Мастер «Добавление партнера по учетным записям» может использоваться для добавления нового партнера по учетным записям вручную или путем импорта файла политики. Это позволяет пользователям, учетные записи которых находятся у партнера по учетным записям, получать доступ к веб-приложениям, защищаемым данной службой федерации.
Добавление вручную партнера по учетным записям
Для добавления партнера по учетным записям вручную можно использовать следующую процедуру.
Чтобы добавить вручную партнера по учетным записям |
-
Нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем выберите команду Службы федерации Active Directory.
-
В дереве консоли дважды щелкните пункты Служба федерации, Политика доверия и Партнерские организации.
-
Щелкните правой кнопкой мыши элемент Партнеры по учетным записям, наведите указатель на команду Создать и выберите пункт Партнер по учетным записям.
-
На странице Мастер добавления партнера по учетным записям нажмите кнопку Далее.
-
На странице Импорт файла политики установите флажок Нет и нажмите кнопку Далее.
-
На странице Сведения о партнере по учетным записям выполните следующие действия, а затем нажмите кнопку Далее.
- В поле Отображаемое имя введите отображаемое имя
партнера по учетным записям.
- В поле URI-код службы федерации введите универсальный
идентификатор ресурса (URI-код) службы федерации.
- В поле URL-адрес конечной точки службы федерации введите
унифицированный указатель ресурса (URL-адрес) службы федерации.
- В поле Отображаемое имя введите отображаемое имя
партнера по учетным записям.
-
На странице Подтверждающий сертификат партнера по учетным записям введите путь к подтверждающему сертификату или перейдите к нему с помощью функции обзора, а затем нажмите кнопку Далее.
-
На странице Федеративный сценарий выполните одно из следующих действий, а затем нажмите кнопку Далее:
- Если устанавливается федеративное доверие с другой организацией
или нежелательно использовать существующее доверие лесов, щелкните
Федеративная веб-служба SSO.
- Если устанавливается федеративное доверие в пределах одной
организации, когда обе стороны уже обладают доверием лесов,
щелкните Федеративная веб-служба SSO с доверием лесов.
- Если устанавливается федеративное доверие с другой организацией
или нежелательно использовать существующее доверие лесов, щелкните
Федеративная веб-служба SSO.
-
На странице Федеративная веб-служба SSO с доверием лесов выполните одно из следующих действий и нажмите кнопку Далее:
- Чтобы принять пользователей во всех доменах, которым доверяет
партнер по учетным записям, щелкните Все домены и леса Active
Directory. Любой пользователь, который сможет пройти проверку
подлинности у партнера по учетным записям, будет принят.
- Чтобы принять пользовательские учетные записи, находящиеся в
некоторых доменах, которым доверяет партнер по учетным записям,
щелкните Следующие леса и домены Active Directory. Затем в
поле Новый доверенный домен или лес Active Directory введите
имя домена или леса и нажмите кнопку Добавить. Будут приняты
только пользователи из указанных доменов.
- Чтобы принять пользователей во всех доменах, которым доверяет
партнер по учетным записям, щелкните Все домены и леса Active
Directory. Любой пользователь, который сможет пройти проверку
подлинности у партнера по учетным записям, будет принят.
-
На странице Идентификационные заявки партнера по учетным записям выберите одну или несколько идентификационных заявок для совместного использования с партнером по ресурсам и нажмите кнопку Далее:
- Если партнеру по ресурсам для выполнения авторизации требуются
заявки на имя UPN, установите флажок Заявка на основное имя
UPN.
Важно! Если для проведения авторизации используются заявки на имя UPN или заявки на электронную почту, необходимо, чтобы каждый партнер по учетным записям использовал уникальный суффикс UPN или суффикс электронной почты. Если два партнера по учетным записям используют одинаковый суффикс UPN или суффикс электронной почты, однозначная идентификация пользователей может оказаться невозможной. Это условие должно позволить пользователю, находящемуся у одного партнера по учетным записям, получать разрешения, которые предназначены для пользователя у другого партнера по учетным записям. Данное условие может также привести к значительному ухудшению безопасности, так как администратор при желании может намеренно создать пользовательские учетные записи для выполнения роли иных пользователей, данные которых находятся у одного из других партнеров по учетным записям.
