Use o Assistente para Adicionar Parceiro de Conta para adicionar um novo parceiro de conta manualmente ou importando um arquivo de diretiva. Esta ação permite que as contas de usuário no parceiro de conta acessem aplicativos da Web protegidos por esse Serviço de Federação. Para aprender mais sobre a funcionalidade aprimorada de importação nesta versão dos Serviços de Federação do Active Directory (AD FS), veja as novidades do AD FS em Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684) .

A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir estes procedimentos. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477 (a página pode estar em inglês).

Adicionando um parceiro de conta manualmente

Siga este procedimento para adicionar um parceiro de conta manualmente.

Para adicionar um parceiro de conta manualmente

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços de Federação do Active Directory.

  2. Na árvore de console, clique duas vezes em Serviço de Federação, Diretiva de Confiança e Organizações de Parceiros.

  3. Clique com o botão direito do mouse em Parceiros de Conta, aponte para Novo e clique em Parceiro de Conta.

  4. Na página Bem-vindo ao Assistente para Adicionar Parceiro de Conta, clique em Avançar.

  5. Na página Importar Arquivo de Diretiva, clique em Não e em Avançar.

  6. Na página Detalhes de Parceiro de Conta, siga este procedimento e clique em Avançar.

    • Em Nome para exibição, digite o nome do parceiro de conta.

    • Em URI de Serviço de Federação, digite o URI do Serviço de Federação.

    • Em URL de ponto de extremidade de Serviço de Federação, digite a URL de Serviço de Federação.

  7. Na página Certificado de Verificação de Parceiro de Conta, digite o caminho para o certificado de verificação ou procure-o e clique em Avançar.

  8. Na página Cenário de Federação, siga um destes procedimentos e clique em Avançar:

    • Se você estiver estabelecendo uma confiança federada com outra organização ou não quiser usar uma confiança de floresta existente, clique em SSO da Web Federado e vá para a etapa 10.

    • Se você estiver estabelecendo uma confiança federada dentro da mesma organização quando os dois lados já compartilharem uma confiança de floresta, clique em SSO da Web Federado com Confiança de Floresta.

  9. Na página SSO da Web Federado com Confiança de Floresta, siga um destes procedimentos e clique em Avançar:

    • Para aceitar os usuários em todos os domínios de confiança do parceiro de conta, clique em Todos os domínios e florestas do AD DS. Todos os usuários capazes de realizar autenticação no parceiro de conta serão aceitos.

    • Para aceitar contas de usuário localizadas em alguns dos domínios de confiança do parceiro de conta, clique em Os seguintes domínios e florestas do AD DS. Depois, em Novo domínio ou floresta de confiança do AD DS, digite o nome de um domínio ou floresta e clique em Adicionar. Somente os usuários dos domínios especificados serão aceitos.

  10. Na página Declarações de Identidade de Parceiro de Conta, selecione uma ou mais declarações de identidade para compartilhar com o parceiro de recurso e clique em Avançar:

    • Se o parceiro de recurso exigir declarações UPN para tomar decisões de autorização, marque a caixa de seleção Declaração de UPN.

    Importante

    Quando as declarações de UPN ou email são usadas para tomar decisões de autorização, é essencial que cada parceiro de conta tenha um sufixo UPN ou de email exclusivo. Se dois parceiros de conta tiverem o mesmo sufixo de UPN ou email, não será possível identificar os usuários exclusivamente. Essa condição pode resultar em um usuário de um parceiro de conta recebendo as permissões destinadas a um usuário em outro parceiro de conta. Também pode apresentar uma falha de segurança significativa porque um administrador pode criar intencionalmente as contas de usuário para representar usuários de um de seus parceiros de conta.

    Observação

    Caso você tenha selecionado o cenário SSO da Web Federado com Confiança de Floresta, a opção Declaração de UPN estará selecionada e não poderá ser configurada. Isso ocorre porque as declarações UPN são necessárias para esse cenário.

    • Se o parceiro de recurso exigir declarações de email para tomar decisões de autorização, marque a caixa de seleção Declaração de Email.

    • Se o parceiro de recurso exigir declarações de nome comum para tomar decisões de autorização, marque a caixa de seleção Declaração de Nome Comum.

  11. Se você selecionou Declaração de UPN como declaração de identidade, na página Sufixos UPN Aceitos, siga um destes procedimentos e clique em Avançar:

    • Se você tiver selecionado a opção SSO da Web Federado com Confiança de Floresta, clique em Todos os sufixos UPN ou em Somente sufixos da seguinte lista, digite o sufixo aceito e clique em Adicionar.

    • Se você tiver selecionado a opção SSO da Web Federado, em Adicionar um novo sufixo, digite o sufixo aceito e clique em Adicionar.

  12. Se você selecionou Declaração de Email como declaração de identidade, na página Sufixos de Email Aceitos, siga um destes procedimentos e clique em Avançar:

    • Se você tiver selecionado a opção SSO da Web Federado com Confiança de Floresta, clique em Todos os sufixos de Email ou em Somente sufixos da seguinte lista, digite o sufixo aceito e clique em Adicionar.

    • Se você tiver selecionado a opção SSO da Web Federado, em Adicionar um novo sufixo, digite o sufixo aceito e clique em Adicionar.

    Observação

    As declarações de nome comuns não requerem informações adicionais.

  13. Na página Habilitar este Parceiro de Conta, se você não quiser habilitar o parceiro de conta agora, desmarque a caixa de seleção Habilitar este parceiro de conta e clique em Avançar.

  14. Para adicionar o novo parceiro de conta e fechar o assistente, clique em Concluir.

Adicionando um parceiro de conta importando um arquivo de diretiva

Siga este procedimento para adicionar um parceiro de conta importando um arquivo de diretiva.

