Met de wizard Accountpartner toevoegen kunt u handmatig of via het importeren van een beleidbestand een nieuwe accountpartner toevoegen. Zo krijgen gebruikersaccounts in de accountpartner toegang tot webtoepassingen die door deze Federation-service worden beschermd. Zie de pagina met nieuwe functies van AD FS in Windows Server 2008 (
Lidmaatschap van de lokale groep Administrators of een gelijkwaardige groep is de minimale vereiste om deze procedures te kunnen voltooien. Bekijk de details over het gebruik van de juiste accounts en groeplidmaatschappen op
Handmatig een accountpartner toevoegen
Aan de hand van de volgende procedure kunt u handmatig een accountpartner toevoegen.
 | Een accountpartner handmatig toevoegen |
Klik op Start, ga naar Systeembeheer en klik op Active Directory Federation Services.
Dubbelklik in de consolestructuur op Federation-service, Vertrouwensbeleid en Partnerorganisaties.
Klik met de rechtermuisknop op Accountpartners, wijs Nieuw aan en klik op Accountpartner.
Klik op de pagina De wizard Accountpartner toevoegen op Volgende.
Klik op de pagina Beleidbestand importeren op Nee en klik op Volgende.
Voer op de pagina Details accountpartner de volgende bewerkingen uit en klik op Volgende:
-
Typ in het vak Weergavenaam een naam voor de accountpartner.
-
Typ in het vak URI van Federation-service de URI (Uniform Resource Identifier) van de Federation-service.
-
Typ in het vak URL van Federation-service-eindpunt de URL (Uniform Resource Locator) van de Federation-service.
-
Typ in het vak Weergavenaam een naam voor de accountpartner.
Typ op de pagina Verificatiecertificaat van accountpartner het pad naar het verificatiecertificaat of blader naar dit certificaat en klik op Volgende.
Voer op de pagina Federation-scenario een van de volgende bewerkingen uit en klik op Volgende:
-
Klik op Federatieve web-SSO als u een federatieve vertrouwensrelatie met een andere organisatie instelt of als u geen bestaande forestvertrouwensrelatie wilt gebruiken. Ga vervolgens naar stap 10.
-
Klik op Federatieve web-SSO met forestvertrouwensrelatie als u een federatieve vertrouwensrelatie binnen dezelfde organisatie instelt wanneer beide zijden al een forestvertrouwensrelatie delen.
-
Klik op Federatieve web-SSO als u een federatieve vertrouwensrelatie met een andere organisatie instelt of als u geen bestaande forestvertrouwensrelatie wilt gebruiken. Ga vervolgens naar stap 10.
Voer op de pagina Federatieve web-SSO met forestvertrouwensrelatie een van de volgende bewerkingen uit en klik op Volgende:
-
Klik op Alle AD DS-domeinen en -forests als u gebruikers wilt accepteren in alle domeinen die worden vertrouwd door de accountpartner. Elke gebruiker die kan worden geverifieerd voor de accountpartner, wordt geaccepteerd.
-
Klik op De volgende AD DS-domeinen en -forests als u gebruikersaccounts wilt accepteren in enkele van de domeinen die worden vertrouwd door de accountpartner. Typ vervolgens in Nieuw, vertrouwd AD DS-domein of -forest de naam van een domein of forest en klik op Toevoegen. Alleen gebruikers uit de opgegeven domeinen worden geaccepteerd.
-
Klik op Alle AD DS-domeinen en -forests als u gebruikers wilt accepteren in alle domeinen die worden vertrouwd door de accountpartner. Elke gebruiker die kan worden geverifieerd voor de accountpartner, wordt geaccepteerd.
Selecteer op de pagina Identiteitsclaims van accountpartner een of meer identiteitsclaims die u met de bronpartner wilt delen en klik op Volgende:
-
Schakel het selectievakje UPN-claim in als de bronpartner UPN-claims (User Principal Name) vereist om autorisatiebeslissingen te nemen.
Belangrijk Wanneer UPN- of e-mailclaims worden gebruikt om autorisatiebeslissingen te nemen, is het essentieel dat elke accountpartner een uniek UPN- of e-mailachtervoegsel heeft. Als twee accountpartners hetzelfde UPN- of e-mailachtervoegsel hebben, kunnen gebruikers mogelijk niet uniek worden geïdentificeerd. Door deze voorwaarde kan een gebruiker mogelijk van een accountpartner de machtigingen ontvangen die zijn bedoeld voor een gebruiker in een andere accountpartner. Deze voorwaarde kan ook leiden tot een belangrijk beveiligingsrisico omdat een beheerder doelbewust gebruikersaccounts zou kunnen maken om zich voor te doen als gebruikers van een van uw overige accountpartners.
Opmerking Als u het scenario Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, wordt de optie UPN-claim geselecteerd zonder dat u deze kunt configureren. UPN-claims zijn namelijk vereist voor dit scenario.
-
Schakel het selectievakje E-mailclaim in als de bronpartner e-mailclaims vereist om autorisatiebeslissingen te nemen.
