Průvodce přidáním partnera poskytujícího účty můžete použít k přidání nového partnera poskytujícího účty nebo prostřednictvím importu souboru zásad. Tato akce umožňuje uživatelským účtům na straně partnera poskytujícího účty získat přístup k webovým aplikacím, které jsou chráněny touto službou Federation Service. Další informace o zdokonalených funkcích importu v této verzi služby AD FS (Active Directory Federation Services) naleznete v článku Novinky ve službě AD FS v systému Windows Server 2008 (
K dokončení tohoto postupu je nutné členství minimálně v místní skupině Administrators nebo ekvivalentní členství. Na adrese
Ruční přidání partnera poskytujícího účty
K ručnímu přidání partnera poskytujícího účty můžete použít následující postupy.
Ruční přidání partnera poskytujícího účty |
Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a potom klikněte na možnost Služba AD FS.
Ve stromu konzoly dvakrát klikněte na možnost Služba Federation Service, Zásady důvěryhodnosti a Organizace partnerů.
Klikněte pravým tlačítkem myši na položku Partneři poskytující účty, přejděte na položku Nový a klikněte na položku Partner poskytující účty.
Na stránce Vítá vás Průvodce přidáním partnera poskytujícího účty klikněte na tlačítko Další.
Na stránce Importovat soubor zásad klikněte na tlačítko Ne a potom klikněte na tlačítko Další.
Na stránce Podrobnosti o partneru poskytujícím účty proveďte následující kroky a potom klikněte na tlačítko Další.
-
Do pole Zobrazovaný název zadejte zobrazovaný název partnera poskytujícího účty.
-
Do pole Identifikátor URI služby Federation Service zadejte identifikátor URI (Uniform Resource Identifier) služby Federation Service.
-
Do pole Adresa URL koncového bodu služby Federation Service zadejte adresu URL (Uniform Resource Locator) služby Federation Service.
-
Do pole Zobrazovaný název zadejte zobrazovaný název partnera poskytujícího účty.
Na stránce Ověřovací certifikát partnera poskytujícího účty zadejte nebo vyhledejte cestu k ověřovacímu certifikátu a potom klikněte na tlačítko Další.
Na stránce Federační scénář proveďte jednu z následujících akcí a pak klikněte na tlačítko Další:
-
Pokud vytváříte federovaný vztah důvěryhodnosti s jinou organizací nebo nechcete použít existující vztah důvěryhodnosti doménové struktury, klikněte na možnost Jednotné přihlášení k webu ve federaci a přejděte ke kroku 10.
-
Pokud vytváříte federovaný vztah důvěryhodnosti v rámci stejné organizace a pokud obě strany již sdílejí vztah důvěryhodnosti doménové struktury, klikněte na možnost Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury.
-
Pokud vytváříte federovaný vztah důvěryhodnosti s jinou organizací nebo nechcete použít existující vztah důvěryhodnosti doménové struktury, klikněte na možnost Jednotné přihlášení k webu ve federaci a přejděte ke kroku 10.
Na stránce Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury proveďte jednu z následujících akcí a pak klikněte na tlačítko Další:
-
Pokud chcete přijmout uživatele ve všech doménách, kterým partner poskytující účty důvěřuje, klikněte na možnost Všechny domény a doménové struktury služby Active Directory. Jakýkoli uživatel, který může být ověřen pro partnera poskytujícího účty, bude přijat.
-
Jestliže chcete přijmout uživatelské účty umístěné v některé z domén, kterým partner poskytující účty důvěřuje, klikněte na možnost Následující domény a doménové struktury služby Active Directory. Potom do pole Nová důvěryhodná doména nebo doménová struktura služby Active Directory zadejte název domény nebo doménové struktury a klikněte na tlačítko Přidat. Přijati budou pouze uživatelé z určených domén.
-
Pokud chcete přijmout uživatele ve všech doménách, kterým partner poskytující účty důvěřuje, klikněte na možnost Všechny domény a doménové struktury služby Active Directory. Jakýkoli uživatel, který může být ověřen pro partnera poskytujícího účty, bude přijat.