Примечание Если выбран сценарий Федеративная веб-служба SSO с доверием лесов, то флажок Заявка на имя UPN установлен и недоступен для настройки. Это объясняется тем, что для данного сценария требуются заявки на имя UNP.
- Если партнеру по ресурсам для выполнения авторизации требуются
заявки на электронную почту, установите флажок Заявка на
электронную почту.
- Если партнеру по ресурсам для выполнения авторизации требуются
заявки на общее имя, установите флажок Заявка на общее
имя.
- Если партнеру по ресурсам для выполнения авторизации требуются
заявки на имя UPN, установите флажок Заявка на основное имя
UPN.
-
Если в качестве идентификационной заявки выбрана Заявка на имя UPN, на странице Принятые суффиксы имени UPN щелкните Все суффиксы UPN (данная возможность доступна, только если выбран вариант Федеративная веб-служба SSO с доверием лесов) или введите принятый суффикс, нажмите кнопку Добавить, а затем нажмите кнопку Далее.
-
Если в качестве идентификационной заявки выбрана Заявка на имя UPN, на странице Принятые суффиксы имени UPN щелкните Все суффиксы UPN (данная возможность доступна, только если выбран вариант Федеративная веб-служба SSO с доверием лесов) или введите принятый суффикс, нажмите кнопку Добавить, а затем нажмите кнопку Далее.
Примечание Для заявок на общее имя не требуются дополнительные сведения.
-
Если на странице Включить этого партнера по учетным записям сейчас нежелательно включать партнера по учетным записям, снимите флажок Включить этого партнера по учетным записям и нажмите кнопку Далее.
-
Чтобы добавить нового партнера по учетным записям и закрыть мастер, нажмите кнопку Готово.
Добавление партнера по учетным записям путем импорта файла политики
Для добавления партнера по учетным записям путем импорта файла политики можно использовать следующую процедуру.
Чтобы добавить партнера по учетным записям путем импорта файла политики |
-
Нажмите кнопку Пуск, наведите указатель на пункт Администрирование и выберите команду Службы федерации Active Directory.
-
В дереве консоли дважды щелкните пункты Служба федерации, Политика доверия и Партнерские организации.
-
Щелкните правой кнопкой мыши элемент Партнеры по учетным записям, наведите указатель на команду Создать и выберите пункт Партнер по учетным записям.
-
На странице Мастер добавления партнера по учетным записям нажмите кнопку Далее.
-
На странице Импорт файла политики выполните следующие действия, а затем нажмите кнопку Далее:
- Нажмите кнопку Да.
- В поле Файл политики взаимодействия партнера найдите с
помощью функции обзора или введите местоположение файла политики
партнера по учетным записям.
- Нажмите кнопку Да.
-
На странице Федеративный сценарий выполните одно из следующих действий, а затем нажмите кнопку Далее:
- Если устанавливается федеративное доверие с другой организацией
или нежелательно использовать существующее доверие лесов, щелкните
Федеративная веб-служба SSO, а затем перейдите к выполнению
шага 8.
- Если устанавливается федеративное доверие в пределах одной
организации, когда обе стороны уже обладают доверием лесов,
щелкните Федеративная веб-служба SSO с доверием лесов.
- Если устанавливается федеративное доверие с другой организацией
или нежелательно использовать существующее доверие лесов, щелкните
Федеративная веб-служба SSO, а затем перейдите к выполнению
шага 8.
-
На странице Федеративная веб-служба SSO с доверием лесов выполните одно из следующих действий и нажмите кнопку Далее:
- Чтобы принять пользователей во всех доменах, которым доверяет
партнер по учетным записям, щелкните Все домены и леса Active
Directory. Любой пользователь, который сможет пройти проверку
подлинности у партнера по учетным записям, будет принят.