-
Schakel het selectievakje Algemene-naamclaim in als de bronpartner algemene-naamclaims vereist om autorisatiebeslissingen te nemen.
-
Schakel het selectievakje UPN-claim in als de bronpartner UPN-claims (User Principal Name) vereist om autorisatiebeslissingen te nemen.
Voer een van de volgende bewerkingen uit en klik op Volgende als u op de pagina Geaccepteerde UPN-achtervoegsels de optie UPN-claim als identiteitsclaim hebt geselecteerd:
-
Als u de optie Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, klikt u op Alle UPN-achtervoegsels of op Alleen achtervoegsels uit de volgende lijst accepteren, typt u het geaccepteerde achtervoegsel en klikt u vervolgens op Toevoegen.
-
Als u de optie Federatieve web-SSO hebt geselecteerd, typt u het geaccepteerde achtervoegsel onder Geef een nieuw achtervoegsel op en klikt u vervolgens op Toevoegen.
-
Als u de optie Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, klikt u op Alle UPN-achtervoegsels of op Alleen achtervoegsels uit de volgende lijst accepteren, typt u het geaccepteerde achtervoegsel en klikt u vervolgens op Toevoegen.
Voer een van de volgende bewerkingen uit en klik op Volgende als u op de pagina Geaccepteerde e-mailachtervoegsels de optie E-mailclaim als identiteitsclaim hebt geselecteerd:
-
Als u de optie Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, klikt u op Alle e-mailachtervoegsels of op Alleen achtervoegsels uit de volgende lijst accepteren, typt u het geaccepteerde achtervoegsel en klikt u vervolgens op Toevoegen.
-
Als u de optie Federatieve web-SSO hebt geselecteerd, typt u het geaccepteerde achtervoegsel onder Geef een nieuw achtervoegsel op en klikt u vervolgens op Toevoegen.
Opmerking Voor algemene-naamclaims zijn geen aanvullende gegevens vereist.
-
Als u de optie Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, klikt u op Alle e-mailachtervoegsels of op Alleen achtervoegsels uit de volgende lijst accepteren, typt u het geaccepteerde achtervoegsel en klikt u vervolgens op Toevoegen.
Schakel op de pagina Deze accountpartner inschakelen het selectievakje Deze accountpartner inschakelen uit en klik op Volgende als u de accountpartner nog niet wilt inschakelen.
Klik op Voltooien om de nieuwe accountpartner toe te voegen en de wizard te sluiten.
Een accountpartner toevoegen door een beleidbestand te importeren
Aan de hand van de volgende procedure kunt u een accountpartner toevoegen door een beleidbestand te importeren.
| Een accountpartner toevoegen door een beleidbestand te importeren |
Klik op Start, ga naar Systeembeheer en klik op Active Directory Federation Services.
Dubbelklik in de consolestructuur op Federation-service, Vertrouwensbeleid en Partnerorganisaties.
Klik met de rechtermuisknop op Accountpartners, wijs Nieuw aan en klik op Accountpartner.
Klik op de pagina De wizard Accountpartner toevoegen op Volgende.
Voer op de pagina Beleidbestand importeren de volgende bewerkingen uit en klik op Volgende:
-
Klik op Ja.
-
Blader naar het beleidbestand voor samenwerking tussen partners of typ de locatie van het beleidbestand van de accountpartner.
-
Klik op Ja.
Typ op de pagina Details accountpartner onder Weergavenaam de weergavenaam van de accountpartner, controleer of de geïmporteerde partnerinstellingen juist zijn en klik op Volgende.
Voer op de pagina Verificatiecertificaat van accountpartner een van de volgende bewerkingen uit en klik op Volgende:
-
Klik op Het verificatiecertificaat in het importbeleidsbestand gebruiken.
-
Klik op Een ander verificatiecertificaat gebruiken en typ de locatie van het certificaat of klik op Bladeren.
-
Klik op Het verificatiecertificaat in het importbeleidsbestand gebruiken.
Voer op de pagina Federation-scenario een van de volgende bewerkingen uit en klik op Volgende:
-
Klik op Federatieve web-SSO als u een federatieve vertrouwensrelatie met een andere organisatie instelt of als u geen bestaande forestvertrouwensrelatie wilt gebruiken. Ga vervolgens naar stap 10.
-
Klik op Federatieve web-SSO met forestvertrouwensrelatie als u een federatieve vertrouwensrelatie binnen dezelfde organisatie instelt wanneer beide zijden al een forestvertrouwensrelatie delen.
-
Klik op Federatieve web-SSO als u een federatieve vertrouwensrelatie met een andere organisatie instelt of als u geen bestaande forestvertrouwensrelatie wilt gebruiken. Ga vervolgens naar stap 10.
Voer op de pagina Federatieve web-SSO met forestvertrouwensrelatie een van de volgende bewerkingen uit en klik op Volgende:
-
Klik op Alle AD DS-domeinen en -forests als u gebruikers wilt accepteren in alle domeinen die worden vertrouwd door de accountpartner. Elke gebruiker die kan worden geverifieerd voor de accountpartner, wordt geaccepteerd.
