In Active Directory Federation Services (ADFS), un account della risorsa è un account utente archiviato in una foresta di Active Directory (la foresta del partner risorse) al solo scopo di rappresentare un account utente utilizzato attivamente, ad esempio da un dipendente, e archiviato in un'altra foresta di Active Directory (la foresta del partner account).

È necessario creare gli account delle risorse nella foresta del partner risorse in modo da consentire al dipendente, il cui account utente si trova nella foresta del partner account, di accedere alle applicazioni basate sul Web e basate su token Windows NT tramite ADFS. Gli account delle risorse e i gruppi di risorse sono inoltre necessari per le applicazioni in grado di riconoscere attestazioni.

La risorsa Web sul lato risorse è protetta con elenchi di controllo di accesso (ACL) di account utente o gruppi nella foresta del partner risorse. È necessario che l'amministratore crei gli account relativi alla risorsa e aggiunga ACL alla risorsa per ognuno di tali account.

Per ridurre il carico amministrativo, l'amministratore sul lato risorse può configurare uno o più gruppi di sicurezza creati in Servizi di dominio Active Directory, che verranno utilizzati per il mapping alle attestazioni basate su gruppo in ingresso dai relativi partner account. Un gruppo di sicurezza di cui è stato eseguito il mapping a un'attestazione basata su gruppo in ingresso e che viene utilizzato da ADFS è detto "gruppo di risorse".

Per configurare i gruppi di risorse, è possibile utilizzare la procedura seguente.

Per configurare un gruppo di risorse
  1. Nello snap-in Utenti e computer di Active Directory in un controller di dominio nella foresta del partner risorse creare un nuovo gruppo di sicurezza.

  2. Assegnare l'accesso appropriato a questo gruppo di sicurezza dalla risorsa Web protetta da ADFS.

  3. Nello snap-in Active Directory Federation Services creare una nuova attestazione basata su gruppo e nella pagina delle proprietà relative alla nuova attestazione fare clic sulla scheda Gruppo di risorse. Fare clic sul pulsante per eseguire il mapping del nuovo gruppo di sicurezza in Servizi di dominio Active Directory alla nuova attestazione basata su gruppo. A questo punto, il nuovo gruppo di sicurezza è detto "gruppo di risorse".

  4. In Servizio federativo\Criteri di attendibilità\Organizzazioni partner\Partner account\<nomepartneraccount>\ creare un nuovo mapping di attestazione basata su gruppo in ingresso che consenta di eseguire il mapping della nuova attestazione basata su gruppo e dei relativi gruppi di risorse associati a qualsiasi attestazione basata su gruppo in ingresso proveniente dalla foresta del partner account.

Quando si esegue il mapping di un'attestazione basata su gruppo in ingresso a un gruppo di risorse, non è più necessario che un amministratore della foresta del partner risorse crei un account della risorsa per ogni utente nella foresta del partner account che deve accedere all'applicazione basata su token Windows NT protetta da ADFS.

Per impostazione predefinita, ADFS configura le proprietà del partner account in modo da consentire all'amministratore di un partner risorse di eseguire il mapping delle attestazioni basate su gruppo in ingresso a uno o più gruppi di risorse. È tuttavia possibile modificare questo comportamento predefinito selezionando una delle opzioni seguenti per l'account della risorsa:

  • Esistono account risorse per tutti gli utenti - Specifica che viene configurato un account della risorsa per ogni utente del partner account che deve accedere alla risorsa. In questo caso, non viene eseguito il mapping delle attestazioni basate su gruppo in ingresso ai gruppi di risorse anche se questi ultimi sono configurati.

  • Esistono account risorse per alcuni utenti (preferenza: account risorse) - Specifica se i gruppi di risorse devono essere utilizzati o meno per alcuni account utente. È pertanto possibile che per alcuni utenti siano stati creati singoli account delle risorse, mentre la configurazione di altri utenti prevede l'utilizzo di gruppi di risorse. Quando questa opzione è selezionata, ADFS esegue innanzitutto la ricerca degli account delle risorse corrispondenti all'attestazione basata su posta elettronica o su UPN specificata nel token in ingresso. Se vengono trovati, ADFS utilizza tali account. In caso contrario, se il token include un'attestazione basata su gruppo di cui è stato eseguito il mapping a un gruppo di risorse, viene utilizzato il gruppo di risorse.

  • Esistono account risorse per alcuni utenti (preferenza: gruppi in token) - Questa è l'impostazione predefinita. Specifica che ADFS può utilizzare la propria logica per determinare se per ogni token in ingresso è necessario eseguire il mapping a un gruppo di risorse oppure la ricerca di un account della risorsa. Quando questa opzione è selezionata, ADFS cerca innanzitutto nel token le attestazioni basate su gruppo in ingresso di cui è possibile eseguire il mapping a un gruppo di risorse. Se tali attestazioni vengono trovate, viene utilizzato il gruppo di risorse. In caso contrario, viene eseguita la ricerca di un account della risorsa da utilizzare.

  • Nessun account risorse esistente per questo partner account - Specifica che verranno utilizzati uno o più gruppi di risorse per tutti gli utenti nel partner account. Ogni token rilasciato da questo partner account dovrà pertanto contenere una o più attestazioni basate su gruppo di cui viene eseguito il mapping a uno o più gruppi di risorse nella foresta del partner risorse.


Argomenti della Guida