Aggiungere un partner account

Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Active Directory Federation Services.

Nell'albero della console fare doppio clic su Servizio federativo, su Criteri di attendibilità e quindi su Organizzazioni partner.

Fare clic con il pulsante destro del mouse su Partner account, scegliere Nuovo e quindi Partner account.

Nella pagina Aggiunta guidata partner account fare clic su Avanti.

Nella pagina Importa file dei criteri fare clic su No e quindi su Avanti.

Nella pagina Dettagli partner account eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• In Nome visualizzato digitare il nome visualizzato del partner account.
  
  
• In URI servizio federativo digitare l'URI (Uniform Resource Identifier) del servizio federativo.
  
  
• In URL endpoint servizio federativo digitare l'URL (Uniform Resource Locator) del servizio federativo.
  
  

Nella pagina Certificato di verifica partner account digitare o selezionare il percorso del certificato di verifica e quindi fare clic su Avanti.

Nella pagina Scenario federativo eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Se si intende stabilire una relazione di trust federativa con un'altra organizzazione o se non si desidera utilizzare un trust tra foreste esistente, fare clic su Web SSO federativo e quindi andare al passaggio 10.
  
  
• Se si intende stabilire una relazione di trust federativa all'interno della stessa organizzazione nel caso in cui i due lati condividano già un trust tra foreste, fare clic su Web SSO federativo con trust tra foreste.
  
  

Nella pagina Web SSO federativo con trust tra foreste eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Per accettare utenti in tutti i domini considerati trusted dal partner account, fare clic su Tutti i domini e le foreste di Servizi di dominio Active Directory. Verrà accettato qualsiasi utente in grado di eseguire l'autenticazione con il partner account.
  
  
• Per accettare account utente che si trovano in alcuni domini considerati trusted dal partner account, fare clic su I seguenti domini o foreste di Servizi di dominio Active Directory. In Nuovo dominio o foresta trusted di Servizi di dominio Active Directory digitare il nome di un dominio o di una foresta e quindi fare clic su Aggiungi. Verranno accettati solo gli utenti dei domini specificati.
  
  

Nella pagina Attestazioni d'identità partner account selezionare una o più attestazioni d'identità da condividere con il partner risorse e quindi fare clic su Avanti:

• Se il partner risorse richiede attestazioni basate sul nome dell'entità utente (UPN) per prendere decisioni relative alle autorizzazioni, selezionare la casella di controllo Attestazione basata su UPN.
  
  

Importante

Quando vengono utilizzate attestazioni basate su UPN o su posta elettronica per prendere decisioni relative alle autorizzazioni, è fondamentale che ogni partner disponga di un suffisso UPN o di posta elettronica univoco. Se due partner account dispongono dello stesso suffisso UPN o di posta elettronica, potrebbe non essere possibile identificare in modo univoco gli utenti. In tal caso, un utente appartenente a un partner account potrebbe ricevere le autorizzazioni destinate a un utente appartenente a un partner account diverso. Una situazione di questo tipo potrebbe inoltre causare una riduzione significativa della sicurezza in quanto un amministratore potrebbe creare intenzionalmente account utente per rappresentare utenti appartenenti a uno degli altri partner account.

	Nota
	Se è stato selezionato lo scenario Web SSO federativo con trust tra foreste, l'opzione Attestazione basata su UPN sarà selezionata e non sarà possibile configurarla poiché uno scenario di questo tipo richiede attestazioni basate su UPN.

• Se il partner risorse richiede attestazioni basate su posta elettronica per prendere decisioni relative alle autorizzazioni, selezionare la casella di controllo Attestazione basata su posta elettronica.
  
  
• Se il partner risorse richiede attestazioni basate su nome comune per prendere decisioni relative alle autorizzazioni, selezionare la casella di controllo Attestazione basata su nome comune.
  
  

Se è stata selezionata l'opzione Attestazione basata su UPN come attestazione d'identità, nella pagina Suffissi UPN accettati eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Se è stata selezionata l'opzione Web SSO federativo con trust tra foreste, fare clic su Tutti i suffissi UPN o su Solo i suffissi presenti nell'elenco seguente, digitare il suffisso accettato e quindi fare clic su Aggiungi.
  
  
• Se è stata selezionata l'opzione Web SSO federativo, in Aggiunta nuovo suffisso digitare il suffisso accettato e quindi fare clic su Aggiungi.
  
  

Se è stata selezionata l'opzione Attestazione basata su posta elettronica come attestazione d'identità, nella pagina Suffissi di posta elettronica accettati eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Se è stata selezionata l'opzione Web SSO federativo con trust tra foreste, fare clic su Tutti i suffissi di posta elettronica o su Solo i suffissi presenti nell'elenco seguente, digitare il suffisso accettato e quindi fare clic su Aggiungi.
  
  
• Se è stata selezionata l'opzione Web SSO federativo, in Aggiunta nuovo suffisso digitare il suffisso accettato e quindi fare clic su Aggiungi.
  
  

	Nota
	Per le attestazioni basate su nome comune non sono necessarie informazioni aggiuntive.

Se non si desidera abilitare immediatamente il partner account, nella pagina Abilita partner account deselezionare la casella di controllo Abilita partner account e quindi fare clic su Avanti.

Per aggiungere il nuovo partner account e chiudere la procedura guidata, fare clic su Fine.

Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Active Directory Federation Services.

Nell'albero della console fare doppio clic su Servizio federativo, su Criteri di attendibilità e quindi su Organizzazioni partner.

