在 Active Directory 联合身份验证服务 (AD FS) 中,资源帐户是存储在一个 Active Directory 林(资源伙伴林)中的用户帐户,其唯一目的在于模拟供员工主动使用并存储在另一个 Active Directory 林(帐户伙伴林)中的用户帐户。
必须在资源伙伴林中创建资源帐户,以便其用户帐户位于帐户伙伴林中的员工可以通过 AD FS 访问基于 Web 的、基于 Windows NT 令牌的应用程序。资源帐户和资源组对于声明感知应用程序也是必需的。
使用资源伙伴林的用户帐户或组的访问控制列表 (ACL),对资源端的 Web 资源进行保护。管理员必须创建资源帐户,并将任何资源帐户的 ACL 添加到资源中。
若要减少管理开销,资源端管理员可以配置一个或多个安全组 [在 Active Directory 域服务 (AD DS) 中创建],用于从其帐户伙伴映射到传入组声明。映射到 AD FS 使用的传入组声明的安全组称为资源组。
可以使用以下步骤配置资源组。
配置资源组的步骤 |
在资源伙伴林的域控制器上的“Active Directory 用户和计算机”管理单元中,创建一个新的安全组。
指定从受 AD FS 保护的 Web 资源访问此安全组的相应权限。
在 Active Directory 联合身份验证服务管理单元中创建一个新的组声明,然后在新创建的声明的属性页中,单击“资源组”选项卡。单击 … 按钮可以将 AD DS 中的新安全组映射到新的组声明。此时,新安全组称为“资源组”。
在“联合身份验证服务\信任策略\伙伴组织\帐户伙伴\<accountpartnername>\”下,创建一个新的传入组声明映射,将新的组声明及其关联的资源组映射到来自帐户伙伴林的任何传入组声明。
将传入组声明映射到资源组时,对于帐户伙伴林中每个需要访问受 AD FS 保护的基于 Windows NT 令牌的应用程序的用户,资源伙伴林中的管理员不再需要为其创建资源帐户。
默认情况下,AD FS 配置帐户伙伴属性,使资源伙伴管理员可以将传入组声明映射到一个或多个资源组。但是,可以通过选择下列资源帐户选项之一更改此默认行为:
-
所有用户存在资源帐户 - 指定为帐户伙伴中需要访问资源的每个用户配置一个资源帐户。在这种情况下,即使配置了资源组,传入组声明也不会映射到资源组。
-
部分用户存在资源帐户(首选资源帐户) - 指定资源组是否应用于部分用户帐户。这意味着部分用户可能会创建各自的资源帐户,而其他用户可能配置为使用资源组。选择此选项时,AD FS 先查找与传入令牌中指定的 UPN/电子邮件声明匹配的资源帐户。如果找到,AD FS 将使用这些资源帐户。否则,如果令牌中包含映射到资源组的组声明,则使用该资源组。
-
部分用户存在资源帐户(首选令牌中的组) - 这是默认设置。指定 AD FS 可以使用其逻辑来确定每个传入令牌是否应映射到资源组或是否应查找资源帐户。选择此选项时,AD FS 先在令牌中查找可以映射到资源组的传入组声明。如果找到,AD FS 则使用该资源组。如果不存在这样的传入组声明,AD FS 将查找要使用的资源帐户。
-
此帐户伙伴不存在资源帐户 - 指定一个或多个资源组将用于此帐户伙伴中的所有用户。这意味着此帐户伙伴颁发的每个令牌将需要包含一个或多个映射到资源伙伴林中一个或多个资源组的组声明。