Na stránce Deklarace identity partnerů poskytujících účty vyberte jednu nebo více deklarací identity pro sdílení s partnerem poskytujícím prostředky a klikněte na tlačítko Další:
-
Pokud partner poskytující prostředky vyžaduje k provádění autorizačních rozhodnutí deklarace hlavního názvu uživatele (User Principal Name – UPN), zaškrtněte políčko Deklarace hlavního názvu uživatele.
Důležité informace Pokud se k provádění rozhodnutí o ověření používají deklarace hlavního názvu uživatele nebo e-mailu, je nutné, aby jednotliví partneři poskytující účty používali jedinečnou příponu hlavního názvu uživatele nebo e-mailu. Jestliže mají dva partneři poskytující účty stejnou příponu hlavního názvu uživatele nebo e-mailu, nebude možné uživatele jednoznačně identifikovat. To může mít za následek, že uživatel na straně jednoho partnera poskytujícího účty přijme oprávnění určená pro uživatele na straně jiného partnera poskytujícího účty. Tato okolnost může také představovat významný nedostatek zabezpečení, protože správce by mohl záměrně vytvářet uživatelské účty vydávající se za uživatele některého z dalších partnerů poskytujících účty.
Poznámka Pokud jste vybrali scénář Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury, je vybrána volba Deklarace hlavního názvu uživatele a nelze provést konfiguraci. Je tomu tak proto, že jsou pro tento scénář požadovány deklarace UPN.
-
Pokud partner poskytující prostředky vyžaduje k provádění autorizačních rozhodnutí e-mailové deklarace, zaškrtněte políčko Deklarace e-mailu.
-
Pokud partner poskytující prostředky vyžaduje k provádění autorizačních rozhodnutí deklarace běžného názvu, zaškrtněte políčko Deklarace běžného názvu.
-
Pokud partner poskytující prostředky vyžaduje k provádění autorizačních rozhodnutí deklarace hlavního názvu uživatele (User Principal Name – UPN), zaškrtněte políčko Deklarace hlavního názvu uživatele.
Pokud jste jako deklaraci identity vybrali možnost Deklarace hlavního názvu uživatele na stránce Přijímané přípony UPN, proveďte jeden z následujících kroků a klikněte na tlačítko Další:
-
Jestliže jste vybrali možnost Jednotné přihlášení k webu ve federaci s důvěryhodností doménové struktury, klikněte na možnost Všechny přípony UPN nebo Pouze přípony z následujícího seznamu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
-
Pokud jste vybrali možnost Jednotné přihlášení k webu ve federaci ve skupinovém rámečku Přidat novou příponu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
-
Jestliže jste vybrali možnost Jednotné přihlášení k webu ve federaci s důvěryhodností doménové struktury, klikněte na možnost Všechny přípony UPN nebo Pouze přípony z následujícího seznamu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
Jestliže jste vybrali možnost Deklarace e-mailu jako deklaraci identity na stránce Přijímané e-mailové přípony, postupujte jedním z následujících způsobů a pak klikněte na tlačítko Další:
-
Pokud jste vybrali možnost Jednotné přihlášení k webu ve federaci s důvěryhodností doménové struktury, klikněte na možnost Všechny e-mailové přípony nebo klikněte na možnost Pouze přípony z následujícího seznamu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
-
Pokud jste vybrali možnost Jednotné přihlášení k webu ve federaci ve skupinovém rámečku Přidat novou příponu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
Poznámka Deklarace běžného názvu nevyžadují žádné další informace.
-
Pokud jste vybrali možnost Jednotné přihlášení k webu ve federaci s důvěryhodností doménové struktury, klikněte na možnost Všechny e-mailové přípony nebo klikněte na možnost Pouze přípony z následujícího seznamu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
Pokud nyní nechcete povolit partnera poskytujícího účty, zrušte na stránce Povolit tohoto partnera poskytujícího účty zaškrtnutí políčka Povolit tohoto partnera poskytujícího účty a klikněte na tlačítko Další.
Chcete-li přidat nového partnera poskytujícího účty a ukončit průvodce, klikněte na tlačítko Dokončit.
