您可以使用 Active Directory Federation Services (AD FS),在同盟信任關係所結合的夥伴組織之間啟用有效且安全的線上交易。換句話說,同盟信任是兩個組織之間的商業層次合約或夥伴關係的體現。

如下圖所示,當兩個夥伴組織都至少部署一部 AD FS 同盟伺服器,並且都適當設定其 Federation Service 設定值時,就可以建立這兩個夥伴組織之間的同盟信任關係。單向箭頭表示信任方向 (如 Windows 信任的方向),一律指向樹系的帳戶端。這表示驗證流程會從帳戶夥伴組織進行至資源夥伴組織。

同盟信任連結夥伴組織
附註

不同於在二或多個網域之間需要固定連線的安全通道才能運作的 Windows 信任,同盟信任不需要此通道,因為在建立同盟信任時,帳戶 Federation Service 與資源 Federation Service 之間不會透過網路直接通訊。

建立同盟信任後,帳戶夥伴組織的使用者就能透過同盟信任,順利將驗證要求傳送到資源夥伴組織中的啟用 AD FS 的網頁伺服器。當帳戶夥伴組織和資源夥伴組織都安裝 AD FS 的 Federation Service 元件,並且都使用 Active Directory Federation Services 嵌入式管理單元適當設定帳戶夥伴和資源夥伴時,就會建立同盟信任。

若未設定同盟信任的一方 (帳戶夥伴或資源夥伴),或系統管理員對任一方進行錯誤的設定時,就無法成功建立同盟信任。如需如何建立同盟信任的相關資訊,請在 Active Directory Federation Services 首頁 (https://go.microsoft.com/fwlink/?LinkId=91867) (可能為英文網頁) 上尋找 AD FS 逐步或部署內容。

附註

AD FS 網頁單一登入 (SSO) 設計不適用同盟信任。如需網頁 SSO 設計的相關資訊,請參閱了解同盟設計


目錄