Az Active Directory összevonási szolgáltatásokban (AD FS) az erőforrásfiókok olyan felhasználói fiókok, amelyek egy Active Directory-erdőben (az erőforráspartner erdőjében) tárolódnak abból a célból, hogy megszemélyesítsenek pl. egy alkalmazott által aktívan használt, másik Active Directory-erdőben (a fiókpartner erdőjében) tárolt felhasználói fiókot.
Az erőforrásfiókokat az erőforráspartner erdőjében kell létrehozni, hogy a fiókpartner erdőjében felhasználói fiókkal rendelkező alkalmazottak az AD FS-alkalmazáson keresztül hozzáférjenek a webes, Windows NT-jogkivonatalapú alkalmazásokhoz. A jogcímbarát alkalmazásokhoz emellett erőforrásfiókok és erőforráscsoportok is szükségesek.
Az erőforrás-oldali webes erőforrást az erőforráspartner erdőjében lévő felhasználói fiókok vagy csoportok hozzáférés-szabályozási listái (ACL) védik. A rendszergazdának kell létrehoznia az erőforrásfiókokat, az erőforráshoz pedig hozzá kell adnia az erőforrásfiókok hozzáférés-szabályozási listáit.
A felügyeleti terhek csökkentése érdekében az erőforrás-oldali rendszergazda beállíthat egy vagy több, az Active Directory tartományi szolgáltatásokban (AD DS) létrehozott biztonsági csoportot, amelyek feladata a fiókpartnerektől érkező bejövő csoportjogcímekhez történő leképezés. Az AD FS által használt bejövő csoportjogcímekhez rendelt biztonsági csoportokat erőforráscsoportoknak nevezik.
Az erőforráscsoportokat az alábbi eljárással állíthatja be.
Erőforráscsoport beállítása |
Hozzon létre egy új biztonsági csoportot az Active Directory – felhasználók és számítógépek beépülő modulban az erőforráspartner erdőjének egyik tartományvezérlőjén.
Rendelje a biztonsági csoporthoz a megfelelő hozzáférést az AD FS által védett webes erőforrásból.
Hozzon létre egy új csoportjogcímet az AD FS beépülő modulban, majd a létrehozott jogcím tulajdonságlapján kattintson az Erőforráscsoport fülre. A három pontot (…) ábrázoló gombra kattintva rendelje az új biztonsági csoportot az AD DS szolgáltatásokban az új csoportjogcímhez. Ebben a lépésben az új biztonsági csoport erőforráscsoportként szerepel.
Az Összevonási szolgáltatás\Megbízhatósági házirend\Partnerszervezetek\Fiókpartnerek\<fiókpartner_neve>\ útvonalon hozzon létre egy új bejövő csoportjogcím-leképezést az új csoportjogcím és az ahhoz kapcsolódó erőforráscsoport hozzárendeléséhez, amely történhet a fiókpartner erdőjének bármely bejövő csoportjogcíméhez.
Bejövő csoportjogcím erőforráscsoporthoz rendelésekor az erőforráspartner erdőjének rendszergazdája nem kell, hogy erőforrásfiókot hozzon létre a fiókpartner erdőjének minden egyes olyan felhasználójához, akinek hozzáférésre van szüksége a Windows NT rendszerű, jogkivonat-alapú, az AD FS által védett alkalmazáshoz.
Alapértelmezés szerint az AD FS úgy adja meg a fiókpartner beállításait, hogy az erőforráspartner rendszergazdája hozzá tudja rendelni a bejövő csoportjogcímeket legalább egy erőforráscsoporthoz. A következőkben részletezett erőforrásfiók-beállítások valamelyikének megadásával azonban lehetőség van módosítani ezt az alapértelmezett működési módot.
-
Minden felhasználó rendelkezik erőforrásfiókkal - Ezzel a beállítással megadhatja, hogy a fiókpartner minden olyan felhasználójához legyen erőforrásfiók beállítva, akinek hozzáférésre van szüksége a szóban forgó erőforráshoz. Ebben az esetben a bejövő csoportjogcímeket nem képezi le a rendszer az erőforráscsoportokhoz, még akkor sem, ha meg vannak adva ilyen csoportok.
-
Egyes felhasználók rendelkeznek erőforrásfiókkal, és az erőforrásfiókok részesítendők előnyben - Ezzel a lehetőséggel megadhatja, hogy egyes felhasználói fiókokhoz használjon-e a program erőforráscsoportokat. Ennek értelmében előfordulhat, hogy egyes felhasználók saját erőforrásfiókokat hozhatnak létre, míg mások esetleg erőforráscsoportok használatára vannak beállítva. Ezt a beállítást választva az AD FS először megkeresi azokat az erőforrásfiókokat, amelyek megfelelnek a bejövő jogkivonatban megadott egyszerű felhasználónévi (UPN) jogcímnek vagy e-mail jogcímnek. Ha az AD FS megtalálja ezeket az erőforrásfiókokat, akkor ezeket használja. Ha nem ez a helyzet, és a jogkivonat erőforráscsoporthoz rendelt csoportjogcímmel rendelkezik, a program az erőforráscsoportot alkalmazza.
-
Egyes felhasználók rendelkeznek erőforrásfiókkal, és a jogkivonatbeli csoportok részesítendők előnyben - Ez az alapértelmezett beállítás, amellyel engedélyezheti, hogy az AD FS saját logikájával eldöntse, hogy minden bejövő jogkivonatot erőforráscsoporthoz rendeljen-e a program, vagy keressen egy megfelelő erőforrásfiókot. Ha ezt a lehetőséget választja, az AD FS először megkeresi a jogkivonatban az erőforráscsoporthoz rendelhető bejövő csoportjogcímeket. Ha talál ilyeneket, az AD FS az erőforráscsoportot használja. Ha nincs ilyen bejövő csoportjogcím, a program keres egy erőforrásfiókot, és azt alkalmazza.
-
Nem tartoznak erőforrásfiókok a fiókpartnerhez - Megadhatja, hogy a rendszer legalább egy erőforráscsoportot használjon a fiókpartner felhasználóihoz. Ez azt jelenti, hogy a fiókpartnertől származó minden egyes jogkivonatnak legalább egy olyan csoportjogcímet kell tartalmaznia, amely az erőforráspartner erdőjének legalább egy erőforráscsoportjára mutat.