Bereitstellen des Zugriffs auf Ihre Ansprüche unterstützende Anwendungen und Dienste für die Benutzer anderer Organisationen
Wenn Sie ein*e Administrator*in in der Ressourcenpartnerorganisation in Active Directory-Verbunddienste (AD FS) sind und Ihr Bereitstellungsziel darin besteht, Verbundzugriff für Benutzer*innen in einer anderen Organisation (der Kontopartnerorganisation) auf eine Ansprüche unterstützende Anwendung oder einen webbasierten Dienst zu ermöglichen, der sich in Ihrer Organisation (der Ressourcenpartnerorganisation) befindet, gilt Folgendes:
Verbundbenutzer in Ihrer Organisation und in Organisationen, für die ein Verbund mit Ihrer Organisation konfiguriert ist (Kontopartnerorganisationen), können auf die durch AD FS gesicherten Anwendungen oder Dienste zugreifen, die von Ihrer Organisation gehostet werden. Weitere Informationen finden Sie unter Federated Web SSO Design.
Beispielsweise könnte Fabrikam anfragen, dass Mitarbeiter im Unternehmensnetzwerk Verbundzugriff auf Webdienste erhalten, die von Contoso gehostet werden.
Verbundbenutzer, die nicht direkt einer vertrauenswürdigen Organisation zugeordnet sind (z. B. einzelne Kunden) und die bei einem Attributspeicher angemeldet sind, der in Ihrem Umkreisnetzwerk gehostet wird, können auf mehrere durch AD FS gesicherte Anwendungen zugreifen, die auch in Ihrem Umkreisnetzwerk gehostet werden, indem die Anmeldung einmalig von Clientcomputern im Internet erfolgt. Wenn Sie also Kundenkonten zum Aktivieren des Zugriffs auf Anwendungen oder Dienste in Ihrem Umkreisnetzwerk hosten, können Kunden, die Sie in einem Attributspeicher hosten, auf ein oder mehrere Anwendungen oder Dienste im Umkreisnetzwerk zugreifen, indem Sie sich einfach einmalig anmelden. Weitere Informationen finden Sie unter Web SSO Design.
Fabrikam möchte seinen Kunden beispielsweise Zugriff über einmaliges Anmelden (Single-Sign-On, SSO) auf mehrere Programme oder Dienste ermöglichen, die im Umkreisnetzwerk gehostet werden.
Die folgenden Komponenten sind für dieses Bereitstellungsziel erforderlich:
Active Directory Domain Services (AD DS): Der Verbundserver des Ressourcenpartners muss einer Active Directory-Domäne angehören.
Umkreis-DNS: Das DNS (Domain Name System) sollte einen einfachen Hostressourceneintrag (A) enthalten, sodass Clientcomputer den Verbundserver des Ressourcenpartners und den Webserver finden können. Der DNS-Server kann andere DNS-Einträge hosten, die auch im Umkreisnetzwerk erforderlich sind. Weitere Informationen finden Sie unter Anforderungen an die Namensauflösung für Verbundserver.
Verbundserver des Ressourcenpartners: Der Verbundserver des Ressourcenpartners überprüft die von Kontopartnern gesendeten AD FS-Token. Die Ermittlung von Kontopartnern erfolgt über diesen Verbundserver. Weitere Informationen finden Sie unter Review the Role of the Federation Server in the Resource Partner.
Webserver: Der Webserver kann eine Webanwendung oder einen Webdienst hosten. Der Webserver bestätigt, dass er gültige AD FS-Token von Verbundbenutzer erhält, bevor er Zugriff auf die geschützte Webanwendung oder den Webdienst gestattet.
Mithilfe von WIF (Windows Identity Foundation) können Sie Ihre Webanwendungen oder -dienste so entwickeln, dass sie Anmeldeanfragen von Verbundbenutzer*innen akzeptieren. Diese können mit jeder Standardanmeldemethode erfolgen, wie z. B. Benutzername und Kennwort.
Nach Durchlesen der Informationen in den verwandten Themen können Sie anhand der Schritte in Prüfliste: Implementieren eines Federated-Web-SSO-Entwurfs und Prüfliste: Implementieren eines Web-SSO-Entwurfs mit der Umsetzung dieses Bereitstellungsziels beginnen.
In der folgenden Abbildung sind die zum Erreichen dieses AD FS-Bereitstellungsziels erforderlichen Komponenten dargestellt.
