Med guiden Lägg till kontopartner lägger du till en ny kontopartner manuellt. Det kan även göras genom att du importerar en principfil. Den här åtgärden gör det möjligt för användarkonton i kontopartnern att komma åt webbprogram som skyddas av federationstjänsten. Om du vill lära dig mer om förbättrad importeringsfunktionalitet i den här versionen av Active Directory Federation Services (AD FS) går du till avsnittet Vad är nytt i AD FS i Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684). Sidan kan vara på engelska.

Du måste vara medlem i den lokala gruppen Administratörer eller motsvarande om du ska kunna slutföra de här procedurerna. Studera närmare information om hur du använder lämpliga konton och gruppmedlemskap på https://go.microsoft.com/fwlink/?LinkId=83477.

Lägga till en kontopartner manuellt

Använd följande procedur om du vill lägga till en kontopartner manuellt.

Så här lägger du till en kontopartner manuellt
  1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Active Directory Federation Services.

  2. Dubbelklicka på Federationstjänst, Förtroendeprincip och sedan på Partnerorganisationer i konsolträdet.

  3. Högerklicka på Kontopartners, peka på Ny och klicka sedan på Kontopartner.

  4. Klicka på Nästa på sidan Välkommen till guiden Lägg till kontopartner.

  5. På sidan Importera principfil klickar du på Nej och sedan på Nästa.

  6. Utför följande åtgärder på sidan Information om kontopartner och klicka sedan på Nästa:

    • Skriv kontopartnerns visningsnamn i Visningsnamn.

    • Skriv federationstjänstens URI (Uniform Resource Identifier) i URI för federationstjänsten.

    • Skriv federationstjänstens URL-adress (Uniform Resource Locator) i URL till federationstjänstens slutpunkt.

  7. På sidan Certifikat för verifiering av kontopartner skriver eller bläddrar du till sökvägen till verifieringscertifikatet och klickar sedan på Nästa.

  8. Utför en av följande åtgärder på sidan Federationsscenario och klicka sedan på Nästa:

    • Om du etablerar ett federerat förtroende med en annan organisation eller om du inte vill använda ett befintligt skogsförtroende klickar du på Federerad enkelinloggning på webben och fortsätter sedan till steg 10.

    • Om du etablerar ett federerat förtroende inom samma organisation och båda sidor redan delar ett skogsförtroende klickar du på Federerad enkelinloggning på webben med skogsförtroende.

  9. På sidan Federerad enkelinloggning på webben med skogsförtroende utför du en av följande åtgärder och klickar sedan på Nästa:

    • Om du vill acceptera alla användare i alla domäner som är betrodda av kontopartnern, klickar du på Alla AD DS-domäner och AD DS-skogar. Alla användare som kan autentiseras till kontopartnern accepteras.

    • Om du vill acceptera användarkonton som finns i några av domänerna som är betrodda av kontopartnern klickar du på Följande AD DS-domäner och AD DS-skogar. I Ny, betrodd AD DS-domän eller AD DS-skog skriver du namnet på en domän eller skog och klickar sedan på Lägg till. Endast användare från de angivna domänerna accepteras.

  10. På sidan Kontopartnerns identitetsanspråk väljer du minst ett identitetsanspråk att dela med resurspartnern och klickar sedan på Nästa:

    • Om resurspartnern kräver UPN-anspråk (User Principal Name) för att kunna fatta auktoriseringsbeslut markerar du kryssrutan UPN-anspråk.

    Viktigt!

    När UPN-anspråk eller e-postanspråk används för att fatta auktoriseringsbeslut är det viktigt att varje kontopartner har ett unikt UPN- eller e-postsuffix. Om två kontopartner har samma UPN- eller e-postsuffix går det eventuellt inte att identifiera användare unikt. Denna omständighet kan resultera i att en användare från en kontopartner tilldelas behörigheter som är avsedda för en användare i en annan kontopartner. Det kan också innebära en avsevärd säkerhetsbrist eftersom en administratör medvetet skulle kunna skapa användarkonton som efterliknar användare från en av dina andra kontopartner.