Přidání partnera poskytujícího účty pomocí importu souboru zásad
Chcete-li přidat partnera poskytujícího účty pomocí importu souboru zásad, můžete použít následující postup.
Přidání partnera poskytujícího účty importem souboru zásad |
Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a potom klikněte na možnost Služba AD FS.
Ve stromu konzoly dvakrát klikněte na možnost Služba Federation Service, Zásady důvěryhodnosti a Organizace partnerů.
Klikněte pravým tlačítkem myši na položku Partneři poskytující účty, přejděte na položku Nový a klikněte na položku Partner poskytující účty.
Na stránce Vítá vás Průvodce přidáním partnera poskytujícího účty klikněte na tlačítko Další.
Na stránce Importovat soubor zásad proveďte následující kroky a klikněte na tlačítko Další:
-
Klikněte na tlačítko Ano.
-
V části Soubor zásad vzájemné spolupráce mezi partnery vyhledejte nebo zadejte umístění souboru zásad partnera poskytujícího účty.
-
Klikněte na tlačítko Ano.
Na stránce Podrobnosti o partneru poskytujícím účty ve skupinovém rámečku Zobrazovaný název zadejte zobrazovaný název partnera poskytujícího účty, ověřte, zda jsou další importovaná nastavení partnera správná a klikněte na tlačítko Další.
Na stránce Ověřovací certifikát partnera poskytujícího účty postupujte jedním z následujících způsobů a pak klikněte na tlačítko Další:
-
Klikněte na možnost Použít ověřovací certifikát v souboru importu zásad.
-
Klikněte na možnost Použít jiný ověřovací certifikát a zadejte umístění certifikátu nebo klikněte na tlačítko Procházet.
-
Klikněte na možnost Použít ověřovací certifikát v souboru importu zásad.
Na stránce Federační scénář proveďte jednu z následujících akcí a pak klikněte na tlačítko Další:
-
Pokud vytváříte federovaný vztah důvěryhodnosti s jinou organizací nebo nechcete použít existující vztah důvěryhodnosti doménové struktury, klikněte na možnost Jednotné přihlášení k webu ve federaci a přejděte ke kroku 10.
-
Pokud vytváříte federovaný vztah důvěryhodnosti v rámci stejné organizace a pokud obě strany již sdílejí vztah důvěryhodnosti doménové struktury, klikněte na možnost Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury.
-
Pokud vytváříte federovaný vztah důvěryhodnosti s jinou organizací nebo nechcete použít existující vztah důvěryhodnosti doménové struktury, klikněte na možnost Jednotné přihlášení k webu ve federaci a přejděte ke kroku 10.
Na stránce Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury proveďte jednu z následujících akcí a pak klikněte na tlačítko Další:
-
Pokud chcete přijmout uživatele ve všech doménách, kterým partner poskytující účty důvěřuje, klikněte na možnost Všechny domény a doménové struktury služby Active Directory. Jakýkoli uživatel, který může být ověřen pro partnera poskytujícího účty, bude přijat.
-
Jestliže chcete přijmout uživatelské účty umístěné v některé z domén, kterým partner poskytující účty důvěřuje, klikněte na možnost Následující domény a doménové struktury služby Active Directory. Potom do pole Nová důvěryhodná doména nebo doménová struktura služby Active Directory zadejte název domény nebo doménové struktury a klikněte na tlačítko Přidat. Přijati budou pouze uživatelé z určených domén.
-
Pokud chcete přijmout uživatele ve všech doménách, kterým partner poskytující účty důvěřuje, klikněte na možnost Všechny domény a doménové struktury služby Active Directory. Jakýkoli uživatel, který může být ověřen pro partnera poskytujícího účty, bude přijat.
Na stránce Deklarace identity partnerů poskytujících účty vyberte jednu nebo více deklarací identity, které bude tento partner poskytovat, a klikněte na tlačítko Další:
-
Pokud partner poskytující prostředky vyžaduje k provádění autorizačních rozhodnutí deklarace hlavního názvu uživatele (User Principal Name – UPN), zaškrtněte políčko Deklarace hlavního názvu uživatele.
