Kreator dodawania partnera kont umożliwia dodawanie nowego partnera kont ręcznie lub przez import pliku zasad. Dzięki temu konta użytkowników należące do partnera kont mogą uzyskiwać dostęp do aplikacji sieci Web chronionych przez daną usługę federacyjną. Aby dowiedzieć się więcej o ulepszonych funkcjach importowania w tej wersji programu Active Directory Federation Services (AD FS), zobacz artykuł dotyczący nowych funkcji programu AD FS w systemie Windows Server 2008 (
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w lokalnej grupie Administratorzy lub równoważnej. Szczegółowe informacje na temat używania odpowiednich kont i członkostw w grupach można znaleźć na stronie
Ręczne dodawanie partnera kont
Aby ręcznie dodać partnera kont, należy wykonać poniższą procedurę.
Aby ręcznie dodać partnera kont |
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Active Directory Federation Services.
W drzewie konsoli kolejno kliknij dwukrotnie węzły Usługa federacyjna, Zasady zaufania i Organizacje partnerów.
Kliknij prawym przyciskiem myszy węzeł Partnerzy kont, wskaż polecenie Nowy, a następnie kliknij polecenie Partner kont.
Na stronie Kreator dodawania partnera kont - Zapraszamy! kliknij przycisk Dalej.
Na stronie Importowanie pliku zasad kliknij opcję Nie, a następnie kliknij przycisk Dalej.
Na stronie Szczegóły dotyczące partnera kont wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej
-
W polu Wyświetlana nazwa wpisz wyświetlaną nazwę partnera kont.
-
W polu Identyfikator URI usługi federacyjnej wpisz identyfikator URI usługi federacyjnej.
-
W polu Adres URL punktu końcowego usługi federacyjnej wpisz adres URL usługi federacyjnej.
-
W polu Wyświetlana nazwa wpisz wyświetlaną nazwę partnera kont.
Na stronie Certyfikat weryfikacji partnera kont wpisz ścieżkę do certyfikatu weryfikacji lub za pomocą funkcji przeglądania przejdź do jego lokalizacji, a następnie kliknij przycisk Dalej.
Na stronie Scenariusz dotyczący federacji wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej:
-
Jeśli chcesz ustanowić relację zaufania federacji z inną organizacją albo nie chcesz używać istniejącego zaufania lasu, kliknij opcję Federacyjna usługa rejestracji jednokrotnej w sieci Web, a następnie przejdź do kroku 10.
-
Jeśli chcesz ustanowić relację zaufania federacji z tą samą organizacją i istnieje już wspólne zaufanie lasu obu stron, kliknij opcję Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu.
-
Jeśli chcesz ustanowić relację zaufania federacji z inną organizacją albo nie chcesz używać istniejącego zaufania lasu, kliknij opcję Federacyjna usługa rejestracji jednokrotnej w sieci Web, a następnie przejdź do kroku 10.
Na stronie Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej:
-
Aby użytkownicy we wszystkich domenach powiązanych relacją zaufania z danym partnerem kont byli akceptowani, kliknij opcję Wszystkie domeny i lasy usług domenowych w usłudze AD. Będą wówczas akceptowani wszyscy użytkownicy uwierzytelnieni przez partnera kont.
-
Aby były akceptowane konta użytkowników zlokalizowane w określonych domenach, które są powiązane relacją zaufania z partnerem kont, kliknij opcję Następujące domeny i lasy usług domenowych w usłudze AD. Następnie wpisz nazwę domeny lub lasu w polu Nowa zaufana domena lub las usług domenowych w usłudze AD, po czym kliknij przycisk Dodaj. Będą wówczas akceptowani jedynie użytkownicy z określonych domen.
-
Aby użytkownicy we wszystkich domenach powiązanych relacją zaufania z danym partnerem kont byli akceptowani, kliknij opcję Wszystkie domeny i lasy usług domenowych w usłudze AD. Będą wówczas akceptowani wszyscy użytkownicy uwierzytelnieni przez partnera kont.
