新增帳戶夥伴

按一下 [開始]，指向 [系統管理工具]，然後按一下 [Active Directory Federation Services]。

在主控台樹狀目錄中，依序按兩下 [Federation Service]、[信任原則] 及 [夥伴組織]。

在 [帳戶夥伴] 上按一下滑鼠右鍵，指向 [新增]，再按一下 [帳戶夥伴]。

在 [歡迎使用新增帳戶夥伴精靈] 頁面上，按 [下一步]。

在 [匯入原則檔案] 頁上，按一下 [否]，再按 [下一步]。

在 [帳戶夥伴詳細資料] 頁上，執行下列步驟，再按 [下一步]

• 在 [顯示名稱] 中，輸入帳戶夥伴的顯示名稱。
  
  
• 在 [Federation Service URI] 中，輸入 Federation Service 的統一資源識別項 (URI)。
  
  
• 在 [Federation Service 端點 URI] 中，輸入 Federation Service 的統一資源定位器 (URL)。
  
  

在 [帳戶夥伴驗證憑證] 頁上，輸入或瀏覽到驗證憑證的路徑，再按 [下一步]。

在 [同盟案例] 頁面上，執行下列一個動作，然後按 [下一步]：

• 若要建立與其他組織的同盟信任，或不想使用現有的樹系信任，請按一下 [同盟網頁 SSO]，然後移到步驟 10。
  
  
• 若要在雙方已共用樹系信任時，在同一個組織內建立同盟信任，請按一下 [含樹系信任的同盟網頁 SSO]。
  
  

在 [含樹系信任的同盟網頁 SSO] 頁上，執行下列其中一個動作，再按 [下一步]：

• 若要接受帳戶夥伴所信任的所有網域中的使用者，請按一下 [所有的 AD DS 網域及樹系]。將接受可針對帳戶夥伴驗證的所有使用者。
  
  
• 若要接受帳戶夥伴所信任的部分網域中的使用者帳戶，請按一下 [下列 AD DS 網域及樹系]。接下來在 [受信任的新 AD DS 網域或樹系] 中，輸入網域或樹系的名稱，再按一下 [新增]。只接受來自指定網域的使用者。
  
  

在 [帳戶夥伴識別宣告] 頁上，選取要與資源夥伴共用的一或多個識別宣告，再按 [下一步]：

• 如果資源夥伴需要使用者主要名稱 (UPN) 宣告來製作授權決策，請選取 [UPN 宣告] 核取方塊。
  
  

	重要
	使用 UPN 宣告或電子郵件宣告來制定授權決策時，每個帳戶夥伴都必須擁有唯一的 UPN 尾碼或電子郵件尾碼。如果兩個帳戶夥伴擁有相同的 UPN 尾碼或電子郵件尾碼，可能會無法唯一識別各使用者。這種狀況可能會導致某個帳戶夥伴的使用者，接收到要給其他帳戶夥伴使用者的權限。這種狀況也可能暴露出明顯的安全漏洞，因為系統管理員可以蓄意地建立使用者帳戶，模擬您另一個帳戶夥伴的使用者。

	附註
	如果選取 [含樹系信任的同盟網頁 SSO] 案例，便會選取 [UPN 宣告] 選項且無法進行設定。這是因為此案例需要 UPN 宣告。

• 如果資源夥伴需要電子郵件宣告來制定授權決策，請選取 [電子郵件宣告] 核取方塊。
  
  
• 如果資源夥伴需要一般名稱宣告來制定授權決策，請選取 [一般名稱宣告] 核取方塊。
  
  

如果選取 [UPN 宣告] 做為識別宣告，請在 [接受的 UPN 尾碼] 頁面上，執行下列其中一個動作，然後按 [下一步]：

• 如果選取 [含樹系信任的同盟網頁 SSO] 選項，請按一下 [所有 UPN 尾碼] 或按一下 [只接受下列清單中的尾碼]，輸入要接受的尾碼，然後按一下 [新增]。
  
  
• 如果選取 [同盟網頁 SSO] 選項，請在 [新增尾碼] 下輸入要接受的尾碼，然後按一下 [新增]。
  
  

如果選取 [電子郵件宣告] 做為識別宣告，請在 [接受的電子郵件尾碼] 頁面上，執行下列其中一個動作，然後按 [下一步]：

• 如果選取 [含樹系信任的同盟網頁 SSO] 選項，請按一下 [所有電子郵件尾碼] 或按一下 [只接受下列清單中的尾碼]，輸入要接受的尾碼，然後按一下 [新增]。
  
  
• 如果選取 [同盟網頁 SSO] 選項，請在 [新增尾碼] 下輸入要接受的尾碼，然後按一下 [新增]。
  
  

	附註
	一般名稱宣告不需要其他資訊。

在 [啟用這個帳戶夥伴] 頁面上，如果不想立即啟用帳戶夥伴，請清除 [啟用這個帳戶夥伴] 核取方塊，然後按 [下一步]。

若要新增帳戶夥伴並關閉精靈，請按一下 [完成]。

按一下 [開始]，指向 [系統管理工具]，然後按一下 [Active Directory Federation Services]。

在主控台樹狀目錄中，依序按兩下 [Federation Service]、[信任原則] 及 [夥伴組織]。

在 [帳戶夥伴] 上按一下滑鼠右鍵，指向 [新增]，再按一下 [帳戶夥伴]。

在 [歡迎使用新增帳戶夥伴精靈] 頁面上，按 [下一步]。

在 [匯入原則檔案] 頁上，執行下列步驟，再按 [下一步]：

• 按一下 [是]。
  
  
• 在 [夥伴互通性原則檔案] 中，瀏覽或輸入帳戶夥伴原則檔案的位置。
  
  

