Службы федерации Active Directory (AD FS) можно использовать для формирования эффективных и защищенных сетевых транзакций между партнерскими организациями, которые связаны отношениями федеративного доверия. Иными словами, доверие федерации - воплощение соглашения или взаимодействия делового уровня между двумя организациями.
Как показано на следующем рисунке, отношения федеративного доверия между двумя организациями-партнерами можно установить, если в обеих этих организациях развернут, по крайней мере, один сервер федерации AD FS и правильно настроены параметры службы федерации. Однонаправленная стрелка показывает направление доверия, которое, как и направление доверия Windows, всегда указывает в сторону учетной записи леса. Это означает, что поток проверки подлинности направлен от организации партнера по учетным записям к организации партнера по ресурсам.
Примечание | |
В отличие от доверия Windows, для работы которого требуется постоянно подключенный безопасный канал между двумя или более доменами, для федеративных доверительных отношений этот канал не нужен, поскольку, когда устанавливается доверие федерации, между службой федерации учетных записей и службой федерации ресурсов не происходит прямого взаимодействия по сети. |
После создания отношения доверия федерации пользователи, которые расположены в организации партнера по учетным записям, могут успешно отправлять запросы проверки подлинности, используя доверие федерации, на веб-сервер, поддерживающий службы федерации Active Directory (AD FS), организации партнера по ресурсам. Федеративное доверительное отношение создается, когда и организация партнера по учетным записям, и организация партнера по ресурсам устанавливают компонент AD FS «Служба федерации» и обе используют оснастку «Служба федерации Active Directory» для соответствующей настройки партнера по учетным записям и партнера по ресурсам.
Если одна из сторон доверия федерации (партнер по учетным записям или партнер по ресурсам) не настроена или неправильно настроена администратором любой из организаций, доверие федерации не создается. Подробные сведения о создании федеративных доверительных отношений см. в описании пошаговых инструкций по развертыванию AD FS, приводимом на домашней странице служб федерации Active Directory (
Примечание | |
Федеративные доверительные отношения не используются в проекте единого веб-входа (Single-Sign-On, SSO) в AD FS. Дополнительные сведения о проекте веб-службы SSO см. в разделе Общее представление о схемах федерации. |