Na stronie Oświadczenia tożsamości partnera kont wybierz jedno lub większą liczbę oświadczeń tożsamości, które mają zostać udostępnione partnerowi zasobów, a następnie kliknij przycisk Dalej:
-
Jeśli partner zasobów wymaga oświadczeń głównych nazw użytkownika (UPN, User Principal Name), aby podejmować decyzje związane z autoryzacją, zaznacz pole wyboru Oświadczenie głównej nazwy użytkownika.
Ważne Jeśli decyzje związane z autoryzacją są podejmowane przy użyciu oświadczeń głównej nazwy użytkownika lub oświadczeń adresów e-mail, każdy partner kont musi używać unikatowego sufiksu głównej nazwy użytkownika lub unikatowego sufiksu adresu e-mail. Jeśli dwaj partnerzy kont używają takiego samego sufiksu głównej nazwy użytkownika albo sufiksu adresu e-mail, unikatowa identyfikacja użytkowników może być niemożliwa. W takiej sytuacji użytkownik należący do jednego z partnerów kont może otrzymać uprawnienia przeznaczone dla użytkownika należącego do innego partnera kont. Może to również spowodować znaczne obniżenie jakości zabezpieczeń, ponieważ administrator może celowo tworzyć konta użytkowników w celu personifikowania użytkowników należących do jednego z innych partnerów kont.
Uwaga Po wybraniu scenariusza Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu opcja Oświadczenie głównej nazwy użytkownika jest zaznaczona i nie można jej skonfigurować. Jest tak dlatego, że oświadczenia nazwy UPN są wymagane w tym scenariuszu.
-
Jeśli partner zasobów wymaga oświadczeń adresu e-mail do podejmowania decyzji związanych z autoryzacją, zaznacz pole wyboru Oświadczenie adresu e-mail.
-
Jeśli partner zasobów wymaga oświadczeń nazwy pospolitej do podejmowania decyzji związanych z autoryzacją, zaznacz pole wyboru Oświadczenie nazwy pospolitej.
-
Jeśli partner zasobów wymaga oświadczeń głównych nazw użytkownika (UPN, User Principal Name), aby podejmować decyzje związane z autoryzacją, zaznacz pole wyboru Oświadczenie głównej nazwy użytkownika.
Jeśli przy wyborze oświadczenia tożsamości została wybrana opcja Oświadczenie głównej nazwy użytkownika, na stronie Akceptowane sufiksy głównych nazw użytkownika wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej:
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu kliknij opcję Wszystkie sufiksy głównych nazw użytkownika lub kliknij opcję Tylko sufiksy z następującej listy, wpisz akceptowany sufiks, a następnie kliknij przycisk Dodaj.
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web wpisz akceptowany sufiks w obszarze Dodaj nowy sufiks, a następnie kliknij przycisk Dodaj.
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu kliknij opcję Wszystkie sufiksy głównych nazw użytkownika lub kliknij opcję Tylko sufiksy z następującej listy, wpisz akceptowany sufiks, a następnie kliknij przycisk Dodaj.
Jeśli przy wyborze oświadczenia tożsamości została wybrana opcja Oświadczenie adresu e-mail, na stronie Akceptowane sufiksy adresów e-mail wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej:
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu kliknij opcję Wszystkie sufiksy adresów e-mail lub kliknij opcję Tylko sufiksy z następującej listy, wpisz akceptowany sufiks, a następnie kliknij przycisk Dodaj.
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web wpisz akceptowany sufiks w obszarze Dodaj nowy sufiks, a następnie kliknij przycisk Dodaj.
Uwaga Oświadczenia nazw pospolitych nie wymagają dodatkowych informacji.
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu kliknij opcję Wszystkie sufiksy adresów e-mail lub kliknij opcję Tylko sufiksy z następującej listy, wpisz akceptowany sufiks, a następnie kliknij przycisk Dodaj.
Jeśli nie chcesz w danym momencie włączać partnera zasobów, na stronie Włączenie partnera kont wyczyść pole wyboru Włącz tego partnera kont, a następnie kliknij przycisk Dalej.
Aby dodać nowego partnera kont i zamknąć kreatora, kliknij przycisk Zakończ.
Dodawanie partnera kont przez import pliku zasad
Aby dodać partnera kont przez import pliku zasad, należy wykonać poniższą procedurę.
