Выбор политики доверия

В файле политики доверия служб федерации Active Directory определяется набор параметров, которые необходимы службе федерации для идентификации партнеров, сертификатов, хранилищ учетных записей, утверждений и различных свойств этих объектов, связанных со службой федерации.

Ферма серверов федерации формируется в результате следующих действий: создание двух или более серверов федерации в одной сети, настройка каждого из них для использования одного файла политики доверия и добавление в политику доверия открытого ключа, принадлежащего сертификату (сертификату проверки) для подписи токена каждого сервера.

Примечание

Для сценариев с фермой важно, чтобы к файлу политики доверия был открыт общий доступ на компьютере, который не участвует в качестве сервера федерации в этой ферме. Средство балансировки сетевой нагрузки, разработанное в корпорации Майкрософт, не позволяет любым компьютерам, участвующим в ферме, взаимодействовать друг с другом.

После помещения файла trustpolicy.xml в общую папку эту папку защищают с помощью соответствующих разрешений. Это означает следующее: чтобы каждый новый сервер федерации успешно пользовался файлом политики доверия, необходимо предоставить всем учетным записям компьютеров на всех серверах федерации в ферме разрешения хотя бы только на доступ для чтения данных. Даже если учетные записи компьютеров имеют разрешения только на чтение, администратор службы федерации может изменить файл политики доверия.