在 [帳戶夥伴詳細資料] 頁的 [顯示名稱] 之下，輸入帳戶夥伴的顯示名稱，確認其他匯入的夥伴設定都正確，然後按 [下一步]。

在 [帳戶夥伴驗證憑證] 頁上，執行下列步驟，再按 [下一步]：

• 按一下 [在匯入原則檔案中使用驗證憑證]。
  
  
• 按一下 [使用不同的驗證憑證]，然後輸入憑證位置，或按一下 [瀏覽]。
  
  

在 [同盟案例] 頁面上，執行下列一個動作，然後按 [下一步]：

• 若要建立與其他組織的同盟信任，或不想使用現有的樹系信任，請按一下 [同盟網頁 SSO]，然後移到步驟 10。
  
  
• 若要在雙方已共用樹系信任時，在同一個組織內建立同盟信任，請按一下 [含樹系信任的同盟網頁 SSO]。
  
  

在 [含樹系信任的同盟網頁 SSO] 頁上，執行下列其中一個動作，再按 [下一步]：

• 若要接受帳戶夥伴所信任的所有網域中的使用者，請按一下 [所有的 AD DS 網域及樹系]。將接受可針對帳戶夥伴驗證的所有使用者。
  
  
• 若要接受帳戶夥伴所信任的部分網域中的使用者帳戶，請按一下 [下列 AD DS 網域及樹系]。接下來在 [受信任的新 AD DS 網域或樹系] 中，輸入網域或樹系的名稱，再按一下 [新增]。只接受來自指定網域的使用者。
  
  

在 [帳戶夥伴識別宣告] 頁上，選取此夥伴將提供的一或多個識別宣告，再按 [下一步]：

• 如果資源夥伴需要 UPN 宣告來製作授權決策，請選取 [UPN 宣告] 核取方塊。
  
  

	重要
	使用 UPN 宣告或電子郵件宣告來制定授權決策時，每個帳戶夥伴都必須擁有唯一的 UPN 尾碼或電子郵件尾碼。如果兩個帳戶夥伴擁有相同的 UPN 尾碼或電子郵件尾碼，可能會無法唯一識別各使用者。這種狀況可能會導致某個帳戶夥伴的使用者，接收到要給其他帳戶夥伴使用者的權限。這種狀況也可能暴露出明顯的安全漏洞，因為系統管理員可以蓄意地建立使用者帳戶，模擬您另一個帳戶夥伴的使用者。

	附註
	如果選取 [含樹系信任的同盟網頁 SSO] 案例，便會選取 [UPN 宣告] 選項且無法進行設定。這是因為此案例需要 UPN 宣告。

• 如果資源夥伴需要電子郵件宣告來制定授權決策，請選取 [電子郵件宣告] 核取方塊。
  
  
• 如果資源夥伴需要一般名稱宣告來制定授權決策，請選取 [一般名稱宣告] 核取方塊。
  
  

如果選取 [UPN 宣告] 做為識別宣告，請在 [接受的 UPN 尾碼] 頁面上，執行下列其中一個動作，然後按 [下一步]：

• 如果選取 [含樹系信任的同盟網頁 SSO] 選項，請按一下 [所有 UPN 尾碼] 或按一下 [只接受下列清單中的尾碼]，輸入要接受的尾碼，然後按一下 [新增]。
  
  
• 如果選取 [同盟網頁 SSO] 選項，請在 [新增尾碼] 下輸入要接受的尾碼，然後按一下 [新增]。
  
  

如果選取 [電子郵件宣告] 做為識別宣告，請在 [接受的電子郵件尾碼] 頁面上，執行下列其中一個動作，然後按 [下一步]：

• 如果選取 [含樹系信任的同盟網頁 SSO] 選項，請按一下 [所有電子郵件尾碼] 或按一下 [只接受下列清單中的尾碼]，輸入要接受的尾碼，然後按一下 [新增]。
  
  
• 如果選取 [同盟網頁 SSO] 選項，請在 [新增尾碼] 下輸入要接受的尾碼，然後按一下 [新增]。
  
  

在 [啟用這個帳戶夥伴] 頁面上，如果不想立即啟用帳戶夥伴，請清除 [啟用這個帳戶夥伴] 核取方塊，然後按 [下一步]。

若要新增帳戶夥伴並關閉精靈，請按一下 [完成]。

按一下 [開始]，指向 [系統管理工具]，然後按一下 [Active Directory Federation Services]。

在主控台樹狀目錄中，依序連按兩下 [Federation Service]、[信任原則]、[夥伴組織] 及 [帳戶夥伴]。

在帳戶夥伴上按一下滑鼠右鍵，再按 [重新命名]。

輸入帳戶夥伴的新名稱。