可以使用添加帐户伙伴向导手动添加新帐户伙伴或通过导入策略文件添加新帐户伙伴。此操作使帐户伙伴中的用户帐户能够访问受此联合身份验证服务保护的 Web 应用程序。若要了解有关在此版本的 Active Directory 联合身份验证服务 (AD FS) 中改进的导入功能的详细信息,请参阅“Windows Server 2008 中 AD FS 的新增功能”(https://go.microsoft.com/fwlink/?LinkId=85684)(可能为英文网页)。

Administrators 本地组中的成员身份或等效身份是完成这些过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=83477(可能为英文链接)。

手动添加帐户伙伴

可以使用以下步骤手动添加帐户伙伴。

手动添加帐户伙伴的步骤
  1. 单击“开始”,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”

  2. 在控制台树中,双击“联合身份验证服务”“信任策略”“伙伴组织”

  3. 右键单击“帐户伙伴”,指向“新建”,然后单击“帐户伙伴”

  4. “欢迎使用添加帐户伙伴向导”页上,单击“下一步”

  5. “导入策略文件”页上,单击“否”,然后单击“下一步”

  6. “帐户伙伴详细信息”页上,执行下列操作,然后单击“下一步”

    • “显示名称”中,键入帐户伙伴的显示名称。

    • “联合身份验证服务 URI”中,键入联合身份验证服务的统一资源标识符 (URI)。

    • “联合身份验证服务终点 URL”中,键入联合身份验证服务的统一资源定位器 (URL)。

  7. “帐户伙伴验证证书”页上,键入验证证书的路径或浏览到该验证证书,然后单击“下一步”

  8. “联合身份验证方案”页上,执行以下任一操作,然后单击“下一步”

    • 如果要与另一个组织建立联合信任或不希望使用现有的林信任,单击“联合 Web SSO”,然后转到第 10 步。

    • 如果两端已共享林信任,您要在同一个组织内建立联合信任,单击“具有林信任的联合 Web SSO”

  9. “具有林信任的联合 Web SSO”页上,执行以下任一操作,然后单击“下一步”

    • 若要接受帐户伙伴信任的所有域中的用户,单击“所有 AD DS 域和林”。将接受任何可以通过帐户伙伴进行身份验证的用户。

    • 若要接受位于帐户伙伴信任的某些域中的用户帐户,单击“下列 AD DS 域和林”。然后,在“新建受信任 AD DS 域或林”中键入域或林的名称,然后单击“添加”。只接受指定域中的用户。

  10. “帐户伙伴标识声明”页上,选择要与资源伙伴共享的一个或多个标识声明,然后单击“下一步”

    • 如果资源伙伴需要用户主体名称 (UPN) 声明才能做出授权决定,选中“UPN 声明”复选框。

    重要

    使用 UPN 声明或电子邮件声明做出授权决定时,每个帐户伙伴必须有一个唯一的 UPN 后缀或电子邮件后缀。如果两个帐户伙伴具有相同的 UPN 后缀或电子邮件后缀,可能无法唯一标识用户。在这种情况下,可能会导致一个帐户伙伴中的用户获得供另一个帐户伙伴中的用户使用的权限。这种情况还可能会导致明显的安全弱点,因为管理员可能会有意创建用户帐户来模拟某个其他帐户伙伴中的用户。

    注意

    如果已选择“具有林信任的联合 Web SSO”方案,将选择“UPN 声明”选项,并且不可配置。这是因为此方案需要 UPN 声明。

    • 如果资源伙伴需要电子邮件声明才能做出授权决定,选中“电子邮件声明”复选框。

    • 如果资源伙伴需要公用名声明才能做出授权决定,选中“公用名声明”复选框。

  11. 如果已选择“UPN 声明”作为标识声明,在“接受的 UPN 后缀”页上,执行以下任一操作,然后单击“下一步”

    • 如果已选择“具有林信任的联合 Web SSO”选项,请单击“所有 UPN 后缀”或单击“仅下表中的后缀”,键入接受的后缀,然后单击“添加”

    • 如果已选择“联合 Web SSO”选项,请在“添加新后缀”下,键入接受的后缀,然后单击“添加”

  12. 如果已选择“电子邮件声明”作为标识声明,在“接受的电子邮件后缀”页上,执行以下任一操作,然后单击“下一步”

    • 如果已选择“具有林信任的联合 Web SSO”选项,请单击“所有电子邮件后缀”或单击“仅下表中的后缀”,键入接受的后缀,然后单击“添加”

    • 如果已选择“联合 Web SSO”选项,请在“添加新后缀”下,键入接受的后缀,然后单击“添加”

    注意

    公用名声明不需要任何其他信息。

  13. “启用此帐户伙伴”页上,如果不希望立即启用该帐户伙伴,清除“启用此帐户伙伴”复选框,然后单击“下一步”

