När du planerar för ett samarbete mellan organisationer (federationsbaserat) med AD FS (Active Directory Federation Services) bestämmer du först om din organisation ska vara värd för en webbresurs som andra organisationer kan få åtkomst till via Internet eller tvärtom. Det här beslutet påverkar hur du distribuerar AD FS och är grundläggande för planeringen av AD FS-infrastrukturen.

För federationsdesigner som federerad enkel inloggning på webben och federerad enkel inloggning på webben med skogsförtroende (men inte designen enkel inloggning på webben) används termer som kontopartner och resurspartner i AD FS. Termerna gör det enklare att skilja organisationen som är värd för kontona (kontopartnern) från den organisation som är värd för de webbaserade resurserna (resurspartnern). Termen federationsförtroende beskriver i AD FS den enkelriktade icke-transitiva relation som upprättas mellan kontopartnern och resurspartnern.

Mer information om de olika formerna av AD FS-design finns i avsnittet Så här fungerar federationsdesigner.

I följande avsnitt förklaras några av de koncept som är relaterade till kontopartner och resurspartner.

Kontopartner

En kontopartner representerar den organisation i federationsförtroendet som fysiskt lagrar användarkonton antingen i ett AD DS-arkiv (Active Directory Domain Services) eller i ett AD LDS-arkiv (Active Directory Lightweight Directory Services). Kontopartnern ansvarar för att samla in och autentisera en användares autentiseringsuppgifter, bygga upp anspråk för användaren och paketera anspråken i säkerhetstoken. Dessa token kan sedan presenteras över ett federationsförtroende för att få åtkomst till webbaserade resurser som finns i resurspartnerorganisationen.

Med andra ord representerar en kontopartner organisationen för vars användare kontosidans federationstjänst utfärdar säkerhetstoken. Federationstjänsten i kontopartnerorganisationen autentiserar lokala användare och skapar säkerhetstoken som används av resurspartnern när auktoriseringsbeslut ska fattas.

I förhållande till AD DS är kontopartnern i AD FS begreppsmässigt likvärdig en enskild AD DS-skog vars konton behöver ha åtkomst till resurser som fysiskt finns i en annan skog. Konton i exempelskogen kan bara få åtkomst till resurser i resursskogen när ett externt förtroende eller skogsförtroende mellan de två skogarna och de resurser som användarna försöker få åtkomst till, har konfigurerats med korrekta auktorisationsbehörigheter.

OBS

Den här liknelsen är endast avsedd att visa att förhållandet mellan konto- och partnerorganisationer i AD FS i princip påminner om förhållandet mellan en kontoskog och en resursskog i AD DS. Det krävs inga externa förtroenden och skogsförtroenden för att AD FS ska fungera.

Generera anspråk som går till resurspartnern

Ett anspråk är uppgifter om en klient (t.ex. namn, identitet, nyckel, grupp, privilegium och kapacitet) som skapas på en server. En kontopartner skapar anspråk som federationstjänsten för resurspartnern använder. I följande lista beskrivs de olika typer av anspråk som kan konfigureras i kontopartnern på resursfederationens serversida:

  • UPN-anspråk

    När du konfigurerar kontopartnern kan du ange en lista med UPN-domäner (User Principal Name) och UPN-suffix som kan accepteras från kontopartnern. Om en UPN-identitet tas emot vars domändel inte finns i listan, avslås begäran.

  • E-postanspråk

    När du konfigurerar kontopartnern kan du ange en lista över e-postdomäner och e-postsuffix som kan accepteras från kontopartnern. På samma sätt som för UPN-anspråket avslås en begäran om en e-postidentitet tas emot vars domändel inte finns i listan tas emot.

  • Anspråk för eget namn

    När du konfigurerar kontopartnern kan du ange om anspråk för egna namn kan tas emot från kontopartnern. Den här typen av anspråk kan inte mappas. Istället vidarebefordras anspråket om det är aktiverat.

  • Gruppanspråk

    När du konfigurerar kontopartnern kan du ange en uppsättning med inkommande gruppanspråk som kan accepteras från partnern. Därefter kan du associera varje möjlig inkommande grupp med ett organisationsgruppanspråk. Observera att detta skapar en gruppmappning. Om en inkommande grupp utan mappning påträffas ignoreras den.

  • Anpassade anspråk

    När du konfigurerar kontopartnern kan du ange en uppsättning med inkommande namn på anpassade anspråk som accepteras från partnern. Därefter kan du mappa varje möjligt inkommande namn till ett anpassat organisationsanspråk. Observera att detta skapar en namnmappning. Om ett inkommande anpassat anspråk utan mappning påträffas ignoreras det.

