W programie Active Directory Federation Services (AD FS) kontem zasobów jest konto użytkownika przechowywane w lesie usługi Active Directory (lesie partnera zasobów) wyłącznie na potrzeby personifikacji konta użytkownika, które jest aktywnie używane (np. przez pracownika) i przechowywane w innym lesie usługi Active Directory (lesie partnera kont).

Konta zasobów muszą być tworzone w lesie partnera zasobów, aby pracownik, którego konto użytkownika jest zlokalizowane w lesie partnera kont, mógł za pośrednictwem programu AD FS uzyskiwać dostęp do aplikacji opartych na sieci Web i używających tokenów systemu Windows NT. Konta zasobów i grup zasobów są również potrzebne w przypadku aplikacji obsługujących oświadczenia.

Zasób sieci Web po stronie zasobów jest chroniony za pomocą list kontroli dostępu (ACL) kont użytkowników lub grup w lesie partnera zasobów. Administrator musi utworzyć konta zasobów i dodać do zasobu listy ACL dla wszystkich kont zasobów.

Aby uprościć administrację, administrator może skonfigurować po stronie zasobów jedną lub większą liczbę grup zabezpieczeń, które zostaną utworzone w Usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) i będą używane do mapowania na oświadczenia grupy przychodzące od ich partnerów kont. Grupa zabezpieczeń mapowana na przychodzące oświadczenie grupy używane w programie AD FS jest nazywana grupą zasobów.

Grupy zasobów można skonfigurować, wykonując poniższą procedurę.

Aby skonfigurować grupę zasobów
  1. Utwórz nową grupę zabezpieczeń w przystawce Użytkownicy i komputery usługi Active Directory na kontrolerze domeny w lesie partnera zasobów.

  2. Przypisz odpowiednie prawa dostępu do tej grupy zabezpieczeń z poziomu zasobu sieci Web, który jest chroniony przez program AD FS.

  3. W przystawce programu Active Directory Federation Services utwórz nowe oświadczenie grupy, a następnie kliknij kartę Grupa zasobów na stronie właściwości nowo utworzonego oświadczenia. Kliknij przycisk , aby zamapować nową grupę zabezpieczeń w usługach AD DS na nowe oświadczenie grupy. Nowa grupa zabezpieczeń będzie odtąd nazywana „grupą zasobów”.

  4. W węźle Usługa federacyjna\Zasady zaufania\Organizacje partnerów\Partnerzy kont\<nazwa_partnera_kont>\ utwórz nowe mapowanie przychodzącego oświadczenia grupy, aby zamapować nowe oświadczenie grupy i skojarzoną z nim grupę zasobów na oświadczenia grupy przychodzące z lasu partnera kont.

Po zamapowaniu przychodzącego oświadczenia grupy na grupę zasobów administrator lasu partnera zasobów nie musi już tworzyć konta zasobów dla każdego użytkownika w lesie partnera kont, który potrzebuje dostępu do aplikacji używającej tokenu systemu Windows NT, chronionej przez program AD FS.

Domyślnie program AD FS konfiguruje właściwości partnera kont w taki sposób, aby administrator partnera zasobów mógł zamapować przychodzące oświadczenia grupy na co najmniej jedną grupę zasobów. Można jednak zmienić to domyślne zachowanie, wybierając jedną z następujących opcji konta zasobów:

  • Konta zasobów istnieją dla wszystkich użytkowników - umożliwia określenie, że konto zasobów jest skonfigurowane dla każdego użytkownika należącego do partnera kont, który potrzebuje dostępu do zasobu. W takim przypadku przychodzące oświadczenia grupy nie są mapowane na grupy zasobów, nawet jeśli takie grupy zostały skonfigurowane.

  • Konta zasobów istnieją dla niektórych użytkowników (preferowane konto zasobów) - umożliwia określenie, czy grupy zasobów powinny być używane dla niektórych kont użytkowników. Oznacza to, że niektórzy użytkownicy mogą mieć indywidualne konta zasobów, natomiast inni mogą zostać skonfigurowani do używania grup zasobów. Po wybraniu tej opcji program AD FS będzie najpierw szukać kont zasobów pasujących do oświadczenia adresu e-mail lub oświadczenia głównej nazwy użytkownika, które zostało określone w tokenie przychodzącym. Jeśli program AD FS znajdzie takie konta, zostaną one użyte. Jeśli natomiast token zawiera oświadczenie grupy, które zostało zamapowane na grupę zasobów, program ADFS użyje tej grupy.

  • Konta zasobów istnieją dla niektórych użytkowników (preferowane grupy w tokenie) - to jest ustawienie domyślne. Umożliwia określenie, że program AD FS może określać przy użyciu własnych algorytmów, czy poszczególne tokeny przychodzące powinny być mapowane na grupę zasobów, czy też należy szukać konta zasobów. Po wybraniu tej opcji program AD FS będzie najpierw szukać w tokenie przychodzących oświadczeń grupy, które mogą zostać zamapowane na grupę zasobów. Jeśli program AD FS znajdzie takie oświadczenia, grupa zasobów zostanie użyta. W przypadku braku takich przychodzących oświadczeń grupy program AD FS będzie szukać konta zasobów, którego można użyć.

  • Konta zasobów nie istnieją dla tego partnera kont - umożliwia określenie, że jedna grupa zasobów lub większa liczba grup zasobów będzie używana dla wszystkich użytkowników należących do tego partnera kont. Oznacza to, że każdy token wystawiony przez tego partnera kont będzie musiał zawierać jedno lub większą liczbę oświadczeń grupy, które są mapowane na jedną lub większą liczbę grup zasobów w lesie partnera zasobów.


Spis treści