-
Klik op De volgende AD DS-domeinen en -forests als u gebruikersaccounts wilt accepteren in enkele van de domeinen die worden vertrouwd door de accountpartner. Typ vervolgens in Nieuw, vertrouwd AD DS-domein of -forest de naam van het domein of forest en klik op Toevoegen. Alleen gebruikers uit de opgegeven domeinen worden geaccepteerd.
-
Klik op Alle AD DS-domeinen en -forests als u gebruikers wilt accepteren in alle domeinen die worden vertrouwd door de accountpartner. Elke gebruiker die kan worden geverifieerd voor de accountpartner, wordt geaccepteerd.
Selecteer op de pagina Identiteitsclaims van accountpartner een of meer identiteitsclaims die deze partner verstrekt en klik op Volgende:
-
Schakel het selectievakje UPN-claim in als de bronpartner UPN-claims vereist om autorisatiebeslissingen te nemen.
Belangrijk Wanneer UPN- of e-mailclaims worden gebruikt om autorisatiebeslissingen te nemen, is het essentieel dat elke accountpartner een uniek UPN- of e-mailachtervoegsel heeft. Als twee accountpartners hetzelfde UPN- of e-mailachtervoegsel hebben, kunnen gebruikers mogelijk niet uniek worden geïdentificeerd. Door deze voorwaarde kan een gebruiker mogelijk van een accountpartner de machtigingen ontvangen die zijn bedoeld voor een gebruiker in een andere accountpartner. Deze voorwaarde kan ook leiden tot een belangrijk beveiligingsrisico omdat een beheerder doelbewust gebruikersaccounts zou kunnen maken om zich voor te doen als gebruikers van een van uw overige accountpartners.
Opmerking Als u het scenario Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, wordt de optie UPN-claim geselecteerd zonder dat u deze kunt configureren. UPN-claims zijn namelijk vereist voor dit scenario.
-
Schakel het selectievakje E-mailclaim in als de bronpartner e-mailclaims vereist om autorisatiebeslissingen te nemen.
-
Schakel het selectievakje Algemene-naamclaim in als de bronpartner algemene-naamclaims vereist om autorisatiebeslissingen te nemen.
-
Schakel het selectievakje UPN-claim in als de bronpartner UPN-claims vereist om autorisatiebeslissingen te nemen.
Voer een van de volgende bewerkingen uit en klik op Volgende als u op de pagina Geaccepteerde UPN-achtervoegsels de optie UPN-claim als identiteitsclaim hebt geselecteerd:
-
Als u de optie Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, klikt u op Alle UPN-achtervoegsels of op Alleen achtervoegsels uit de volgende lijst accepteren, typt u het geaccepteerde achtervoegsel en klikt u vervolgens op Toevoegen.
-
Als u de optie Federatieve web-SSO hebt geselecteerd, typt u het geaccepteerde achtervoegsel onder Geef een nieuw achtervoegsel op en klikt u vervolgens op Toevoegen.
-
Als u de optie Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, klikt u op Alle UPN-achtervoegsels of op Alleen achtervoegsels uit de volgende lijst accepteren, typt u het geaccepteerde achtervoegsel en klikt u vervolgens op Toevoegen.
Voer een van de volgende bewerkingen uit en klik op Volgende als u op de pagina Geaccepteerde e-mailachtervoegsels de optie E-mailclaim als identiteitsclaim hebt geselecteerd:
-
Als u de optie Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, klikt u op Alle e-mailachtervoegsels of op Alleen achtervoegsels uit de volgende lijst accepteren, typt u het geaccepteerde achtervoegsel en klikt u vervolgens op Toevoegen.
-
Als u de optie Federatieve web-SSO hebt geselecteerd, typt u het geaccepteerde achtervoegsel onder Geef een nieuw achtervoegsel op en klikt u vervolgens op Toevoegen.
-
Als u de optie Federatieve web-SSO met forestvertrouwensrelatie hebt geselecteerd, klikt u op Alle e-mailachtervoegsels of op Alleen achtervoegsels uit de volgende lijst accepteren, typt u het geaccepteerde achtervoegsel en klikt u vervolgens op Toevoegen.
Schakel op de pagina Deze accountpartner inschakelen het selectievakje Deze accountpartner inschakelen uit en klik op Volgende als u de accountpartner nog niet wilt inschakelen.
Klik op Voltooien om de nieuwe accountpartner toe te voegen en de wizard te sluiten.
De naam van een geïmporteerde accountpartner wijzigen
Aan de hand van de volgende procedure kunt u de naam van een geïmporteerde accountpartner wijzigen.
| De naam van een geïmporteerde accountpartner wijzigen |
Klik op Start, ga naar Systeembeheer en klik op Active Directory Federation Services.
Dubbelklik in de consolestructuur op Federation-service, Vertrouwensbeleid, Partnerorganisaties en Accountpartners.
Klik met de rechtermuisknop op de accountpartner en klik op Naam wijzigen.
Typ een nieuwe naam voor de accountpartner.