    OBS

    Om du valde scenariot Federerad enkelinloggning på webben med skogsförtroende väljs alternativet UPN-anspråk och det kan inte konfigureras. Det beror på att UPN-anspråk krävs för scenariot.

    • Om resurspartnern kräver e-postanspråk för att kunna fatta auktoriseringsbeslut markerar du kryssrutan E-postanspråk.

    • Om resurspartnern kräver anspråk för eget namn för att kunna fatta auktoriseringsbeslut markerar du kryssrutan Anspråk för eget namn.

  11. Om du valde UPN-anspråk som ett identitetsanspråk gör du något av följande på sidan Accepterade UPN-suffix och klickar sedan på Nästa:

    • Om du valde alternativet Federerad enkelinloggning på webben med skogsförtroende klickar du på Alla UPN-suffix eller på Bara suffix i följande lista, skriver in det accepterade suffixet och klickar sedan på Lägg till.

    • Om du valde alternativet Federerad enkelinloggning på webben skriver du in det accepterade suffixet under Lägg till ett nytt suffix och klickar sedan på Lägg till.

  12. Om du valde E-postanspråk som ett identitetsanspråk gör du något av följande på sidan Accepterade e-postsuffix och klickar sedan på Nästa:

    • Om du valde alternativet Federerad enkelinloggning på webben med skogsförtroende klickar du på Alla e-postsuffix eller på Bara suffix i följande lista, skriver in det accepterade suffixet och klickar sedan på Lägg till.

    • Om du valde alternativet Federerad enkelinloggning på webben skriver du in det accepterade suffixet under Lägg till ett nytt suffix och klickar sedan på Lägg till.

    OBS

    Anspråk för egna namn kräver ingen ytterligare information.

  13. Om du inte vill aktivera kontopartnern nu avmarkerar du kryssrutan Aktivera den här kontopartnern på sidan Aktivera den här kontopartnern och klickar sedan på Nästa.

  14. Om du vill lägga till den nya kontopartnern och avsluta guiden klickar du på Slutför.

Lägga till en kontopartner genom att importera en principfil

Använd följande procedur om du vill lägga till en kontopartner genom att importera en principfil.

Så här lägger du till en kontopartner genom att importera en principfil
  1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Active Directory Federation Services.

  2. Dubbelklicka på Federationstjänst, Förtroendeprincip och sedan på Partnerorganisationer i konsolträdet.

  3. Högerklicka på Kontopartners, peka på Ny och klicka sedan på Kontopartner.

  4. Klicka på Nästa på sidan Välkommen till guiden Lägg till kontopartner.

  5. På sidan Importera principfil gör du följande. Därefter klickar du på Nästa:

    • Klicka på Ja.

    • I Principfil för samarbete med partner skriver eller bläddrar du till platsen för kontopartnerns principfil.

  6. På sidan Information om kontopartner skriver du visningsnamnet på kontopartnern under Visningsnamn, verifierar att de importerade partnerinställningarna är korrekta och klickar sedan på Nästa.

  7. Gör något av följande på sidan Certifikat för verifiering av kontopartner och klicka sedan på Nästa:

    • Klicka på Använd verifieringscertifikatet i importprincipfilen.

    • Klicka på Använd ett annat verifieringscertifikat och ange sedan platsen där certifikatet finns eller klicka på Bläddra.

  8. Utför en av följande åtgärder på sidan Federationsscenario och klicka sedan på Nästa:

    • Om du etablerar ett federerat förtroende med en annan organisation eller om du inte vill använda ett befintligt skogsförtroende klickar du på Federerad enkelinloggning på webben och fortsätter sedan till steg 10.

    • Om du etablerar ett federerat förtroende inom samma organisation och båda sidor redan delar ett skogsförtroende klickar du på Federerad enkelinloggning på webben med skogsförtroende.

