В службе федерации Active Directory (ADFS) учетная запись ресурса — это учетная запись пользователя, которая хранится в одном лесу (лесу партнера по ресурсам) Active Directory с единственной целью имитации пользовательской учетной записи, которая активно используется сотрудниками организации и хранится в другом лесу (лесу партнера по учетным записям) Active Directory.

Учетные записи ресурса должны создаваться в лесу партнера по ресурсам, чтобы сотрудник, чья учетная запись находится в лесу партнера по учетным записям, мог получить доступ через ADFS к веб-приложениям и приложениям, использующим маркеры Windows NT.

Веб-ресурс на стороне ресурсов защищается с помощью таблиц управления доступом (ACL), относящихся к учетным записям или группам пользователей в лесу партнера по ресурсам. Администратор должен создать учетные записи ресурса и добавить в ресурс таблицы управления доступом (ACL) для всех учетных записей ресурса.

Чтобы уменьшить расходы на управление, администратор на стороне ресурсов может настроить одну или несколько групп безопасности, создаваемых в Active Directory, которые будут использоваться для сопоставления с входящими заявками о группах, поступающими от партнеров по учетным записям. Группа безопасности, сопоставляемая с входящей заявкой о группе, которая используется службой ADFS, называется группой ресурсов.

Группы ресурсов могут настраиваться с помощью следующей процедуры.

Чтобы настроить группу ресурсов

  1. В оснастке «Active Directory — пользователи и компьютеры» на контроллере домена в лесу партнера по ресурсам создайте новую группу безопасности.

  2. Назначьте соответствующий доступ к этой группе безопасности из веб-ресурса, который защищен службой ADFS.

  3. В оснастке ADFS создайте новую заявку о группе и на странице свойств вновь созданной заявки откройте вкладку Группа ресурсов. Нажмите кнопку , чтобы сопоставить новую группу безопасности в Active Directory с новой заявкой о группе. На этом этапе новая группа безопасности упоминается как «группа ресурсов».

  4. В папке Служба федерации\Политика доверия\Партнерские организации\Партнеры по учетным записям\<имя_партнера_по_учетным_записям>\ создайте сопоставление новой входящей заявки о группе для сопоставления новой заявки о группе и связанной с ней группы ресурсов со всеми входящими заявками о группах, поступающими из леса партнера по учетным записям.

При сопоставлении входящей заявки о группе с группой ресурсов для администратора в лесу партнера по ресурсам больше не требуется создавать учетные записи ресурса для каждого пользователя в лесу партнера по учетным записям, которому требуется доступ к защищенному службой ADFS приложению, использующему маркеры Windows NT.

По умолчанию служба ADFS настраивает свойства партнера по учетным записям так, чтобы администратор партнера по ресурсам мог сопоставить входящие заявки о группах с одной или несколькими группами ресурсов. Однако это стандартное поведение системы можно изменить, выбрав один из следующих параметров учетных записей ресурса.

Параметр Учетные записи ресурса существуют для всех пользователей — указывает, что учетная запись ресурса настроена у партнера по учетным записям для каждого пользователя, которому требуется доступ к ресурсу. В этом случае входящие заявки о группах не сопоставляются с группами ресурсов, даже если группы ресурсов настроены.

Параметр Учетные записи ресурса существуют только для некоторых пользователей (предпочтение учетной записи ресурса) — указывает, должны или нет группы ресурсов использоваться для некоторых учетных записей пользователей. Это означает, что некоторые пользователи могут иметь индивидуальные учетные записи ресурса, созданные для них, тогда как параметры других пользователей могут быть настроены для использования групп ресурсов. При выборе данного параметра служба ADFS сначала ищет учетные записи ресурса, которые соответствуют заявкам на UPN/электронную почту, заданным во входящем маркере. Если они найдены, служба ADFS использует эти учетные записи ресурса. В противном случае, если маркер имеет заявку о группе, которая сопоставляется с группой ресурсов, ADFS использует группу ресурсов.

Параметр Учетные записи ресурса существуют только для некоторых пользователей (предпочтение группам в маркере)

Этот вариант используется по умолчанию. Указывает, что служба ADFS может использовать свою логику для определения того, должен ли каждый входящий маркер сопоставляться с группой ресурсов или следует искать учетную запись ресурса. При выборе данного параметра служба ADFS сначала просматривает маркер на наличие входящих заявок о группах, которые могут сопоставляться с группой ресурсов. Если они найдены, служба ADFS использует группу ресурсов. Если такой входящей заявки о группе не существует, служба ADFS ищет для использования учетную запись ресурса.

Параметр Для данного партнера по учетным записям не существует учетных записей ресурса — указывает, что для всех пользователей у данного партнера по учетным записям будет использоваться одна или несколько групп ресурсов. Это означает, что каждый маркер, выданный от этого партнера по учетным записям, должен содержать одну или несколько заявок о группах, которые сопоставляются с одной или несколькими группами ресурсов в лесу партнера по ресурсам.

См. также