可以使用 Active Directory 联合身份验证服务 (AD FS) 在建立联合身份验证信任关系的伙伴组织之间进行安全有效的联机交易。也就是说,联合身份验证信任是两个组织之间的商业级协议或伙伴关系的具体表现。
如下图所示,如果两个组织均至少部署了一个 AD FS 联合服务器并正确配置了其联合身份验证服务设置,则可以在两个伙伴组织之间建立联合身份验证信任关系。与 Windows 信任的方向类似,单向箭头表明信任的方向为始终指向林的帐户端。这意味着身份验证从帐户伙伴组织流向资源伙伴组织。
注意 | |
与需要在两个或多个域之间有一个持续连接的安全通道才能起作用的 Windows 信任不同,联合身份验证信任不需要此通道,因为在建立联合身份验证信任时,在网络上帐户联合身份验证服务和资源联合身份验证服务之间未发生直接的通信。 |
创建联合身份验证信任之后,帐户伙伴组织中的用户可以通过联合身份验证信任成功地将身份验证请求发送到资源伙伴组织中启用 AD FS 的 Web 服务器。如果帐户伙伴组织和资源伙伴组织均安装了 AD FS 的联合身份验证服务组件并均使用 Active Directory 联合身份验证服务管理单元以正确配置帐户伙伴和资源伙伴,则将创建联合身份验证信任。
如果未配置联合身份验证信任的一端(帐户伙伴或资源伙伴),或管理员对任一组织的配置不正确,联合身份验证信任将无法成功创建。有关如何创建联合身份验证信任的详细信息,请参阅 Active Directory 联合身份验证服务主页 (
注意 | |
AD FS Web 单一登录 (SSO) 设计中不使用联合身份验证信任。有关 Web SSO 设计的详细信息,请参阅了解联合身份验证设计。 |