檢查清單: 設定資源夥伴組織
資源夥伴組織包含裝載帳戶夥伴中使用者將存取之網路型應用程式的 Web 伺服器。 此組織中的系統管理員必須使用 AD FS 管理嵌入式管理單元來建立宣告提供者信任,以代表其與帳戶夥伴組織的信任關係。 接著,帳戶夥伴系統管理員必須為每個想要信任的帳戶夥伴組織建立信賴憑證者信任。
此檢查清單包含資源夥伴組織中部署 Active Directory 同盟服務 (AD FS) 所需的工作。 它也包含設定建立同盟合作關係一半所需元件的工作。
如果您要部署 Web SSO 設計,則不需要遵循此檢查清單。 不過,您必須完成此檢查清單中的工作,才能順利部署 同盟 Web SSO 設計。
重要
請確定帳戶夥伴組織的系統管理員遵循 [檢查清單: 設定帳戶夥伴組織] 中的指引,以確保會完成所有必要的部署工作,以順利建立同盟合作關係的後半部
注意
請依序完成此檢查清單中的工作。 當某個參考連結帶您進入某個程序時,請在完成該程序中的步驟之後返回本主題,讓您可以繼續進行此檢查清單中其餘的工作。
檢查清單: 設定資源夥伴組織
| Task | 參考 |
|---|---|
| 如果您目前在生產環境中有現有的 AD FS 1.0 或 1.1 部署,請參閱右側的連結,以了解如何將設定從目前的同盟服務移轉至新的 AD FS 同盟服務。 如果您是使用 AD FS 第一次在組織中部署 AD FS,您可以略過此步驟並繼續執行此檢查清單中的下一項工作,以取得如何設定新資源夥伴組織的相關資訊。 |  計劃移轉至 AD FS |
| 根據您的部署目標,檢閱提供使用者存取同盟應用程式所需元件的相關資訊。 | 為 Active Directory 使用者提供宣告感知應用程式與服務的存取權 |
| 判斷此資源夥伴組織將與哪個 AD FS 設計建立關聯。 | 網頁 SSO 設計 |
| 檢閱不同的應用程式類型,並決定要部署的應用程式。 | 決定資源夥伴的同盟應用程式策略 |
| 開始部署 AD FS 伺服器之前,請先檢閱 ;1.) 選擇 Windows 內部資料庫 (WID) 或 SQL Server 來儲存 AD FS 設定資料庫的優點和缺點。2.) AD FS 部署拓撲類型及其相關聯的伺服器放置和網路配置建議。 | 決定您的 AD FS 部署拓撲 |
| 檢閱 AD FS 容量規劃指引,以判斷您應該在生產環境中使用的適當同盟伺服器和同盟伺服器 Proxy 伺服器的數目。 | 規劃 AD FS 伺服器容量 |
| 若要有效地規劃和實作帳戶夥伴部署的實體拓撲,請判斷您的 AD FS 設計是否需要一或多個同盟伺服器或同盟伺服器 Proxy。 |  檢查清單:設定同盟伺服器 |
| 決定您要新增至 AD FS 的屬性存放區類型。 然後,使用 AD FS 管理嵌入式管理單元新增屬性存放區。 | 屬性存放區的角色 |
| 如果您需要將宣告傳送至或取用來自使用 AD FS 1.0 或 1.1 同盟服務之帳戶夥伴的宣告,請參閱右側的連結,以了解如何設定 AD FS 以與舊版 AD FS 交互操作。 如果帳戶夥伴組織也使用 AD FS 將宣告傳送或取用到您的組織,您可以略過此步驟並繼續執行此檢查清單中的下一項工作。 | 規劃與 AD FS 1.x 的互通性 |
| 在資源夥伴組織中部署第一部同盟伺服器之後,使用 AD FS 管理嵌入式管理單元建立信賴憑證者信任關係。 您可以手動輸入帳戶夥伴的相關資料,或使用帳戶夥伴組織系統管理員提供給您的同盟中繼資料 URL,來建立宣告提供者信任。 您可以使用同盟中繼資料自動擷取資源夥伴的資料。 注意: 如果帳戶夥伴發佈其同盟中繼資料,或提供檔案複本以供您使用,建議您自動擷取資料,因為它可以節省時間。 |  手動建立宣告提供者信任 |
| 根據您的組織需求,為每個在 AD FS 管理嵌入式管理單元中指定的每個宣告提供者信任建立一或多個宣告規則集,以便傳入宣告會通過、轉換或適當地對應至資源夥伴中的對應宣告。 | 檢查清單: 建立宣告提供者信任的宣告規則 |
| (選擇性) 如果尚沒有符合您組織需求的宣告描述,可能需要建立宣告描述。 AD FS 包含在 AD FS 管理嵌入式管理單元中公開的預設宣告描述集。 | 新增宣告描述 |