Возможности понимания ADFS

Извините, если это глупый вопрос. Я прочитал много статей о настройке ADFS и многом другом, но чего я не могу понять (поскольку это не является моей основной областью работы или интереса), так это того, действительно ли он способен обрабатывать то, что мне нужно.

То есть: у меня есть сервер Sharepoint в домене «domainA». Теперь мне сказали, что с помощью ADFS я могу «делегировать» разрешения другим внешним AD. Насколько я понимаю, я могу сказать, что этой другой компании, использующей «domainB», разрешен вход на мой сервер sharepoint? Это вообще правильно? Таким образом, пользователям обоих доменов «domainA» и «domainB» разрешен вход в систему, и я могу установить разрешения для общих точек с пользователями обоих AD?


dns active-directory sharepoint adfs2.0
person Dynde    schedule 22.03.2012    source источник

Ответы (1)


arrow_upward
1
arrow_downward

ADFS — это экземпляр системы токенов безопасности (STS).

SP 2010 имеет собственную STS, которую можно объединить с экземпляром ADFS в домене A, что позволяет пользователям проходить аутентификацию через AD домена A. Эти пользователи настроены на получение набора утверждений от домена A AD, которые SP 2010 использует в качестве разрешений (т. е. авторизации).

Если у вас есть другой домен (домен B), обычной практикой является установка другого экземпляра ADFS в этом домене, а затем объединение двух ADFS. Эти пользователи также получат набор претензий.

Теперь пользователи в домене A аутентифицируются в AD домена A, а пользователи в домене B аутентифицируются в AD домена B, и оба имеют доступ к приложению SP2010.

Чтобы решить, где аутентифицироваться, пользователю будет представлен экран Home Realm Discovery, который спросит его, где он хочет аутентифицироваться. Это нестандартное поведение.

Для всего, что связано с ADFS, смотрите здесь.

person rbrayb    schedule 22.03.2012
comment
Вы пишете, что обычно на домен приходится один экземпляр AD FS. У вас есть ссылка на эту практику? Спасибо. - person MarnixKlooster ReinstateMonica; 22.03.2012
comment
Извинения - несколько вводит в заблуждение. Вопрос заключался в том, что эта другая компания использует домен B. Поэтому я предполагаю, что эти два домена не принадлежат одной компании. Это классический сценарий федерации. В рамках одной компании вы можете обойтись одним экземпляром, но тогда двум доменам потребуются какие-то доверительные отношения между двумя AD. - person rbrayb; 23.03.2012
comment
Хорошо, потому что в моем случае мне нужно разрешить доступ и другим компаниям. Я думаю, что я попытаюсь настроить новый контроллер домена в своей компании, а также настроить на нем ADFS, чтобы имитировать, что это другая компания, и протестировать все это таким образом - спасибо за вклад! - person Dynde; 23.03.2012