Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als u een nieuwe partnerorganisatie in Active Directory Federation Services (AD FS) wilt implementeren, voltooit u de taken in de controlelijst: De resourcepartnerorganisatie of controlelijst configureren: de organisatie van de accountpartner configureren, afhankelijk van uw AD FS-ontwerp.
Note
Wanneer u een van deze controlelijsten gebruikt, raden we u ten zeerste aan eerst de verwijzingen te lezen naar de planningsrichtlijnen voor accountpartner of resourcepartner in de AD FS-ontwerphandleiding in Windows Server 2012 voordat u doorgaat met de procedures voor het instellen van de nieuwe partnerorganisatie. Als u de controlelijst op deze manier volgt, krijgt u een beter inzicht in het volledige AD FS-ontwerp- en implementatieverhaal voor de accountpartner of resourcepartnerorganisatie.
Over accountpartnerorganisaties
Een accountpartner is de organisatie in de federatievertrouwensrelatie die gebruikersaccounts fysiek opslaat in een door AD FS ondersteund kenmerkarchief. De accountpartner is verantwoordelijk voor het verzamelen en verifiëren van de referenties van een gebruiker, het opbouwen van claims voor die gebruiker en het verpakken van de claims in beveiligingstokens. Deze tokens kunnen vervolgens worden weergegeven in een federatievertrouwensrelatie om toegang tot webresources in te schakelen die zich in de organisatie van de resourcepartner bevinden.
Met andere woorden, een accountpartner vertegenwoordigt de organisatie voor wie gebruikers de federatieserver aan de accountzijde beveiligingstokens uitgeven. De federatieserver in de organisatie van de accountpartner verifieert lokale gebruikers en maakt beveiligingstokens die de resourcepartner gebruikt bij het nemen van autorisatiebeslissingen.
Wat kenmerkarchieven betreft, is de accountpartner in AD FS conceptueel gelijk aan één Active Directory-forest waarvan accounts toegang nodig hebben tot resources die zich fysiek in een ander forest bevinden. Accounts in dit bos hebben alleen toegang tot bronnen in het bronbos als er een externe vertrouwensrelatie of bosvertrouwensrelatie bestaat tussen de twee bossen en de bronnen die gebruikers proberen te benaderen zijn ingesteld met de juiste machtigingen.
Over resourcepartnerorganisaties
De resourcepartner is de organisatie in een AD FS-implementatie waar webservers zich bevinden. De resourcepartner vertrouwt de accountpartner om gebruikers te verifiëren. Om autorisatiebeslissingen te nemen, gebruikt de resourcepartner daarom de claims die zijn verpakt in beveiligingstokens die afkomstig zijn van gebruikers in de accountpartner.
Met andere woorden, een resourcepartner vertegenwoordigt de organisatie waarvan webservers worden beveiligd door de federatieserver aan de bronzijde. De federatieserver bij de resourcepartner gebruikt de beveiligingstokens die door de accountpartner worden geproduceerd om autorisatiebeslissingen te nemen voor webservers in de resourcepartner.
Als webservers in de organisatie van de resourcepartner als een AD FS-resource willen functioneren, moeten ze ofwel de Windows Identity Foundation (WIF) geïnstalleerd hebben, ofwel de Active Directory Federation Services (AD FS) 1.x Claims-Aware Web Agent-rolservices geïnstalleerd hebben. Webservers die fungeren als een AD FS-resource kunnen fungeren als host voor webbrowser- of webservicetoepassingen.