Aby dodać partnera kont przez import pliku zasad |
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Active Directory Federation Services.
W drzewie konsoli kolejno kliknij dwukrotnie węzły Usługa federacyjna, Zasady zaufania i Organizacje partnerów.
Kliknij prawym przyciskiem myszy węzeł Partnerzy kont, wskaż polecenie Nowy, a następnie kliknij polecenie Partner kont.
Na stronie Kreator dodawania partnera kont - Zapraszamy! kliknij przycisk Dalej.
Na stronie Importowanie pliku zasad wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej:
-
Kliknij przycisk Tak.
-
W polu Plik zasad współdziałania z partnerem za pomocą funkcji przeglądania przejdź do lokalizacji pliku zasad partnera kont lub wpisz odpowiednią ścieżkę.
-
Kliknij przycisk Tak.
Na stronie Szczegóły dotyczące partnera kont w obszarze Wyświetlana nazwa wpisz wyświetlaną nazwę partnera kont, sprawdź poprawność dodatkowych zaimportowanych ustawień partnera, a następnie kliknij przycisk Dalej.
Na stronie Certyfikat weryfikacji partnera kont wykonaj jedną z następujących czynności, po czym kliknij przycisk Dalej:
-
Kliknij opcję Użyj certyfikatu weryfikacji znajdującego się w pliku zasad importowania.
-
Kliknij opcję Użyj innego certyfikatu weryfikacji, a następnie wpisz lokalizację certyfikatu lub kliknij przycisk Przeglądaj.
-
Kliknij opcję Użyj certyfikatu weryfikacji znajdującego się w pliku zasad importowania.
Na stronie Scenariusz dotyczący federacji wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej:
-
Jeśli chcesz ustanowić relację zaufania federacji z inną organizacją albo nie chcesz używać istniejącego zaufania lasu, kliknij opcję Federacyjna usługa rejestracji jednokrotnej w sieci Web, a następnie przejdź do kroku 10.
-
Jeśli chcesz ustanowić relację zaufania federacji z tą samą organizacją i istnieje już wspólne zaufanie lasu obu stron, kliknij opcję Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu.
-
Jeśli chcesz ustanowić relację zaufania federacji z inną organizacją albo nie chcesz używać istniejącego zaufania lasu, kliknij opcję Federacyjna usługa rejestracji jednokrotnej w sieci Web, a następnie przejdź do kroku 10.
Na stronie Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej:
-
Aby użytkownicy we wszystkich domenach powiązanych relacją zaufania z danym partnerem kont byli akceptowani, kliknij opcję Wszystkie domeny i lasy usług domenowych w usłudze AD. Będą wówczas akceptowani wszyscy użytkownicy uwierzytelnieni przez partnera kont.
-
Aby były akceptowane konta użytkowników zlokalizowane w określonych domenach, które są powiązane relacją zaufania z partnerem kont, kliknij opcję Następujące domeny i lasy usług domenowych w usłudze AD. Następnie wpisz nazwę domeny lub lasu w polu Nowa zaufana domena lub las usług domenowych w usłudze AD, po czym kliknij przycisk Dodaj. Będą wówczas akceptowani jedynie użytkownicy z określonych domen.
-
Aby użytkownicy we wszystkich domenach powiązanych relacją zaufania z danym partnerem kont byli akceptowani, kliknij opcję Wszystkie domeny i lasy usług domenowych w usłudze AD. Będą wówczas akceptowani wszyscy użytkownicy uwierzytelnieni przez partnera kont.
Na stronie Oświadczenia tożsamości partnera kont wybierz jedno lub większą liczbę oświadczeń tożsamości, które będzie udostępniać ten partner, a następnie kliknij przycisk Dalej:
-
Jeśli partner zasobów wymaga oświadczeń głównej nazwy użytkownika, aby podejmować decyzje związane z autoryzacją, zaznacz pole wyboru Oświadczenie głównej nazwy użytkownika.
