檢查清單:設定帳戶夥伴組織

  • 發行項

帳戶夥伴組織包含將存取資源夥伴之 Web 應用程式的使用者。 此組織中的系統管理員必須使用 AD FS 管理嵌入式管理單元來建立信賴憑證者信任,以代表其與資源夥伴組織的信任關係。 接著,資源夥伴系統管理員必須為每個想要信任的帳戶夥伴組織建立宣告提供者信任。

此檢查清單包含用來在帳戶夥伴組織中部署 Active Directory 同盟服務 (AD FS) 的工作。 其也包含設定建立同盟合作關係一半所需元件的工作。

如果您要部署 Web SSO 設計,則不需要遵循此檢查清單。 不過,您必須完成此檢查清單中的工作,才能順利部署 同盟 Web SSO 設計

重要

請確定資源夥伴組織的系統管理員遵循 [檢查清單:設定資源夥伴組織] 中的指引,以確保會完成所有必要的部署工作,以順利建立同盟合作關係的後半部。

注意

請依序完成此檢查清單中的工作。 當某個參考連結帶您進入某個程序時,請在完成該程序中的步驟之後返回本主題,讓您可以繼續進行此檢查清單中其餘的工作。

Check mark icon, Configure the account partner organization.檢查清單:設定帳戶夥伴組織

Task 參考
如果您目前在生產環境中有現有的 AD FS 1.0 或 1.1 部署,請參閱右側的連結,以了解如何將設定從目前的同盟服務移轉至新的 AD FS 同盟服務。 如果您是使用 AD FS 第一次在組織中部署 AD FS,您可以略過此步驟並繼續執行此檢查清單中的下一項工作,以取得如何設定新帳戶夥伴組織的相關資訊。 Icon, Plan to migrate to AD FS 2.0.計劃移轉至 AD FS 2.0
根據您的部署目標,檢閱提供使用者存取同盟應用程式所需元件的相關資訊。 Icon, Provide your AD users access to your claims-aware applications.為 Active Directory 使用者提供宣告感知應用程式與服務的存取權

Icon, Provide your AD users access to applications and services.為 Active Directory 使用者提供其他組織的應用程式與服務的存取權

Icon, Provide users in another organization acces to your claims-aware applications and services.為其他組織的使用者提供您的宣告感知應用程式與服務的存取權
判斷此帳戶夥伴組織將與哪個 AD FS 設計建立關聯。 Icon, Web SSO design.網頁 SSO 設計

Icon, Federated Web SSO design.同盟網頁 SSO 設計
開始部署 AD FS 伺服器之前,請先檢閱:1.) 選擇 Windows 內部資料庫 (WID) 或 SQL Server 來儲存 AD FS 設定資料庫的優點和缺點。2.) AD FS 部署拓撲類型及其相關聯的伺服器放置和網路配置建議。 Icon, Determine your AD FS deployment topology.決定您的 AD FS 部署拓撲

Icon, AD FS deployment topology considerations.AD FS 部署拓撲考量
檢閱 AD FS 容量規劃指引,以判斷您應該在生產環境中使用的適當同盟伺服器和同盟伺服器 Proxy 伺服器的數目。 Icon, Plan for AD FS server capacity.規劃 AD FS 伺服器容量
若要有效地規劃和實作帳戶夥伴部署的實體拓撲,請判斷您的 AD FS 設計是否需要一或多個同盟伺服器或同盟伺服器 Proxy。 Icon, Set up a Federation server.檢查清單:設定同盟伺服器

Icon, Set up a Federation server proxy.檢查清單:設定同盟伺服器 Proxy
決定您要新增至 AD FS 的屬性存放區類型。 然後,使用 AD FS 管理嵌入式管理單元新增屬性存放區。 Icon, The role of attribute stores.屬性存放區的角色

Icon, Add an attribute store.新增屬性存放區
如果您需要將宣告傳送至或取用來自使用 AD FS 1.0 或 1.1 同盟服務之資源夥伴的宣告,請參閱右側的連結,以了解如何設定 AD FS 以與舊版 AD FS 交互操作。 如果資源夥伴組織也使用 AD FS 將宣告傳送或取用到您的組織,您可以略過此步驟並繼續執行此檢查清單中的下一項工作。 Icon, Plan for interoperability with AD FS 1.x.規劃與 AD FS 1.x 的互通性
在帳戶夥伴組織中部署第一部同盟伺服器之後,使用 AD FS 管理嵌入式管理單元建立信賴憑證者信任關係。 您可以手動輸入資源夥伴的資料或使用資源夥伴組織系統管理員提供給您的同盟中繼資料 URL,建立信賴憑證者信任。 您可以使用同盟中繼資料自動擷取資源夥伴的資料。 附註:如果資源夥伴發佈它的同盟中繼資料或可以提供它的檔案複本,建議您自動擷取資料,因為比較省時。 Icon, Manually create a relying party trust.手動建立信賴憑證者信任

Icon, Create a relying party trust using Federation metadata.使用同盟中繼資料建立信賴憑證者信任
根據您的組織需求,建立 AD FS 管理嵌入式管理單元中所指定一或多個宣告規則集,以便適當地發出宣告。 Icon, Create claim rules for a relying party trust.檢查清單:建立信賴憑證者信任的宣告規則
如果尚未建立符合您組織需求的宣告描述。 AD FS 隨附於 AD FS 管理嵌入式管理單元中公開的預設宣告描述集。 Icon, Add a claim description.新增宣告描述
判斷您的組織是否需要使用身分識別委派來授權或限制指定的帳戶「作為」或模擬其他使用者。 這通常是前端 Web 應用程式必須與後端 Web 服務互動時的需求。 Icon, Use identity delegation.使用身分識別委派的時機
透過下列方式準備用戶端電腦以進行同盟:

- 將帳戶夥伴同盟伺服器的 URL 新增至用戶端瀏覽器的受信任網站清單。
- 使用群組原則將適當的安全通訊端層 (SSL) 憑證推送至用戶端電腦。

 Icon, Prepare client computers in the account partner.在帳戶夥伴中準備用戶端電腦

Icon, Configure client computers to trust the account Federation server.將用戶端電腦設定為信任帳戶同盟伺服器

configure account partner org使用群組原則將憑證發佈給用戶端電腦