Мастер «Добавление партнера по учетным записям» может использоваться для добавления нового партнера по учетным записям вручную или путем импорта файла политики. Это действие позволяет пользователям, учетные записи которых находятся у партнера по учетным записям, получать доступ к веб-приложениям, защищаемым данной службой федерации. Дополнительные сведения об улучшенной функции импорта в этой версии служб федерации Active Directory (AD FS) см. в статье «Что нового в AD FS в Windows Server 2008» (http://go.microsoft.com/fwlink/?LinkId=85684) (на английском языке).

Для выполнения этих процедур пользователь должен быть, по меньшей мере, членом локальной группы Администраторы или аналогичной группы. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице http://go.microsoft.com/fwlink/?LinkId=83477.

Добавление вручную партнера по учетным записям

Для добавления партнера по учетным записям вручную можно использовать следующую процедуру.

Чтобы добавить вручную партнера по учетным записям
  1. В меню Пуск выберите пункт Администрирование, затем выберите команду Службы федерации Active Directory.

  2. В дереве консоли дважды щелкните узлы Служба федерации, Политика доверия и Партнерские организации.

  3. Щелкните правой кнопкой мыши Партнеры по учетным записям, наведите указатель мыши на Создать, а затем выберите пункт Партнер по учетным записям.

  4. На странице Мастер добавления партнера по учетным записям щелкните Далее.

  5. На странице Импорт файла политики щелкните Нет, а затем нажмите кнопку Далее.

  6. На странице Сведения о партнере по учетным записям выполните следующие действия и нажмите кнопку Далее.

    • В поле Выводимое имя введите отображаемое имя партнера по учетным записям.

    • В поле URI-код службы федерации введите универсальный код ресурса (URI) для службы федерации.

    • В поле URL-адрес конечной точки службы федерации введите URL-адрес службы федерации.

  7. На странице Подтверждающий сертификат партнера по учетным записям введите путь к сертификату проверки или перейдите к нему, а затем нажмите кнопку Далее.

  8. На странице Федеративный сценарий выполните одно из следующих действий и нажмите кнопку Далее:

    • Если устанавливается федеративное доверие с другой организацией или нежелательно использовать существующее доверие лесов, щелкните Федеративная веб-служба SSO, а затем перейдите к действию 10.

    • Если устанавливается федеративное доверие в пределах одной организации, когда обе стороны уже обладают доверием лесов, щелкните Федеративная веб-служба SSO с доверием лесов.

  9. На странице Федеративная веб-служба SSO с доверием лесов выполните одно из следующих действий и нажмите кнопку Далее:

    • Чтобы принять пользователей во всех доменах, которым доверяет партнер по учетным записям, щелкните Все домены и леса AD DS. Любой пользователь, который сможет пройти проверку подлинности у партнера по учетным записям, будет принят.

    • Чтобы принять учетные записи пользователей, находящиеся в некоторых доменах, которым доверяет партнер по учетным записям, щелкните Следующие домены и леса AD DS. Затем в поле Новые доверенные домены и леса AD DS введите имя домена или леса и нажмите кнопку Добавить. Будут приняты только пользователи из указанных доменов.

  10. На странице Идентификационная заявка партнера по учетным записям выберите одно или несколько идентификационных утверждений для совместного использования с партнером по ресурсам и нажмите кнопку Далее:

    • Если партнеру по ресурсам для выполнения авторизации требуются утверждения на имя участника-пользователя (UPN), установите флажок Заявка на UPN-имя.

    Важно!

    Если для проведения авторизации используются утверждения на имя участника-пользователя (UPN) или утверждения на электронную почту, необходимо, чтобы каждый партнер по учетным записям имел уникальный суффикс UPN или суффикс электронной почты. Если два партнера по учетным записям имеют одинаковый суффикс UPN или суффикс электронной почты, однозначная идентификация пользователей может оказаться невозможной. Из-за этого условия может возникнуть ситуация, когда пользователь, находящийся у одного партнера по учетным записям, получает разрешения, которые предназначены для пользователя у другого партнера по учетным записям. Данное условие может также привести к значительному ухудшению безопасности, так как администратор при желании может намеренно создать пользовательские учетные записи для выполнения роли иных пользователей, данные которых находятся у одного из других партнеров по учетным записям.