  9. På sidan Federerad enkelinloggning på webben med skogsförtroende utför du en av följande åtgärder och klickar sedan på Nästa:

    • Om du vill acceptera alla användare i alla domäner som är betrodda av kontopartnern, klickar du på Alla AD DS-domäner och AD DS-skogar. Alla användare som kan autentiseras till kontopartnern accepteras.

    • Om du vill acceptera användarkonton som finns i några av domänerna som är betrodda av kontopartnern klickar du på Följande AD DS-domäner och AD DS-skogar. I Ny, betrodd AD DS-domän eller AD DS-skog skriver du namnet på en domän eller skog och klickar sedan på Lägg till. Endast användare från de angivna domänerna accepteras.

  10. På sidan Kontopartnerns identitetsanspråk väljer du minst ett identitetsanspråk som den här partnern ska tillhandahålla och klickar sedan på Nästa:

    • Om resurspartnern kräver UPN-anspråk för att kunna fatta auktoriseringsbeslut markerar du kryssrutan UPN-anspråk.

    Viktigt!

    När UPN-anspråk eller e-postanspråk används för att fatta auktoriseringsbeslut är det viktigt att varje kontopartner har ett unikt UPN- eller e-postsuffix. Om två kontopartner har samma UPN- eller e-postsuffix går det eventuellt inte att identifiera användare unikt. Denna omständighet kan resultera i att en användare från en kontopartner tilldelas behörigheter som är avsedda för en användare i en annan kontopartner. Det kan också innebära en avsevärd säkerhetsbrist eftersom en administratör medvetet skulle kunna skapa användarkonton som efterliknar användare från en av dina andra kontopartner.

    OBS

    Om du valde scenariot Federerad enkelinloggning på webben med skogsförtroende väljs alternativet UPN-anspråk och det kan inte konfigureras. Det beror på att UPN-anspråk krävs för scenariot.

    • Om resurspartnern kräver e-postanspråk för att kunna fatta auktoriseringsbeslut markerar du kryssrutan E-postanspråk.

    • Om resurspartnern kräver anspråk för eget namn för att kunna fatta auktoriseringsbeslut markerar du kryssrutan Anspråk för eget namn.

  11. Om du valde UPN-anspråk som ett identitetsanspråk gör du något av följande på sidan Accepterade UPN-suffix och klickar sedan på Nästa:

    • Om du valde alternativet Federerad enkelinloggning på webben med skogsförtroende klickar du på Alla UPN-suffix eller på Bara suffix i följande lista, skriver in det accepterade suffixet och klickar sedan på Lägg till.

    • Om du valde alternativet Federerad enkelinloggning på webben skriver du in det accepterade suffixet under Lägg till ett nytt suffix och klickar sedan på Lägg till.

  12. Om du valde E-postanspråk som ett identitetsanspråk gör du något av följande på sidan Accepterade e-postsuffix och klickar sedan på Nästa:

    • Om du valde alternativet Federerad enkelinloggning på webben med skogsförtroende klickar du på Alla e-postsuffix eller på Bara suffix i följande lista, skriver in det accepterade suffixet och klickar sedan på Lägg till.

    • Om du valde alternativet Federerad enkelinloggning på webben skriver du in det accepterade suffixet under Lägg till ett nytt suffix och klickar sedan på Lägg till.

  13. Om du inte vill aktivera kontopartnern nu avmarkerar du kryssrutan Aktivera den här kontopartnern på sidan Aktivera den här kontopartnern och klickar sedan på Nästa.

  14. Om du vill lägga till den nya kontopartnern och avsluta guiden klickar du på Slutför.

Byta namn på en importerad kontopartner

Med följande procedur byter du namn på en importerad kontopartner.

Så här byter du namn på en importerad kontopartner
  1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Active Directory Federation Services.

  2. Dubbelklicka på Federationstjänst, Förtroendeprincip, Partnerorganisationer och sedan på Kontopartners i konsolträdet.

  3. Högerklicka på kontopartners och klicka sedan på Byt namn.

  4. Ange ett nytt namn på kontopartnern.


Innehåll