Ve službě AD FS (Active Directory Federation Services) je účet prostředků uživatelský účet, který je uložen v jedné doménové struktuře služby Active Directory (doménová struktura partnera poskytujícího prostředky) za účelem zosobnění uživatelského účtu, který aktivně používá například zaměstnanec a který je uložen v jiné doménové struktuře služby Active Directory (doménová struktura partnera poskytujícího účty).

Účty prostředků je nutné vytvořit v doménové struktuře partnera poskytujícího prostředky, aby zaměstnanec, jehož uživatelský účet je umístěn v doménové struktuře partnera poskytujícího účty, mohl získat přístup k aplikacím pracujícím s tokeny systému Windows NT prostřednictvím služby AD FS. Účty prostředků a skupiny prostředků jsou také nutné pro aplikace pracující s deklaracemi.

Webový prostředek na straně prostředků je chráněn pomocí seznamů kontroly přístupu (ACL) uživatelských účtů nebo skupin v doménové struktuře partnera poskytujícího prostředky. Správce musí vytvořit účty prostředků a přidat k prostředku seznamy kontroly přístupu (ACL) pro všechny účty prostředků.

Chcete-li snížit zatížení související se správou, může správce na straně prostředku nakonfigurovat jednu nebo více skupin zabezpečení, které jsou vytvořeny ve službě AD DS (Active Directory Domain Services) a budou používány pro mapování na příchozí deklarace skupiny partnery poskytujícími účty. Skupina zabezpečení, která je namapována na příchozí deklaraci skupiny používanou službou AD FS, se nazývá skupina prostředků.

Ke konfiguraci skupin prostředků můžete použít následující postup.

Konfigurace skupiny prostředků

  1. V modulu snap-in Uživatelé a počítače služby Active Directory řadiče domény v doménové struktuře partnera poskytujícího prostředky vytvořte novou skupinu zabezpečení.

  2. K této skupině zabezpečení přiřaďte odpovídající přístup z webového prostředku, který je chráněn službou AD FS.

  3. V modulu snap-in Služba AD FS (Active Directory Federation Services) vytvořte novou deklaraci skupiny a na stránce vlastností nově vytvořené deklarace klikněte na kartu Skupina prostředků. Kliknutím na tlačítko namapujte novou skupinu zabezpečení v službě AD DS k nové deklaraci skupiny. V tomto okamžiku je nová skupina zabezpečení označena jako skupina prostředků.

  4. Ve složce Federation Service\Trust Policy\Partner Organizations\Account Partners\<název_partnera_poskytujícího_účty>\ vytvořte nové mapování příchozí deklarace skupiny pro namapování nové deklarace skupiny a související skupiny prostředků na jakékoli příchozí deklarace skupiny přicházející z doménové struktury partnera poskytujícího účty.

Pokud namapujete příchozí deklaraci skupiny na skupinu prostředků, správce v doménové struktuře partnera poskytujícího prostředky již nemusí vytvořit účet prostředků pro každého uživatele v doménové struktuře partnera poskytujícího účty, který potřebuje přístup k aplikaci pracující s tokeny systému Windows NT chráněné službou AD FS.

Ve výchozím nastavení služba AD FS nakonfiguruje vlastnosti partnera poskytujícího účty tak, aby správce partnera poskytujícího prostředky mohl namapovat příchozí deklarace skupiny na jednu nebo více skupin prostředků. Chcete-li však toto výchozí chování změnit, vyberte jednu z následujících možností účtu prostředků:

  • Účty prostředků pro všechny uživatele - určuje, že účet prostředků je nakonfigurován pro každého uživatele na straně partnera poskytujícího účty, který potřebuje přístup k prostředku. V tomto případě nejsou namapovány příchozí deklarace skupiny na skupiny prostředků, i když jsou skupiny prostředků nakonfigurovány.

  • Účty prostředků pro některé uživatele (upřednostnit účet prostředků) - určuje, zda by skupiny prostředků měly či neměly být používány pro některé uživatelské účty. To znamená, že někteří uživatelé mohou mít vytvořeny individuální účty prostředků, zatímco jiní uživatelé mohou být nakonfigurováni pro používání skupin prostředků. Pokud je vybrána tato možnost, služba AD FS nejprve hledá účty prostředků, které odpovídají deklaraci hlavního názvu uživatele (UPN) nebo deklaraci e-mailu, která je určena v příchozím tokenu. Pokud jsou nalezeny, služba AD FS použije tyto účty prostředků. V opačném případě, jestliže má token deklaraci skupiny, která je namapována na skupinu prostředků, použije tuto skupinu prostředků.

  • Účty prostředků pro některé uživatele (upřednostnit skupiny v tokenech) - toto je výchozí nastavení. Určuje, že služba AD FS může použít vlastní logiku pro určení, zda má každý příchozí token namapovat na skupinu prostředků nebo zda má hledat účet prostředků. Pokud je vybrána tato možnost, služba AD FS nejprve hledá v tokenu příchozí deklarace skupiny, které mohou být namapovány na skupinu prostředků. Pokud jsou nalezeny, služba AD FS použije skupinu prostředků. Jestliže žádná příchozí deklarace skupiny neexistuje, hledá služba AD FS účet prostředku, který má použít.

  • Žádné účty prostředků pro tohoto partnera poskytujícího účty - určuje, že na straně tohoto partnera poskytujícího účty bude použita pro všechny uživatele jedna nebo více skupin prostředků. To znamená, že u každého tokenu vydaného tímto partnerem poskytujícím účty bude požadováno, aby obsahoval jednu nebo více deklarací skupiny, které jsou namapovány na jednu nebo více skupin prostředků v doménové struktuře partnera poskytujícího prostředky.

Obsah