Fare clic con il pulsante destro del mouse su Partner account, scegliere Nuovo e quindi Partner account.

Nella pagina Aggiunta guidata partner account fare clic su Avanti.

Nella pagina Importa file dei criteri eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Fare clic su Sì.
  
  
• In File dei criteri di interoperabilità partner selezionare o digitare il percorso del file dei criteri del partner account.
  
  

Nella pagina Dettagli partner account, in Nome visualizzato, digitare il nome visualizzato del partner account, verificare che le impostazioni aggiuntive importate relative al partner siano corrette e quindi fare clic su Avanti.

Nella pagina Certificato di verifica partner account eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Fare clic su Usa il certificato di verifica nel file di importazione dei criteri.
  
  
• Fare clic su Usa certificato di verifica diverso e quindi digitare il percorso del certificato o fare clic su Sfoglia.
  
  

Nella pagina Scenario federativo eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Se si intende stabilire una relazione di trust federativa con un'altra organizzazione o se non si desidera utilizzare un trust tra foreste esistente, fare clic su Web SSO federativo e quindi andare al passaggio 10.
  
  
• Se si intende stabilire una relazione di trust federativa all'interno della stessa organizzazione nel caso in cui i due lati condividano già un trust tra foreste, fare clic su Web SSO federativo con trust tra foreste.
  
  

Nella pagina Web SSO federativo con trust tra foreste eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Per accettare utenti in tutti i domini considerati trusted dal partner account, fare clic su Tutti i domini e le foreste di Servizi di dominio Active Directory. Verrà accettato qualsiasi utente in grado di eseguire l'autenticazione con il partner account.
  
  
• Per accettare account utente che si trovano in alcuni domini considerati trusted dal partner account, fare clic su I seguenti domini o foreste di Servizi di dominio Active Directory. In Nuovo dominio o foresta trusted di Servizi di dominio Active Directory digitare il nome del dominio o della foresta e quindi fare clic su Aggiungi. Verranno accettati solo gli utenti dei domini specificati.
  
  

Nella pagina Attestazioni d'identità partner account selezionare una o più attestazioni d'identità che verranno offerte dal partner e quindi fare clic su Avanti:

• Se il partner risorse richiede attestazioni basate su UPN per prendere decisioni relative alle autorizzazioni, selezionare la casella di controllo Attestazione basata su UPN.
  
  

Importante

Quando vengono utilizzate attestazioni basate su UPN o su posta elettronica per prendere decisioni relative alle autorizzazioni, è fondamentale che ogni partner account disponga di un suffisso UPN o di posta elettronica univoco. Se due partner account dispongono dello stesso suffisso UPN o di posta elettronica, potrebbe non essere possibile identificare in modo univoco gli utenti. In tal caso, un utente appartenente a un partner account potrebbe ricevere le autorizzazioni destinate a un utente appartenente a un partner account diverso. Una situazione di questo tipo potrebbe inoltre causare una riduzione significativa della sicurezza in quanto un amministratore potrebbe creare intenzionalmente account utente per rappresentare utenti appartenenti a uno degli altri partner account.

	Nota
	Se è stato selezionato lo scenario Web SSO federativo con trust tra foreste, l'opzione Attestazione basata su UPN sarà selezionata e non sarà possibile configurarla poiché uno scenario di questo tipo richiede attestazioni basate su UPN.

• Se il partner risorse richiede attestazioni basate su posta elettronica per prendere decisioni relative alle autorizzazioni, selezionare la casella di controllo Attestazione basata su posta elettronica.
  
  
• Se il partner risorse richiede attestazioni basate su nome comune per prendere decisioni relative alle autorizzazioni, selezionare la casella di controllo Attestazione basata su nome comune.
  
  

Se è stata selezionata l'opzione Attestazione basata su UPN come attestazione d'identità, nella pagina Suffissi UPN accettati eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Se è stata selezionata l'opzione Web SSO federativo con trust tra foreste, fare clic su Tutti i suffissi UPN o su Solo i suffissi presenti nell'elenco seguente, digitare il suffisso accettato e quindi fare clic su Aggiungi.
  
  
• Se è stata selezionata l'opzione Web SSO federativo, in Aggiunta nuovo suffisso digitare il suffisso accettato e quindi fare clic su Aggiungi.
  
  

Se è stata selezionata l'opzione Attestazione basata su posta elettronica come attestazione d'identità, nella pagina Suffissi di posta elettronica accettati eseguire una delle operazioni seguenti e quindi fare clic su Avanti:

• Se è stata selezionata l'opzione Web SSO federativo con trust tra foreste, fare clic su Tutti i suffissi di posta elettronica o su Solo i suffissi presenti nell'elenco seguente, digitare il suffisso accettato e quindi fare clic su Aggiungi.
  
  
• Se è stata selezionata l'opzione Web SSO federativo, in Aggiunta nuovo suffisso digitare il suffisso accettato e quindi fare clic su Aggiungi.
  
  

Se non si desidera abilitare immediatamente il partner account, nella pagina Abilita partner account deselezionare la casella di controllo Abilita partner account e quindi fare clic su Avanti.

Per aggiungere il nuovo partner account e chiudere la procedura guidata, fare clic su Fine.

Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Active Directory Federation Services.

Nell'albero della console fare doppio clic su Servizio federativo, su Criteri di attendibilità, quindi su Organizzazioni partner e infine su Partner account.

Fare clic con il pulsante destro del mouse sul partner account e quindi scegliere Rinomina.

Digitare un nuovo nome per il partner account.