Para adicionar um parceiro de conta importando um arquivo de diretiva

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços de Federação do Active Directory.

  2. Na árvore de console, clique duas vezes em Serviço de Federação, Diretiva de Confiança e Organizações de Parceiros.

  3. Clique com o botão direito do mouse em Parceiros de Conta, aponte para Novo e clique em Parceiro de Conta.

  4. Na página Bem-vindo ao Assistente para Adicionar Parceiro de Conta, clique em Avançar.

  5. Na página Importar Arquivo de Diretiva, siga este procedimento e clique em Avançar:

    • Clique em Sim.

    • Em Arquivo de diretiva de interoperabilidade de parceiro, procure ou digite o local do arquivo de diretiva de parceiro de conta.

  6. Na página Detalhes de Parceiro de Conta, em Nome para exibição, digite o nome para exibição do parceiro de conta, verifique se as configurações adicionais do parceiro importado estão corretas e clique em Avançar.

  7. Na página Certificado de Verificação de Parceiro de Conta, siga um destes procedimentos e clique em Avançar:

    • Clique em Usar o certificado de verificação no arquivo de diretiva de importação.

    • Clique em Usar um certificado de verificação diferente e digite o local do certificado ou clique em Procurar.

  8. Na página Cenário de Federação, siga um destes procedimentos e clique em Avançar:

    • Se você estiver estabelecendo uma relação de confiança federada com outra organização ou não quiser usar uma relação de confiança da floresta existente, clique em SSO da Web Federado e vá para a etapa 10.

    • Se você estiver estabelecendo uma relação de confiança federada dentro da mesma organização quando os dois lados já compartilharem uma relação de confiança da floresta, clique em SSO da Web Federado com Confiança de Floresta.

  9. Na página SSO da Web Federado com Confiança de Floresta, siga um destes procedimentos e clique em Avançar:

    • Para aceitar os usuários em todos os domínios de confiança do parceiro de conta, clique em Todos os domínios e florestas do AD DS. Todos os usuários capazes de realizar autenticação no parceiro de conta serão aceitos.

    • Para aceitar contas de usuário localizadas em alguns dos domínios de confiança do parceiro de conta, clique em Os seguintes domínios e florestas do AD DS. Depois, em Novo domínio ou floresta de confiança do AD DS, digite o nome do domínio ou da floresta e clique em Adicionar. Somente os usuários dos domínios especificados serão aceitos.

  10. Na página Declarações de Identidade de Parceiro de Conta, selecione uma ou mais declarações de identidade que este parceiro fornecerá e clique em Avançar:

    • Se o parceiro de recurso exigir declarações UPN para tomar decisões de autorização, marque a caixa de seleção Declaração de UPN.

    Importante

    Quando as declarações UPN ou de email são usadas para tomar decisões de autorização, é essencial que cada parceiro de conta tenha um sufixo exclusivo de UPN ou de email. Se dois parceiros de conta tiverem o mesmo sufixo UPN ou de email, não será possível identificar os usuários exclusivamente. Essa condição pode resultar em um usuário de um parceiro de conta recebendo as permissões destinadas a um usuário em outro parceiro de conta. Essa condição também pode apresentar uma falha de segurança significativa, porque um administrador pode criar intencionalmente as contas de usuário para representar usuários de um dos seus outros parceiros de conta.

    Observação

    Caso você tenha selecionado o cenário SSO da Web Federado com Confiança de Floresta, a opção Declaração de UPN estará selecionada e não poderá ser configurada. Isso ocorre porque as declarações UPN são necessárias para esse cenário.

    • Se o parceiro de recurso exigir declarações de email para tomar decisões de autorização, marque a caixa de seleção Declaração de Email.

    • Se o parceiro de recurso exigir declarações de nome comum para tomar decisões de autorização, marque a caixa de seleção Declaração de Nome Comum.

  11. Se você selecionou Declaração de UPN como declaração de identidade, na página Sufixos UPN Aceitos, siga um destes procedimentos e clique em Avançar:

    • Se você tiver selecionado a opção SSO da Web Federado com Confiança de Floresta, clique em Todos os sufixos UPN ou em Somente sufixos da seguinte lista, digite o sufixo aceito e clique em Adicionar.

    • Se você tiver selecionado a opção SSO da Web Federado, em Adicionar um novo sufixo, digite o sufixo aceito e clique em Adicionar.

  12. Se você selecionou Declaração de Email como declaração de identidade, na página Sufixos de Email Aceitos, siga um destes procedimentos e clique em Avançar:

    • Se você tiver selecionado a opção SSO da Web Federado com Confiança de Floresta, clique em Todos os sufixos de Email ou em Somente sufixos da seguinte lista, digite o sufixo aceito e clique em Adicionar.

    • Se você tiver selecionado a opção SSO da Web Federado, em Adicionar um novo sufixo, digite o sufixo aceito e clique em Adicionar.

  13. Na página Habilitar este Parceiro de Conta, se você não quiser habilitar o parceiro de conta agora, desmarque a caixa de seleção Habilitar este parceiro de conta e clique em Avançar.

  14. Para adicionar o novo parceiro de conta e fechar o assistente, clique em Concluir.

Renomeando um parceiro de conta importado

Siga este procedimento para renomear um parceiro de conta importado.

Para renomear um parceiro de conta importado

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços de Federação do Active Directory.

  2. Na árvore de console, clique duas vezes em Serviço de Federação, Diretiva de Confiança e Organizações de Parceiros e Parceiros de Conta.

  3. Clique com o botão direito do mouse no parceiro de conta e clique em Renomear.

  4. Digite um novo nome para o parceiro de conta.

Sumário