Ważne Jeśli decyzje związane z autoryzacją są podejmowane przy użyciu oświadczeń głównej nazwy użytkownika lub oświadczeń adresów e-mail, każdy partner kont musi używać unikatowego sufiksu głównej nazwy użytkownika lub unikatowego sufiksu adresu e-mail. Jeśli dwaj partnerzy kont używają takiego samego sufiksu głównej nazwy użytkownika albo sufiksu adresu e-mail, unikatowa identyfikacja użytkowników może być niemożliwa. W takiej sytuacji użytkownik należący do jednego z partnerów kont może otrzymać uprawnienia przeznaczone dla użytkownika należącego do innego partnera kont. Może to również spowodować znaczne obniżenie jakości zabezpieczeń, ponieważ administrator może celowo tworzyć konta użytkowników w celu personifikowania użytkowników należących do jednego z innych partnerów kont.
Uwaga Po wybraniu scenariusza Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu opcja Oświadczenie głównej nazwy użytkownika jest zaznaczona i nie można jej skonfigurować. Jest tak dlatego, że oświadczenia nazwy UPN są wymagane w tym scenariuszu.
-
Jeśli partner zasobów wymaga oświadczeń adresu e-mail do podejmowania decyzji związanych z autoryzacją, zaznacz pole wyboru Oświadczenie adresu e-mail.
-
Jeśli partner zasobów wymaga oświadczeń nazwy pospolitej do podejmowania decyzji związanych z autoryzacją, zaznacz pole wyboru Oświadczenie nazwy pospolitej.
-
Jeśli partner zasobów wymaga oświadczeń głównej nazwy użytkownika, aby podejmować decyzje związane z autoryzacją, zaznacz pole wyboru Oświadczenie głównej nazwy użytkownika.
Jeśli jako oświadczenie tożsamości została wybrana opcja Oświadczenie głównej nazwy użytkownika, na stronie Akceptowane sufiksy głównych nazw użytkownika wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej:
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu kliknij opcję Wszystkie sufiksy głównych nazw użytkownika lub kliknij opcję Tylko sufiksy z następującej listy, wpisz akceptowany sufiks, a następnie kliknij przycisk Dodaj.
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web wpisz akceptowany sufiks w obszarze Dodaj nowy sufiks, a następnie kliknij przycisk Dodaj.
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu kliknij opcję Wszystkie sufiksy głównych nazw użytkownika lub kliknij opcję Tylko sufiksy z następującej listy, wpisz akceptowany sufiks, a następnie kliknij przycisk Dodaj.
Jeśli jako oświadczenie tożsamości została wybrana opcja Oświadczenie adresu e-mail, na stronie Akceptowane sufiksy adresów e-mail wykonaj jedną z następujących czynności, a następnie kliknij przycisk Dalej:
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu kliknij opcję Wszystkie sufiksy adresów e-mail lub kliknij opcję Tylko sufiksy z następującej listy, wpisz akceptowany sufiks, a następnie kliknij przycisk Dodaj.
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web wpisz akceptowany sufiks w obszarze Dodaj nowy sufiks, a następnie kliknij przycisk Dodaj.
-
W przypadku wybrania opcji Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu kliknij opcję Wszystkie sufiksy adresów e-mail lub kliknij opcję Tylko sufiksy z następującej listy, wpisz akceptowany sufiks, a następnie kliknij przycisk Dodaj.
Jeśli nie chcesz w danym momencie włączać partnera konta, na stronie Włączenie tego partnera kont wyczyść pole wyboru Włącz tego partnera kont, a następnie kliknij przycisk Dalej.
Aby dodać nowego partnera kont i zamknąć kreatora, kliknij przycisk Zakończ.
Zmienianie nazwy zaimportowanego partnera kont
Aby zmienić nazwę zaimportowanego partnera kont, należy wykonać poniższą procedurę.
Aby zmienić nazwę zaimportowanego partnera kont |
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Active Directory Federation Services.
W drzewie konsoli kolejno kliknij dwukrotnie węzły Usługa federacyjna, Zasady zaufania, Organizacje partnerów i Partnerzy kont.
Kliknij prawym przyciskiem myszy nazwę partnera kont, a następnie kliknij polecenie Zmień nazwę.
Wpisz nową nazwę partnera kont.