- Чтобы принять пользовательские учетные записи, находящиеся в
некоторых доменах, которым доверяет партнер по учетным записям,
щелкните Следующие леса и домены Active Directory. Затем в
поле Новый доверенный домен или лес Active Directory введите
имя домена или леса и нажмите кнопку Добавить. Будут приняты
только пользователи из указанных доменов.
- Чтобы принять пользователей во всех доменах, которым доверяет
партнер по учетным записям, щелкните Все домены и леса Active
Directory. Любой пользователь, который сможет пройти проверку
подлинности у партнера по учетным записям, будет принят.
-
На странице Идентификационные заявки партнера по учетным записям выберите одну или несколько идентификационных заявок, которые будут предоставляться данным партнером, и нажмите кнопку Далее:
- Если партнеру по ресурсам для выполнения авторизации требуются
заявки на имя UPN, установите флажок Заявка на основное имя
UPN.
Важно! Если для проведения авторизации используются заявки на имя UPN или заявки на электронную почту, необходимо, чтобы каждый партнер по учетным записям использовал уникальный суффикс UPN или суффикс электронной почты. Если два партнера по учетным записям используют одинаковый суффикс UPN или суффикс электронной почты, однозначная идентификация пользователей может оказаться невозможной. Это условие должно позволить пользователю, находящемуся у одного партнера по учетным записям, получать разрешения, которые предназначены для пользователя у другого партнера по учетным записям. Данное условие может также привести к значительному ухудшению безопасности, так как администратор при желании может намеренно создать пользовательские учетные записи для выполнения роли иных пользователей, данные которых находятся у одного из других партнеров по учетным записям.
Примечание Если выбран сценарий Федеративная веб-служба SSO с доверием лесов, то флажок Заявка на имя UPN установлен и недоступен для настройки. Это объясняется тем, что для данного сценария требуются заявки на имя UNP.
- Если партнеру по ресурсам для выполнения авторизации требуются
заявки на электронную почту, установите флажок Заявка на
электронную почту.
- Если партнеру по ресурсам для выполнения авторизации требуются
заявки на общее имя, установите флажок Заявка на общее
имя.
- Если партнеру по ресурсам для выполнения авторизации требуются
заявки на имя UPN, установите флажок Заявка на основное имя
UPN.
-
Если в качестве идентификационной заявки выбрана Заявка на имя UPN, на странице Принятые суффиксы имени UPN щелкните Все суффиксы UPN (данная возможность доступна, только если выбран вариант Федеративная веб-служба SSO с доверием лесов) или введите принятый суффикс, нажмите кнопку Добавить, а затем нажмите кнопку Далее.
-
Если в качестве идентификационной заявки выбрана Заявка на имя UPN, на странице Принятые суффиксы имени UPN щелкните Все суффиксы UPN (данная возможность доступна, только если выбран вариант Федеративная веб-служба SSO с доверием лесов) или введите принятый суффикс, нажмите кнопку Добавить, а затем нажмите кнопку Далее.
Примечание Для заявок на общее имя не требуются дополнительные сведения.
-
Если на странице Включить этого партнера по учетным записям сейчас нежелательно включать партнера по учетным записям, снимите флажок Включить этого партнера по учетным записям и нажмите кнопку Далее.
-
Чтобы добавить нового партнера по учетным записям и закрыть мастер, нажмите кнопку Готово.
Переименование импортированного партнера по учетным записям
Для переименования импортированного партнера по учетным записям можно использовать следующую процедуру.
Чтобы переименовать импортированного партнера по учетным записям |
-
Нажмите кнопку Пуск, наведите указатель на пункт Администрирование и выберите команду Службы федерации Active Directory.
-
В дереве консоли дважды щелкните пункты Служба федерации, Политика доверия, Партнерские организации и Партнеры по учетным записям.
-
Щелкните правой кнопкой мыши партнера по учетным записям и выберите команду Переименовать.
-
Введите новое имя для партнера по учетным записям.