Resurspartner

En resurspartner är den andra organisationspartnern i federationsförtroendet. En resurspartner är den organisation där de AD FS-aktiverade webbservrarna som är värdar för minst ett webbaserat program (resurserna) finns. Resurspartnern litar på att kontopartnern autentiserar användare. För att fatta auktoriseringsbeslut använder därför resurspartnern de anspråk som har paketerats i säkerhetstoken som kommer från användare i kontopartnern.

Med andra ord representerar en resurspartner den organisation vars AD FS-aktiverade webbservrar skyddas av resurssidans federationstjänst. Resurspartnerns federationstjänst använder de säkerhetstoken som har skapats av kontopartnern när auktoriseringsbeslut ska fattas för AD FS-aktiverade webbservrar som finns i resurspartnern.

För att fungera som en AD FS-resurs måste en AD FS-aktiverad webbserver i resurspartnerorganisationen ha komponenten AD FS Web Agent för AD FS installerad. Webbservrar som fungerar som en AD FS-resurs kan vara värdar för antingen anspråksmedvetna eller Windows NT-tokenbaserade program.

OBS

Om programmet som finns på den AD FS-aktiverade webbservern är ett Windows NT-tokenbaserat program kan ett resurskonto krävas för AD DS-skogen i resurspartnerorganisationen.

I förhållande till AD DS är resurspartnern begreppsmässigt likvärdig en enskild skog vars resurser görs tillgängliga över ett externt förtroende eller skogsförtroende för konton som är fysiskt lagrade i en annan skog.

OBS

Den här liknelsen är endast avsedd att visa att förhållandet mellan konto- och partnerorganisationer i AD FS i princip påminner om förhållandet mellan en kontoskog och en resursskog i AD DS. Det krävs inga externa förtroenden eller skogsförtroenden för att AD FS ska fungera.

Använda anspråk som kommer från kontopartnern

En resurspartner använder anspråk som kontopartnerns federationstjänst skapar och paketerar i säkerhetstoken. I följande lista beskrivs hur anspråk kan skickas till resurspartnern:

  • UPN-anspråk

    När du konfigurerar resurspartnern kan du ange om ett UPN-anspråk ska skickas till resurspartnern. Du kan också ange en suffixmappning så att varje suffix mappas till ett angivet utgående suffix. Till exempel kan julianp@sales.tailspintoys.com mappas till julianp@tailspintoys.com. Det går bara att ange utgående suffix.

  • E-postanspråk

    När du konfigurerar resurspartnern kan du ange om ett e-postanspråk ska skickas till resurspartnern. Du kan också ange en suffixmappning så att varje suffix mappas till ett angivet suffix. Till exempel kan vernettep@sales.tailspintoys.com mappas till vernettep@tailspintoys.com. Det går bara att ange utgående suffix.

  • Anspråk för eget namn

    När du konfigurerar resurspartnern kan du ange om anspråk för egna namn kan skickas till resurspartnern. Denna typ av anspråk kan inte mappas. De vidarebefordras istället till resurspartnern om typen är aktiverad.

  • Gruppanspråk

    När du konfigurerar resurspartnern kan du ange en uppsättning med utgående gruppanspråk som accepteras av resurspartnern. Därefter kan du associera varje möjligt utgående gruppanspråk till organisationsgruppanspråk. Observera att detta skapar en uppsättning med gruppmappningar. Organisationsgruppanspråk som inte matchar ett utgående gruppanspråk skapas inte.

  • Anpassade anspråk

    När du konfigurerar resurspartnern kan du ange en uppsättning med utgående anpassade anspråk som accepteras av resurspartnern. Du kan mappa varje möjligt utgående anpassat anspråk till ett anpassat anspråk för organisationen. Observera att detta skapar en uppsättning med namnmappningar. Anpassade anspråk för organisationen som inte matchar ett utgående anpassat anspråk skapas inte.

Förhöjd identitetssekretess

Förhöjd identitetssekretess är en valfri inställning som du kan konfigurera för en resurspartner i förtroendeprincipen. Om alternativet Förhöjd identitetssekretess är aktiverat används hash-värden för användarnamnsdelen för utgående UPN-anspråk och e-postanspråk. Det byter ut det egna namnet mot ett slumpmässigt värde.

Syftet med den här funktionen är att förhindra:

  • Att resurspartnern kopplar identitetsanspråk till personlig identifierbar användarinformation.

  • Maskopi mellan partner vid koppling av identitetsanspråk till personlig identifierbar användarinformation. Inställningen skapar ett unikt hash-värde per partner så att identitetsanspråksvärden är olika över olika förtroendesfärpartner men konsekventa över sessioner med en enskild partner.

  • Enkla katalogattacker mot hash-värdet genom att infoga slumpmässiga siffror i användarvärdet som finns i förtroendeprincipen, data som inte är kända av resurspartner.

Innehåll