I AD FS (Active Directory Federation Services) är ett resurskonto ett användarkonto som lagras i en Active Directory-skog (resurspartnerskogen) enbart med syftet att personifiera ett användarkonto som används aktivt av t.ex. en anställd och lagras i en annan Active Directory-skog (kontopartnerskogen).
Resurskonton måste skapas i resurspartnerskogen så att den anställde, vars användarkonto finns i kontopartnerskogen, kan komma åt webbaserade Windows NT-tokenbaserade program via AD FS. Resurskonton och resursgrupper behövs också för anspråksmedvetna program.
Webbresursen på resurssidan skyddas med åtkomstkontrollistor för användarkonton eller grupper i resurspartnerskogen. Administratören måste skapa resurskontona och lägga till åtkomstkontrollistor för varje resurskonto till resursen.
I syfte att minska administrativa omkostnader kan administratören på resurssidan konfigurera minst en säkerhetsgrupp, vilket görs i AD DS (Active Directory Domain Services), som ska användas för att mappa till inkommande gruppanspråk från deras kontopartners. En säkerhetsgrupp som har mappats till ett inkommande gruppanspråk som används av AD FS kallas en resursgrupp.
Med följande procedur konfigurerar du resursgrupper.
Så här konfigurerar du en resursgrupp |
Skapa en ny säkerhetsgrupp på en domänkontrollant i resurspartnerskogen i snapin-modulen Active Directory - användare och datorer.
Tilldela säkerhetsgruppen korrekt åtkomst från den webbresurs som skyddas av AD FS.
I snapin-modulen AD FS (Active Directory Federation Services) skapar du ett nytt gruppanspråk och på den nyskapade sidan för anspråksegenskaper klickar du på fliken Resursgrupp. Klicka på knappen … för att mappa den nya säkerhetsgruppen i AD DS till det nya gruppanspråket. Nu kallas den nya säkerhetsgruppen för en resursgrupp.
Under Federation Service\Trust Policy\Partner Organizations\Account Partners\<kontopartnernamn>\ skapar du en ny inkommande gruppanspråksmappning för att mappa det nya gruppanspråket och dess associerade resursgrupp till varje inkommande gruppanspråk som kommer från kontopartnerskogen.
När du mappar ett inkommande gruppanspråk till en resursgrupp behöver inte längre en administratör i resurspartnerskogen skapa ett resurskonto för varje användare i kontopartnerskogen som behöver åtkomst till det Windows NT-token–baserade program som skyddas av AD FS.
Som standard konfigurerar AD FS kontopartneregenskaper så att en resurspartneradministratör kan mappa inkommande gruppanspråk till minst en resursgrupp. Du kan emellertid ändra detta standardbeteende genom att välja ett av följande resurskontoalternativ:
-
Resurskonton finns för alla användare – Anger att ett resurskonto är konfigurerat för alla användare från den kontopartner som behöver åtkomst till resursen. I det här fallet mappas inte inkommande gruppanspråk till resursgrupper även om resursgrupperna är konfigurerade.
-
Resurskonton finns för vissa användare (föredra resurskonto) - Anger om resursgrupperna ska användas för vissa användarkonton eller ej. Det innebär att vissa användare kan få individuella resurskonton skapade medan andra kan ha konfigurerats att använda resursgrupper. När det här alternativet väljs söker AD FS först efter resurskonton som motsvarar UPN-/e-postanspråket som har angetts i den inkommande token. AD FS använder de här resurskontona om de hittas. Om token har ett gruppanspråk som är mappat till en resursgrupp använder AD FS istället resursgruppen.
-
Resurskonton finns för vissa användare (föredra grupper i token) - Det här är standardinställningen. Anger att AD FS kan använda sin logik för att avgöra om varje inkommande token bör mappas till en resursgrupp eller om det bör söka efter ett resurskonto. När det här alternativet väljs söker AD FS först i token för inkommande gruppanspråk som kan mappas till en resursgrupp. Om de hittas använder AD FS resursgruppen. Om det inte finns något sådant gruppanspråk söker AD FS efter ett resurskonto att använda.
-
Det finns inga resurskonton för denna kontopartner – Anger att minst en resursgrupp används för alla användare i den här kontopartnern. Detta innebär att varje token som utfärdas av den här kontopartnern måste innehålla minst ett gruppanspråk som mappar till minst en resursgrupp i resurspartnerskogen.