    Примечание

    Если выбран сценарий Федеративная веб-служба SSO с доверием лесов, то флажок Заявка на UPN-имя установлен и недоступен для настройки. Это объясняется тем, что для данного сценария требуются утверждения на имя участника-пользователя (UPN).

    • Если партнеру по ресурсам для выполнения авторизации требуются утверждения на электронную почту, установите флажок Заявка на электронную почту.

    • Если партнеру по ресурсам для выполнения авторизации требуются утверждения на общее имя, установите флажок Заявка на общее имя.

  11. Если в качестве идентификационного утверждения сделан выбор Заявка на UPN-имя, на странице Принятые суффиксы UPN-имени выполните одно из следующих действий и нажмите кнопку Далее:

    • Если выбрана настройка Федеративная веб-служба SSO с доверием лесов, щелкните Все UPN-суффиксы или Только суффиксы из следующего списка, введите принятый суффикс и нажмите кнопку Добавить.

    • Если выбрана настройка Федеративная веб-служба SSO, введите под строкой Добавить суффикс принятый суффикс и нажмите кнопку Добавить.

  12. Если в качестве идентификационного утверждения сделан выбор Заявка на электронную почту, на странице Принятые суффиксы электронной почты выполните одно из следующих действий и нажмите кнопку Далее:

    • Если выбрана настройка Федеративная веб-служба SSO с доверием лесов, щелкните Все суффиксы электронной почты или Только суффиксы из следующего списка, введите принятый суффикс и нажмите кнопку Добавить.

    • Если выбран параметр Единый вход федерации для Интернет-решений, введите под строкой Добавить суффикс принятый суффикс и нажмите кнопку Добавить.

    Примечание

    Для утверждений на общее имя не требуются дополнительные сведения.

  13. Если сейчас не требуется включать партнера по учетным записям, на странице Включить этого партнера по учетным записям снимите флажок Включить этого партнера по учетным записям и нажмите кнопку Далее.

  14. Чтобы добавить нового партнера по учетным записям и закрыть мастер, нажмите кнопку Готово.

Добавление партнера по учетным записям путем импорта файла политики

Для добавления партнера по учетным записям путем импорта файла политики можно использовать следующую процедуру.

Чтобы добавить партнера по учетным записям путем импорта файла политики
  1. В меню Пуск выберите пункт Администрирование, затем выберите пункт Службы федерации Active Directory.

  2. В дереве консоли дважды щелкните узлы Служба федерации, Политика доверия и Партнерские организации.

  3. Щелкните правой кнопкой мыши пункт Партнеры по учетным записям, наведите указатель мыши на команду Создать, а затем выберите пункт Партнер по учетным записям.

  4. На странице Мастер добавления партнера по учетным записям нажмите кнопку Далее.

  5. На странице Импорт файла политики выполните следующее действие и нажмите кнопку Далее:

    • Щелкните Да.

    • В поле Файл политики взаимодействия партнера найдите с помощью функции обзора или введите местоположение файла политики партнера по учетным записям.

  6. На странице Сведения о партнере по учетным записям под строкой Выводимое имя введите отображаемое имя партнера по учетным записям, убедитесь в правильности дополнительных параметров импортируемого партнера и нажмите кнопку Далее.

  7. На странице Подтверждающий сертификат партнера по учетным записям выполните одно из следующих действий и нажмите кнопку Далее:

    • Щелкните Использовать для проверки сертификат в файле политики импорта.

    • Щелкните Использовать для проверки другой сертификат, а затем введите местоположение сертификата или нажмите кнопку Обзор.

  8. На странице Федеративный сценарий выполните одно из следующих действий и нажмите кнопку Далее.

    • Если устанавливается федеративное доверие с другой организацией или нежелательно использовать существующее доверие лесов, выберите пункт Единый вход федерации для Интернет-решений, а затем перейдите к действию 10.

    • Если устанавливается доверие федерации в пределах одной организации, когда обе стороны уже обладают доверием леса, выберите пункт Единый вход федерации для Интернет-решений с доверием лесов.

