In AD FS (Active Directory Federation Services) is een bronaccount een gebruikersaccount dat is opgeslagen in één Active Directory-forest (het bronpartnerforest) met als enig doel om zich voor te doen als gebruikersaccount dat actief wordt gebruikt, bijvoorbeeld door een medewerker, en is opgeslagen in een ander Active Directory-forest (de accountpartnerforest).

Bronaccounts moeten worden gemaakt in het bronpartnerforest zodat de medewerker van wie het gebruikersaccount zich in het accountpartnerforest bevindt, via AD FS toegang heeft tot op het web en tokens gebaseerde Windows NT-toepassingen. Bronaccounts en brongroepen zijn ook nodig voor claimbewuste toepassingen.

De webbron aan de bronzijde is beschermd met ACL's (Access Control List, toegangsbeheerlijst) van gebruikersaccounts of -groepen in het bronpartnerforest. De beheerder moet de bronaccounts maken en ACL's voor elk bronaccount toevoegen aan de bron.

Als de beheerder aan de bronzijde de extra beheertaken wil beperken, kan hij een of meer beveiligingsgroepen configureren die in AD DS (Active Directory Domain Services) worden gemaakt en gebruikt voor toewijzingen aan groepclaims die vanaf hun accountpartners binnenkomen. Een beveiligingsgroep die aan een binnenkomende, door AD FS gebruikte groepclaim wordt toegewezen, wordt een brongroep genoemd.

Aan de hand van de volgende procedure kunt u brongroepen configureren.

Een brongroep configureren
  1. Maak in de module Active Directory - gebruikers en computers op een domeincontroller in het bronpartnerforest een nieuwe beveiligingsgroep.

  2. Wijs de juiste toegang aan deze beveiligingsgroep toe vanuit de webbron die door AD FS wordt beschermd.

  3. Maak in de module Active Directory Federation Services een nieuwe groepclaim en klik op de eigenschappenpagina van de nieuwe claim op het tabblad Bronnengroep. Klik op de knop om de nieuwe beveiligingsgroep in AD DS toe te wijzen aan de nieuwe groepclaim. Op dit punt wordt de nieuwe beveiligingsgroep een brongroep genoemd.

  4. Maak onder Federation-service\Vertrouwensbeleid\Partnerorganisaties\Accountpartners\<naam accountpartner>\ een nieuwe binnenkomende groepclaim om de nieuwe groepclaim en de bijbehorende brongroep toe te wijzen aan alle binnenkomende groepclaims die afkomstig zijn uit het accountpartnerforest.

Wanneer u een binnenkomende groepclaim toewijst aan een brongroep, hoeft een beheerder in het bronpartnerforest geen bronaccount meer te maken voor elke gebruiker in het accountpartnerforest die toegang nodig heeft tot de op tokens gebaseerde Windows NT-toepassing die door AD FS wordt beschermd.

Standaard worden in AD FS de eigenschappen van accountpartners zodanig geconfigureerd dat de beheerder van een bronpartner binnenkomende groepclaims kan toewijzen aan een of meer brongroepen. U kunt dit standaardgedrag echter wijzigen door een van de volgende opties voor bronaccounts te selecteren:

  • Er zijn bronaccounts aanwezig voor alle gebruikers: geeft aan dat er een bronaccount is geconfigureerd voor elke gebruiker vanaf de accountpartner die toegang tot de bron nodig heeft. In dit geval worden binnenkomende groepclaims niet toegewezen aan brongroepen, ook niet als er brongroepen zijn geconfigureerd.

  • Er zijn bronaccounts voor bepaalde gebruikers aanwezig (voorkeur: bronaccount): geeft aan of brongroepen al dan niet moeten worden gebruikt voor bepaalde gebruikersaccounts. Dit betekent dat er voor bepaalde gebruikers afzonderlijke bronaccounts kunnen worden gemaakt, terwijl andere gebruikers zo kunnen worden geconfigureerd dat ze brongroepen kunnen gebruiken. Wanneer deze optie is geselecteerd, wordt eerst gezocht naar bronaccounts die overeenkomen met de UPN- of e-mailclaim die in het binnenkomende token is gedefinieerd. In AD FS worden deze bronaccounts gebruikt als ze worden gevonden. Als de token echter een groepclaim bevat die aan een brongroep is toegewezen, wordt de brongroep gebruikt.

  • Er zijn bronaccounts voor bepaalde gebruikers aanwezig (voorkeur: groepen in token): dit is de standaardinstelling. Geeft aan dat AD FS met de eigen logica kan bepalen of elk binnenkomend token moet worden toegewezen aan een brongroep of dat er naar een bronaccount moet worden gezocht. Wanneer deze optie is geselecteerd, wordt eerst in het token gezocht naar binnenkomende groepclaims die aan een brongroep kunnen worden toegewezen. Als deze worden gevonden, wordt de brongroep gebruikt. Als er geen binnenkomende groepclaim voorkomt, wordt er gezocht naar een bronaccount dat kan worden gebruikt.

  • Er zijn geen bronaccounts voor deze accountpartner aanwezig: geeft aan dat een of meer brongroepen worden gebruikt voor alle gebruikers in deze accountpartner. Dit betekent dat elke token die wordt afgegeven vanaf deze accountpartner, een of meer groepclaims moet bevatten die aan een of meer brongroepen in het bronpartnerforest zijn toegewezen.

Aanvullende naslaginformatie


Inhoudsopgave