在 Active Directory Federation Services (AD FS) 中,資源帳戶是儲存在一個 Active Directory 樹系 (資源夥伴樹系) 中的使用者帳戶,其唯一的用途是模擬正在使用 (例如正由員工使用) 且儲存在另一個 Active Directory 樹系 (帳戶夥伴樹系) 的使用者帳戶。

資源帳戶必須在資源夥伴樹系中建立,讓使用者帳戶位於帳戶夥伴樹系的員工,得以透過 AD FS 來存取網頁型應用程式和 Windows NT 權杖型應用程式。資源帳戶與資源群組都是宣告感知應用程式所必要的。

資源端的網頁資源,會受到資源夥伴樹系上的使用者帳戶或群組的存取控制清單 (ACL) 保護。系統管理員必須建立資源帳戶,並將任何資源帳戶的 ACL 新增至資源。

若要減輕系統管理負荷,資源端的系統管理員可設定一或多個建立於 Active Directory Domain Services (AD DS) 的安全性群組,用來對應來自其帳戶夥伴的連入群組宣告。對應到 AD FS 所使用的連入群組宣告的安全性群組,稱為資源群組。

您可以使用下列程序來設定資源群組。

設定資源群組

  1. 在資源夥伴樹系的網域控制站上,於 Active Directory 使用者和電腦嵌入式管理單元中建立新的安全性群組。

  2. 將適當的存取權,指派給這個來自 AD FS 保護的網頁資源之安全性群組。

  3. 在 Active Directory Federation Services 嵌入式管理單元中,建立新的群組宣告,並在新建之宣告的內容頁中,按一下 [資源群組] 索引標籤。按一下 […] 按鈕,將 AD DS 中的新安全性群組對應到新的群組宣告。此時會即將新安全性群組指定為「資源群組」。

  4. [Federation Service\Trust Policy\Partner Organizations\Account Partners\<accountpartnername>\] 下建立新的連入群組宣告對應,將新群組宣告及其關聯的資源群組,對應到來自帳戶夥伴樹系的任何連入群組宣告。

將連入群組宣告對應到資源群組時,資源夥伴樹系的系統管理員就不再需要為帳戶夥伴樹系中需要存取 AD FS 所保護的「Windows NT 權杖型應用程式」的每一位使用者建立一個資源帳戶。

根據預設,AD FS 會設定帳戶夥伴內容,讓資源夥伴系統管理員可將連入群組宣告對應到一或多個資源群組。不過,您也可以選取下列其中一個資源帳戶選項,來變更此預設行為:

  • [所有使用者皆有資源帳戶] - 指定為帳戶夥伴中需要存取資源的每一位使用者,設定一個資源帳戶。在這種情況下,即使設定了資源群組,也不會將連入群組宣告對應到資源群組。

  • [部分使用者具有資源帳戶 (慣用的資源帳戶)] - 指定是否要將資源群組用於部分使用者帳戶。這表示部分使用者可能已建立個別的資源帳戶,其他使用者則可能已設定成使用資源群組。選取此選項時,AD FS 將首先尋找符合連入拓撲所指定的 UPN/電子郵件宣告之資源帳戶。AD FS 如果找到那些資源帳戶,就會加以使用。否則,如果權杖有對應到資源群組的群組宣告,它就會使用資源群組。

  • [部分使用者具有資源帳戶 (權杖中的慣用群組)] - 這是預設的設定。指定 AD FS 可使用其邏輯,判斷每一個連入權杖是否應該對應到資源群組,或是否應該尋找資源帳戶。選取此選項時,AD FS 會首先尋找權杖中是否有連入群組宣告能對應到資源群組。如果找到,AD FS 會使用資源群組。如果沒有這類連入群組宣告,AD FS 會尋找要使用的資源帳戶。

  • [此帳戶夥伴沒有資源帳戶] - 指定要供這個帳戶夥伴中所有使用者使用的一或多個資源群組。這表示從這個帳戶夥伴所發出的每個權杖都必須包含一或多個群組宣告,且該群組宣告必須對應到資源夥伴樹系中的一或多個資源群組。

目錄