  14. 若要添加新的帐户伙伴并关闭该向导,单击“完成”

通过导入策略文件添加帐户伙伴

可以使用以下步骤通过导入策略文件添加帐户伙伴。

通过导入策略文件添加帐户伙伴的步骤
  1. 单击“开始”,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”

  2. 在控制台树中,双击“联合身份验证服务”“信任策略”“伙伴组织”

  3. 右键单击“帐户伙伴”,指向“新建”,然后单击“帐户伙伴”

  4. “欢迎使用添加帐户伙伴向导”页上,单击“下一步”

  5. “导入策略文件”页上,执行下列操作,然后单击“下一步”

    • 单击“是”

    • “伙伴互操作策略文件”中,浏览到或键入帐户伙伴策略文件的位置。

  6. “帐户伙伴详细信息”页上,在“显示名称”下,键入帐户伙伴的显示名称,验证其他导入的伙伴设置是否正确,然后单击“下一步”

  7. “帐户伙伴验证证书”页上,执行下列操作之一,然后单击“下一步”

    • 单击“在导入策略文件中使用验证证书”

    • 单击“使用其他验证证书”,然后键入证书的位置或单击“浏览”

  8. “联合身份验证方案”页上,执行以下任一操作,然后单击“下一步”

    • 如果要与另一个组织建立联合信任或不希望使用现有的林信任,单击“联合 Web SSO”,然后转到第 10 步。

    • 如果两端已共享林信任,您要在同一个组织内建立联合信任,单击“具有林信任的联合 Web SSO”

  9. “带林信任的联合身份验证 Web SSO”页上,执行以下任一操作,然后单击“下一步”

    • 若要接受帐户伙伴信任的所有域中的用户,单击“所有 AD DS 域和林”。将接受任何可以通过帐户伙伴进行身份验证的用户。

    • 若要接受位于帐户伙伴信任的某些域中的用户帐户,单击“下列 AD DS 域和林”。然后,在“新建受信任 AD DS 域或林”中键入域或林的名称,然后单击“添加”。只接受指定域中的用户。

  10. “帐户伙伴标识声明”页上,选择此伙伴将提供的一个或多个标识声明,然后单击“下一步”

    • 如果资源伙伴需要 UPN 声明才能做出授权决定,选中“UPN 声明”复选框。

    重要

    使用 UPN 声明或电子邮件声明做出授权决定时,每个帐户伙伴必须有一个唯一的 UPN 后缀或电子邮件后缀。如果两个帐户伙伴具有相同的 UPN 后缀或电子邮件后缀,可能无法唯一标识用户。在这种情况下,可能会导致一个帐户伙伴中的用户获得供另一个帐户伙伴中的用户使用的权限。这种情况还可能会导致明显的安全弱点,因为管理员可能会有意创建用户帐户来模拟某个其他帐户伙伴中的用户。

    注意

    如果已选择“具有林信任的联合 Web SSO”方案,将选择“UPN 声明”选项,并且不可配置。这是因为此方案需要 UPN 声明。

    • 如果资源伙伴需要电子邮件声明才能做出授权决定,选中“电子邮件声明”复选框。

    • 如果资源伙伴需要公用名声明才能做出授权决定,选中“公用名声明”复选框。

  11. 如果已选择“UPN 声明”作为标识声明,在“接受的 UPN 后缀”页上,执行以下任一操作,然后单击“下一步”

    • 如果已选择“具有林信任的联合 Web SSO”选项,请单击“所有 UPN 后缀”或单击“仅下表中的后缀”,键入接受的后缀,然后单击“添加”

    • 如果已选择“联合 Web SSO”选项,请在“添加新后缀”下,键入接受的后缀,然后单击“添加”

  12. 如果已选择“电子邮件声明”作为标识声明,在“接受的电子邮件后缀”页上,执行以下任一操作,然后单击“下一步”

    • 如果已选择“具有林信任的联合 Web SSO”选项,请单击“所有电子邮件后缀”或单击“仅下表中的后缀”,键入接受的后缀,然后单击“添加”

    • 如果已选择“联合 Web SSO”选项,请在“添加新后缀”下,键入接受的后缀,然后单击“添加”

  13. “启用此帐户伙伴”页上,如果不希望立即启用该帐户伙伴,清除“启用此帐户伙伴”复选框,然后单击“下一步”

  14. 若要添加新的帐户伙伴并关闭该向导,单击“完成”

重命名导入的帐户伙伴

可以使用以下步骤重命名导入的帐户伙伴。

重命名导入的帐户伙伴的步骤
  1. 单击“开始”,指向“管理工具”,然后单击“Active Directory 联合身份验证服务”

  2. 在控制台树中,双击“联合身份验证服务”“信任策略”“伙伴组织”“帐户伙伴”

  3. 右键单击该帐户伙伴,然后单击“重命名”

  4. 键入帐户伙伴的新名称。


目录