В службах федерации Active Directory учетная запись ресурса - это учетная запись пользователя, хранящаяся в одном лесу (лесу партнера по ресурсам) Active Directory с единственной целью имитации пользовательской учетной записи, которая активно используется (например, сотрудниками организации) и хранится в другом лесу (лесу партнера по учетным записям) Active Directory.

Учетные записи ресурсов должны создаваться в лесу партнера по ресурсам, чтобы сотрудник, чья учетная запись находится в лесу партнера по учетным записям, мог получить доступ через службы федерации Active Directory к веб-приложениям и приложениям, использующим токены Windows NT. Учетные записи ресурсов и группы ресурсов также необходимы для приложений, поддерживающих утверждения.

Веб-ресурс на стороне ресурсов защищается с помощью списков управления доступом, относящихся к учетным записям или группам пользователей в лесу партнера по ресурсам. Администратор должен создать учетные записи ресурсов и добавить в ресурс списки управления доступом для всех учетных записей ресурсов.

Чтобы уменьшить расходы на управление, администратор на стороне ресурсов может настроить одну или несколько групп безопасности, создаваемых в доменных службах Active Directory, которые будут использоваться для сопоставления с входящими утверждениями о группах, поступающими от партнеров по учетным записям. Группа безопасности, сопоставляемая с входящим утверждением о группе, которое используется службами федерации Active Directory, называется группой ресурсов.

Группы ресурсов могут настраиваться с помощью описываемой ниже процедуры.

Настройка группы ресурсов

  1. В оснастке «Active Directory - пользователи и компьютеры» на контроллере домена в лесу партнера по ресурсам создайте новую группу безопасности.

  2. Назначьте соответствующий доступ к этой группе безопасности из веб-ресурса, который защищен службами федерации Active Directory.

  3. В оснастке «Службы федерации Active Directory» создайте новое утверждение о группе и на странице свойств вновь созданного утверждения откройте вкладку Группа ресурсов. Нажмите кнопку , чтобы сопоставить новую группу безопасности в доменных службах Active Directory с новым утверждением о группе. На этом этапе новая группа безопасности упоминается как «группа ресурсов».

  4. В папке Служба федерации\Политика доверия\Партнерские организации\Партнеры по учетным записям\<имя партнера>\ создайте сопоставление нового входящего утверждения о группе для сопоставления нового утверждения о группе и связанной с ним группы ресурсов со всеми входящими утверждениями о группах, поступающими из леса партнера по учетным записям.

При сопоставлении входящего утверждения о группе с группой ресурсов для администратора в лесу партнера по ресурсам больше не требуется создавать учетные записи ресурсов для каждого пользователя в лесу партнера по учетным записям, которому необходим доступ к защищенному службами федерации Active Directory приложению, использующему токены Windows NT.

По умолчанию службы федерации Active Directory настраивают свойства партнера по учетным записям так, чтобы администратор партнера по ресурсам мог сопоставить входящие утверждения о группах с одной или несколькими группами ресурсов. Однако это стандартное поведение системы можно изменить, выбрав один из указанных ниже параметров учетных записей ресурса.

  • Учетные записи ресурса существуют для всех пользователей - указывает, что учетная запись ресурса настроена у партнера по учетным записям для каждого пользователя, которому требуется доступ к ресурсу. В этом случае входящие утверждения о группах не сопоставляются с группами ресурсов, даже если группы ресурсов настроены.

  • Учетные записи ресурса существуют только для некоторых пользователей (предпочтение учетной записи ресурса) - указывает, используются или нет группы ресурсов для некоторых учетных записей пользователей. Это означает, что некоторые пользователи могут иметь индивидуальные учетные записи ресурсов, созданные для них, тогда как параметры других пользователей могут быть настроены для использования групп ресурсов. При выборе данного параметра службы федерации Active Directory сначала ищут учетные записи ресурсов, которые соответствуют утверждениям на имя участника-пользователя и на электронную почту, заданным во входящем токене. Если они найдены, службы федерации Active Directory используют эти учетные записи ресурсов. В противном случае, если токен имеет утверждение о группе, которое сопоставляется с группой ресурсов, службы федерации Active Directory используют группу ресурсов.

  • Учетные записи ресурса существуют только для некоторых пользователей (предпочтение группам в токене) - этот параметр устанавливается по умолчанию. Указывает, что службы федерации Active Directory могут использовать свою логику для определения того, должен ли каждый входящий токен сопоставляться с группой ресурсов или следует искать учетную запись ресурса. При выборе данного параметра службы федерации Active Directory сначала просматривают токен на наличие входящих утверждений о группах, которые могут сопоставляться с группой ресурсов. Если они найдены, службы федерации Active Directory используют группу ресурсов. Если такого входящего утверждения о группе не существует, службы федерации Active Directory ищут для использования учетную запись ресурса.

  • Для данного партнера по учетным записям не существует учетных записей ресурса - указывает, что для всех пользователей у данного партнера по учетным записям будет использоваться одна или несколько групп ресурсов. Это означает, что каждый токен, выданный от этого партнера по учетным записям, должен содержать одно или несколько утверждений о группах, которые сопоставляются с одной или несколькими группами ресурсов в лесу партнера по ресурсам.

Содержание