Active Directory Federasyon Hizmetleri'nde (AD FS), kaynak hesabı, örneğin bir çalışan tarafından etkin olarak kullanılan ve başka bir Active Directory ormanında (hesap ortağı ormanı) depolanan bir kullanıcı hesabının özelliklerini alması amacıyla Active Directory ormanında (kaynak ortağı ormanı) depolanan kullanıcı hesabıdır.

Kullanıcı hesabı hesap ortağı ormanında bulunan çalışan tarafından, AD FS aracılığıyla Web tabanlı, Windows NT belirteci tabanlı uygulamalara erişilebilmesi için, kaynak hesapları kaynak ortağı ormanında oluşturulmalıdır. Kaynak hesapları ve kaynak grupları talep kullanan uygulamalar için de gereklidir.

Kaynak tarafındaki Web kaynağı, kaynak ortağı ormanındaki kullanıcı hesaplarının veya grupların erişim denetim listeleriyle (ACL) korunur. Yöneticinin kaynak hesaplarını oluşturması ve herhangi bir kaynak hesabının ACL'lerini kaynağa eklemesi gerekir.

Kaynak tarafı yöneticisi, yönetim yükünü azaltmak amacıyla, hesap ortaklarından gelen grup taleplerine eşlemek için kullanılmak üzere, Active Directory Etki Alanı Hizmetleri'nde (AD DS) oluşturulan bir veya daha çok güvenlik grubunu yapılandırabilir. AD FS tarafından kullanılan bir gelen grup talebine eşlenen güvenlik grubuna kaynak grubu denir.

Kaynak gruplarını yapılandırmak için aşağıdaki yordamı kullanabilirsiniz.

Kaynak grubu yapılandırmak için
  1. Kaynak ortağı ormanındaki bir etki alanı denetleyicisinde bulunan Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninde yeni bir güvenlik grubu oluşturun.

  2. Bu güvenlik grubuna, AD FS tarafından korunan Web kaynağından uygun erişimi atayın.

  3. Active Directory Federasyon Hizmetleri ek bileşeninde yeni bir grup talebi oluşturun ve yeni oluşturulan talebin özellikler sayfasında Kaynak Grubu sekmesini tıklatın. AD DS'deki yeni güvenlik grubunu yeni grup talebine eşlemek için düğmesini tıklatın. Bu noktada, yeni güvenlik grubu "kaynak grubu" olarak adlandırılır.

  4. Federasyon Hizmeti\Güven İlkesi\Ortak Kuruluşları\Hesap Ortakları\<hesaportağıadı>\ altında, yeni grup talebini ve ilişkili kaynak grubunu, hesap ortağı ormanından gelen grup taleplerine eşlemek için yeni bir gelen grup talebi eşlemesi oluşturun.

Gelen grup talebini bir kaynak grubuna eşlediğinizde, kaynak ortağı ormanındaki yöneticinin, artık AD FS tarafından korunan Windows NT belirteci tabanlı uygulamaya erişmesi gereken hesap ortağı ormanındaki her kullanıcı için bir kaynak hesabı oluşturması gerekmez.

Varsayılan olarak, AD FS, kaynak ortağı yöneticisinin gelen grup taleplerini bir veya daha çok kaynak grubuna eşleyebilmesi için hesap ortağı özelliklerini yapılandırır. Ancak, aşağıdaki kaynak hesabı seçeneklerinden birini seçerek bu varsayılan davranışı değiştirebilirsiniz:

  • Tüm kullanıcılar için kaynak hesapları var-Kaynak hesabının, kaynağa erişmesi gereken hesap ortağından tüm kullanıcılar için yapılandırıldığını belirtir. Bu durumda, gelen grup talepleri, kaynak grupları yapılandırılsa bile kaynak gruplarına eşlenmez.

  • Bazı kullanıcılar için kaynak hesapları var (kaynak hesabını tercih et)-Bazı kullanıcı hesapları için kaynak gruplarının kullanılması gerekip gerekmediğini belirtir. Bu, bazı kullanıcılar için ayrı kaynak hesapları oluşturulmuşken, diğer kullanıcıların kaynak gruplarını kullanmak üzere yapılandırılmış olabileceği anlamına gelir. Bu seçenek belirlendiğinde, AD FS öncelikle, gelen belirteçte belirtilen UPN/E-posta talebiyle eşleşen kaynak hesaplarını arar. Söz konusu kaynak hesapları bulunursa, AD FS bu hesapları kullanır. Bulunmazsa, belirteçte kaynak grubuna eşlenen bir grup talebi varsa, kaynak grubunu kullanır.

  • Bazı kullanıcılar için kaynak hesapları var (belirteçteki grupları tercih et)-Varsayılan ayardır. AD FS'nin, her gelen belirtecin bir kaynak grubuna eşlenmesi gerekip gerekmediğini veya bir kaynak hesabı araması gerekip gerekmediğini belirlemek üzere, kendi mantığını kullanabileceğini belirtir. Bu seçenek belirlendiğinde, AD FS, kaynak grubuna eşlenebilen gelen grup talepleri için önce belirtece bakar. Bulunurlarsa, AD FS kaynak grubunu kullanır. Bu türde bir gelen grup talebi yoksa, AD FS, kullanmak üzere bir kaynak hesabı arar.

  • Bu hesap ortağı için hiç kaynak hesabı yok-Bu hesap ortağındaki tüm kullanıcılar için bir veya daha çok kaynak grubu kullanılacağını belirtir. Bu, bu hesap ortağından verilen her belirtecin, kaynak ortağı ormanındaki bir veya daha çok kaynak grubuna eşlenen bir veya daha çok grup talebi içermesi gerektiğini gösterir.


İçindekiler