
如果您目前在生產環境中有現有的 AD FS 1.0 或 1.1 部署,請參閱右側的連結,以了解如何將設定從目前的同盟服務移轉至新的 AD FS 同盟服務。 如果您是使用 AD FS 第一次在組織中部署 AD FS,您可以略過此步驟並繼續執行此檢查清單中的下一項工作,以取得如何設定新帳戶夥伴組織的相關資訊。 | 計劃移轉至 AD FS 2.0 |
根據您的部署目標,檢閱提供使用者存取同盟應用程式所需元件的相關資訊。 | 為 Active Directory 使用者提供宣告感知應用程式與服務的存取權 |
判斷此帳戶夥伴組織將與哪個 AD FS 設計建立關聯。 | 網頁 SSO 設計 |
開始部署 AD FS 伺服器之前,請先檢閱:1.) 選擇 Windows 內部資料庫 (WID) 或 SQL Server 來儲存 AD FS 設定資料庫的優點和缺點。2.) AD FS 部署拓撲類型及其相關聯的伺服器放置和網路配置建議。 | 決定您的 AD FS 部署拓撲 |
檢閱 AD FS 容量規劃指引,以判斷您應該在生產環境中使用的適當同盟伺服器和同盟伺服器 Proxy 伺服器的數目。 | 規劃 AD FS 伺服器容量 |
若要有效地規劃和實作帳戶夥伴部署的實體拓撲,請判斷您的 AD FS 設計是否需要一或多個同盟伺服器或同盟伺服器 Proxy。 | 檢查清單:設定同盟伺服器 |
決定您要新增至 AD FS 的屬性存放區類型。 然後,使用 AD FS 管理嵌入式管理單元新增屬性存放區。 | 屬性存放區的角色 |
如果您需要將宣告傳送至或取用來自使用 AD FS 1.0 或 1.1 同盟服務之資源夥伴的宣告,請參閱右側的連結,以了解如何設定 AD FS 以與舊版 AD FS 交互操作。 如果資源夥伴組織也使用 AD FS 將宣告傳送或取用到您的組織,您可以略過此步驟並繼續執行此檢查清單中的下一項工作。 | 規劃與 AD FS 1.x 的互通性 |
在帳戶夥伴組織中部署第一部同盟伺服器之後,使用 AD FS 管理嵌入式管理單元建立信賴憑證者信任關係。 您可以手動輸入資源夥伴的資料或使用資源夥伴組織系統管理員提供給您的同盟中繼資料 URL,建立信賴憑證者信任。 您可以使用同盟中繼資料自動擷取資源夥伴的資料。 附註:如果資源夥伴發佈它的同盟中繼資料或可以提供它的檔案複本,建議您自動擷取資料,因為比較省時。 | 手動建立信賴憑證者信任 |
根據您的組織需求,建立 AD FS 管理嵌入式管理單元中所指定一或多個宣告規則集,以便適當地發出宣告。 | 檢查清單:建立信賴憑證者信任的宣告規則 |
如果尚未建立符合您組織需求的宣告描述。 AD FS 隨附於 AD FS 管理嵌入式管理單元中公開的預設宣告描述集。 | 新增宣告描述 |
判斷您的組織是否需要使用身分識別委派來授權或限制指定的帳戶「作為」或模擬其他使用者。 這通常是前端 Web 應用程式必須與後端 Web 服務互動時的需求。 | 使用身分識別委派的時機 |
透過下列方式準備用戶端電腦以進行同盟: - 將帳戶夥伴同盟伺服器的 URL 新增至用戶端瀏覽器的受信任網站清單。 |
在帳戶夥伴中準備用戶端電腦 |