Du kan använda Active Directory Federation Services (AD FS) för att möjliggöra effektiva och säkra onlinetransaktioner mellan partnerorganisationer som har ingått federationsförtroenden. Ett federationsförtroende är med andra ord resultatet av en affärsuppgörelse eller ett partnerskap mellan två organisationer.

Som framgår av följande illustration kan du upprätta federationsförtroenden mellan två partnerorganisationer om båda organisationerna distribuerar minst en AD FS-federationsserver och deras inställningar av federationstjänsten är korrekt konfigurerade. Den enkelriktade pilen anger förtroendets riktning, som i fråga om Windows-förtroenden alltid pekar mot skogens kontosida. Det innebär att autentisering går från kontopartnerorganisationen till resurspartnerorganisationen.

Federationsförtroende som kopplar samman partnerorganisationer
OBS

Till skillnad från Windows-förtroenden, vilka kräver en konstant ansluten säker kanal mellan två eller fler domäner för att fungera, kräver inte federationsförtroenden en sådan kanal. Detta eftersom det inte förekommer någon direkt kommunikation på nätverket mellan kontofederationstjänsten och resursfederationstjänsten när federationsförtroendet upprättas.

När du har skapat federationsförtroendet kan användare i kontopartnerns organisationen skicka autentiseringsbegäranden via federationsförtroendet till den AD FS-aktiverade webbservern i resurspartnerns organisation. Ett federationsförtroende skapas när kontopartnerns och resurspartnerns organisation båda installerar federationstjänstkomponenten i AD FS och båda konfigurerar kontopartnern och resurspartnern korrekt med hjälp av snapin-modulen Active Directory Federation Services (AD FS).

Om en sida av ett federationsförtroende (kontopartnern eller resurspartnern) inte konfigureras eller konfigureras felaktigt av administratören i någon av organisationerna går det inte att skapa federationsförtroendet. Utförligare information om hur du skapar federationsförtroenden finns i avsnitten med steg-för-steg-förklaringar och distribution av AD FS på webbplatsen för Active Directory Federation Services (https://go.microsoft.com/fwlink/?LinkId=91867). Sidan kan vara på engelska.

OBS

Federationsförtroenden används inte i designen för enkel inloggning (SSO, Single-Sign-On) i AD FS på webben. Mer information om designen för enkel inloggning på webben finns i Så här fungerar federationsdesigner.

Innehåll