Active Directory 同盟服務 (AD FS) 中的同盟 Web 單一Sign-On (SSO) 設計涉及跨多個防火牆、周邊網路和名稱解析伺服器的安全通訊,以及整個因特網路由基礎結構。
一般而言,當兩個組織同意建立同盟信任關係,以允許某個組織(帳戶夥伴組織)中的使用者存取其他組織中 AD FS 所保護的 Web 應用程式或服務時,會使用此設計。
換句話說,同盟信任關係是兩個組織之間業務層級協定或合作關係的體現。 如下圖所示,您可以在兩個企業之間建立聯邦信任關係,這將形成端到端聯盟情境。
圖中的單向箭頭表示聯盟信任的方向,就像 Windows 信任的方向一樣,總是指向樹系的帳戶方。 這表示驗證會從帳戶夥伴組織流向資源夥伴組織。
在此同盟 Web SSO 設計中,兩部同盟伺服器(一個在 Fabrikam 中,另一部在 Contoso 中)將驗證要求從 Fabrikam 中的使用者帳戶路由傳送至 Contoso 中的 Web 應用程式或服務。
Note
如需其他安全性,您可以使用同盟伺服器 Proxy,將要求轉送至無法直接從因特網存取的同盟伺服器。
在此範例中,Fabrikam 是身分識別或帳戶、提供者。 同盟 Web SSO 設計的 Fabrikam 部分使用下列 AD FS 部署目標:
Contoso 是資源提供者。 同盟 Web SSO 設計的 Contoso 部分可達成下列 AD FS 部署目標:
如需可用來規劃和部署同盟Web SSO 設計的詳細工作清單,請參閱 檢查清單:實作同盟Web SSO 設計。