若要在 Active Directory 联合身份验证服务(AD FS)中部署新的合作伙伴组织,请完成 清单中的任务:配置资源合作伙伴组织 或 清单:配置帐户合作伙伴组织,具体取决于 AD FS 设计。
Note
使用上述任一清单时,强烈建议先阅读 Windows Server 2012 AD FS 设计指南 中帐户合作伙伴或资源合作伙伴规划指南的引用,然后再继续学习设置新合作伙伴组织的过程。 以这种方式遵循清单有助于更好地了解帐户合作伙伴或资源合作伙伴组织的完整 AD FS 设计和部署情景。
关于帐户伙伴组织
帐户合作伙伴是联合信任关系中的组织,它以物理方式将用户帐户存储在 AD FS 支持的属性存储中。 帐户合作伙伴负责收集和验证用户的凭据、为该用户构建声明并将声明打包到安全令牌中。 然后,可以通过联合身份验证信任提供这些令牌,以便访问位于资源伙伴组织中的基于 Web 的资源。
也就是说,帐户伙伴代表帐户端联合身份验证服务为其用户颁发安全令牌的组织。 帐户合作伙伴组织中的联合服务器对本地用户进行身份验证,并创建资源合作伙伴在做出授权决策时使用的安全令牌。
对于属性存储,AD FS 中的帐户伙伴在概念上等效于单个 Active Directory 林,其帐户需要访问物理位于另一个林中的资源。 只有在两个林之间存在外部信任或林信任关系,并且用户尝试访问的资源设置了相应的授权权限时,此示例林中的帐户才可以访问资源林中的资源。
关于资源伙伴组织
资源合作伙伴是位于 Web 服务器的 AD FS 部署中的组织。 资源合作伙伴信任帐户合作伙伴对用户进行身份验证。 因此,要做出授权决定,资源伙伴将使用封装在来自帐户伙伴中用户的安全令牌中的声明。
换句话说,资源伙伴表示其 Web 服务器受资源端联合服务器保护的组织。 资源伙伴中的联合服务器使用帐户伙伴生成的安全令牌为资源伙伴中的 Web 服务器做出授权决策。
若要充当 AD FS 资源,资源伙伴组织中的 Web 服务器必须已安装 Windows Identity Foundation (WIF),或者已安装 Active Directory 联合身份验证服务 (AD FS) 1.x 声明感知 Web 代理角色服务。 充当 AD FS 资源的 Web 服务器可以托管基于 Web 浏览器的应用程序或基于 Web 服务的应用程序。