Důležité informace Pokud se k provádění rozhodnutí o ověření používají deklarace hlavního názvu uživatele nebo e-mailu, je nutné, aby jednotliví partneři poskytující účty používali jedinečnou příponu hlavního názvu uživatele nebo e-mailu. Jestliže mají dva partneři poskytující účty stejnou příponu hlavního názvu uživatele nebo e-mailu, nebude možné uživatele jednoznačně identifikovat. To může mít za následek, že uživatel na straně jednoho partnera poskytujícího účty přijme oprávnění určená pro uživatele na straně jiného partnera poskytujícího účty. Tato okolnost může také představovat významný nedostatek zabezpečení, protože správce by mohl záměrně vytvářet uživatelské účty vydávající se za uživatele některého z dalších partnerů poskytujících účty.
Poznámka Pokud jste vybrali scénář Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury, je vybrána volba Deklarace hlavního názvu uživatele a nelze provést konfiguraci. Je tomu tak proto, že jsou pro tento scénář požadovány deklarace UPN.
-
Pokud partner poskytující prostředky vyžaduje k provádění autorizačních rozhodnutí e-mailové deklarace, zaškrtněte políčko Deklarace e-mailu.
-
Pokud partner poskytující prostředky vyžaduje k provádění autorizačních rozhodnutí deklarace běžného názvu, zaškrtněte políčko Deklarace běžného názvu.
-
Pokud partner poskytující prostředky vyžaduje k provádění autorizačních rozhodnutí deklarace hlavního názvu uživatele (User Principal Name – UPN), zaškrtněte políčko Deklarace hlavního názvu uživatele.
Pokud jste jako deklaraci identity vybrali možnost Deklarace hlavního názvu uživatele na stránce Přijímané přípony UPN, proveďte jeden z následujících kroků a klikněte na tlačítko Další:
-
Jestliže jste vybrali možnost Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury, klikněte na možnost Všechny přípony UPN nebo Pouze přípony z následujícího seznamu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
-
Pokud jste vybrali možnost Jednotné přihlášení k webu ve federaci ve skupinovém rámečku Přidat novou příponu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
-
Jestliže jste vybrali možnost Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury, klikněte na možnost Všechny přípony UPN nebo Pouze přípony z následujícího seznamu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
Jestliže jste vybrali možnost Deklarace e-mailu jako deklaraci identity na stránce Přijímané e-mailové přípony, postupujte jedním z následujících způsobů a pak klikněte na tlačítko Další:
-
Pokud jste vybrali možnost Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury, klikněte na možnost Všechny e-mailové přípony nebo klikněte na možnost Pouze přípony z následujícího seznamu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
-
Pokud jste vybrali možnost Jednotné přihlášení k webu ve federaci ve skupinovém rámečku Přidat novou příponu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
-
Pokud jste vybrali možnost Jednotné přihl. k webu ve federaci s důvěryhodností doménové struktury, klikněte na možnost Všechny e-mailové přípony nebo klikněte na možnost Pouze přípony z následujícího seznamu, zadejte přijímanou příponu a klikněte na tlačítko Přidat.
Pokud nyní nechcete povolit partnera poskytujícího účty, zrušte na stránce Povolit tohoto partnera poskytujícího účty zaškrtnutí políčka Povolit tohoto partnera poskytujícího účty a klikněte na tlačítko Další.
Chcete-li přidat nového partnera poskytujícího účty a ukončit průvodce, klikněte na tlačítko Dokončit.
Přejmenování importovaného partnera poskytujícího účty
Pomocí následujícího postupu přejmenujete importovaného partnera poskytujícího účty.
Přejmenování importovaného partnera poskytujícího účty |
Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a potom klikněte na možnost Služba AD FS.
Ve stromu konzoly dvakrát klikněte na složku Federation Service, Zásady důvěryhodnosti, Organizace partnerů a Partneři poskytující účty.
Pravým tlačítkem myši klikněte na partnera poskytujícího účty a potom klikněte na příkaz Přejmenovat.
Zadejte nový název partnera poskytujícího účty.