  9. На странице Федеративная веб-служба SSO с доверием лесов выполните одно из следующих действий и нажмите кнопку Далее:

    • Чтобы принять пользователей во всех доменах, которым доверяет партнер по учетным записям, щелкните Все домены и леса AD DS. Любой пользователь, который сможет пройти проверку подлинности у партнера по учетным записям, будет принят.

    • Чтобы принять пользовательские учетные записи, находящиеся в некоторых доменах, которым доверяет партнер по учетным записям, щелкните Следующие домены и леса AD DS. Затем в поле Новые доверенные домены и леса AD DS введите имя домена или леса и нажмите кнопку Добавить. Будут приняты только пользователи из указанных доменов.

  10. На странице Идентификационная заявка партнера по учетным записям выберите одно или несколько идентификационных утверждений, которые будут предоставляться данным партнером, и нажмите кнопку Далее:

    • Если партнеру по ресурсам для выполнения авторизации требуются утверждения на имя участника-пользователя (UPN), установите флажок Заявка на UPN-имя.

    Важно!

    Если для проведения авторизации используются утверждения на имя участника-пользователя (UPN) или утверждения на электронную почту, необходимо, чтобы каждый партнер по учетным записям имел уникальный суффикс UPN или суффикс электронной почты. Если два партнера по учетным записям имеют одинаковый суффикс UPN или суффикс электронной почты, однозначная идентификация пользователей может оказаться невозможной. Из-за этого условия может возникнуть ситуация, когда пользователь, находящийся у одного партнера по учетным записям, получает разрешения, которые предназначены для пользователя у другого партнера по учетным записям. Данное условие может также привести к значительному ухудшению безопасности, так как администратор при желании может намеренно создать пользовательские учетные записи для выполнения роли иных пользователей, данные которых находятся у одного из других партнеров по учетным записям.

    Примечание

    Если выбран сценарий Единый вход федерации для Интернет-решений с доверием лесов, то флажок Утверждение на UPN-имя установлен и недоступен для настройки. Это объясняется тем, что для данного сценария требуются утверждения на имя участника-пользователя.

    • Если партнеру по ресурсам для выполнения авторизации требуются утверждения на электронную почту, установите флажок Утверждение на электронную почту.

    • Если партнеру по ресурсам для выполнения авторизации требуются утверждения на общее имя, установите флажок Утверждение на общее имя.

  11. Если в качестве идентификационного утверждения выбрано Утверждение на UPN-имя, на странице Принятые суффиксы UPN-имени выполните одно из следующих действий и нажмите кнопку Далее.

    • Если выбран параметр Единый вход федерации для Интернет-решений с доверием лесов, выберите пункт Все UPN-суффиксы или Только суффиксы из следующего списка, введите принятый суффикс и нажмите кнопку Добавить.

    • Если выбран параметр Единый вход федерации для Интернет-решений, введите под строкой Добавить суффикс принятый суффикс и нажмите кнопку Добавить.

  12. Если в качестве идентификационного утверждения выбрано Утверждение на электронную почту, на странице Принятые суффиксы электронной почты выполните одно из следующих действий и нажмите кнопку Далее.

    • Если выбран параметр Единый вход федерации для Интернет-решений с доверием лесов, выберите пункт Все суффиксы электронной почты или Только суффиксы из следующего списка, введите принятый суффикс и нажмите кнопку Добавить.

    • Если выбран параметр Единый вход федерации для Интернет-решений, введите под строкой Добавить суффикс принятый суффикс и нажмите кнопку Добавить.

  13. Если сейчас не требуется включать партнера по учетным записям, на странице Включить этого партнера по учетным записям снимите флажок Включить этого партнера по учетным записям и нажмите кнопку Далее.

  14. Чтобы добавить нового партнера по учетным записям и закрыть мастер, нажмите кнопку Готово.

Переименование импортированного партнера по учетным записям

Для переименования импортированного партнера по учетным записям можно использовать следующую процедуру.

Чтобы переименовать импортированного партнера по учетным записям
  1. В меню Пуск выберите пункт Администрирование, затем выберите пункт Службы федерации Active Directory.

  2. В дереве консоли дважды щелкните узлы Служба федерации, Политика доверия, Партнерские организации и Партнеры по учетным записям.

  3. Щелкните правой кнопкой мыши партнера по учетным записям и выберите в контекстном меню команду Переименование.

  4. Введите новое имя для партнера по учетным записям.