Fornire agli utenti di Active Directory l'accesso ai servizi e alle applicazioni di altre organizzazioni
Questo obiettivo di distribuzione di Active Directory Federation Services (AD FS) coincide con l'obiettivo di distribuzione in a servizi e applicazioni in grado di riconoscere attestazioni di fornire l'accesso ad Active Directory gli utenti.
Quando si è amministratori dell'organizzazione partner account e un obiettivo della distribuzione prevede l'accesso federato per i dipendenti alle risorse ospitate in un'altra organizzazione:
I dipendenti che sono connessi al dominio Active Directory nella rete aziendale possono usare funzionalità SSO (Single Sign-On) per accedere a più applicazioni o servizi basati su Web, che sono protetti da AD FS, quando le applicazioni o i servizi si trovano in un'altra organizzazione. Per altre informazioni, vedere Federated Web SSO Design.
È possibile, ad esempio, che Fabrikam voglia concedere ai dipendenti della rete aziendale l'accesso federativo ai servizi Web ospitati in Contoso.
I dipendenti remoti connessi a un dominio Active Directory possono ottenere i token AD FS dal server federativo nell'organizzazione per ottenere l'accesso federato ai servizi o alle applicazioni basate sul Web protette da AD FS che sono ospitati in un'altra organizzazione.
È possibile, ad esempio, che Fabrikam voglia concedere ai dipendenti remoti l'accesso federativo ai servizi Web protetti da AD FS e ospitati in Contoso senza richiedere l'uso della rete aziendale di Fabrikam.
Oltre ai componenti fondamentali descritti in Provide Your Active Directory Users Access to Your Claims-Aware Applications and Services e che sono ombreggiati nella figura seguente, per questo obiettivo di distribuzione sono necessari i componenti seguenti:
Proxy server federativo partner account:: i dipendenti che accedono al servizio federato o all'applicazione da Internet possono usare questo componente AD FS per eseguire l'autenticazione. Per impostazione predefinita, questo componente esegue l'autenticazione basata su form, ma può anche eseguire l'autenticazione di base. È anche possibile configurare questo componente in modo da eseguire l'autenticazione SSL (Secure Sockets Layer) se i dipendenti dell'organizzazione hanno certificati da presentare. Per altre informazioni, vedere Dove posizionare un Proxy Server federativo.
DNS perimetrale: questa implementazione del DNS (Domain Name System) fornisce i nomi host per la rete perimetrale. Per altre informazioni su come configurare il DNS perimetrale per un proxy server federativo, vedere Requisiti per la risoluzione dei nomi per i proxy server federativi.
Dipendente remoto: il dipendente remoto accede a un'applicazione basata su Web (attraverso un Web browser supportato) o a un servizio basato su Web (attraverso un'applicazione) usando credenziali valide della rete aziendale quando si trova fuori sede e usa Internet. Il computer client del dipendente in posizione remota comunica direttamente con il proxy del server federativo per generare un token e autenticarsi nell'applicazione o nel servizio.
Dopo aver esaminato le informazioni negli argomenti collegati, è possibile iniziare a distribuire questo obiettivo eseguendo la procedura descritta in Checklist: Implementing a Federated Web SSO Design.
La figura seguente mostra ogni componente necessario per questo obiettivo di distribuzione di AD FS.
