Funzionalità IO: gestione dell'identità e degli accessi - dal livello Razionale al livello Dinamico
In questa pagina
.gif){kind=icon}
Introduzione
Requisito: provisioning dell'account utente automatizzato centralizzato su sistemi eterogenei
Requisito: autenticazione dei clienti esterni e dei partner commerciali basata sulle directory
Introduzione
La gestione dell'identità e degli accessi è una funzionalità relativa all'ottimizzazione dell'infrastruttura principale e costituisce la base per l'implementazione di molte funzionalità nel modello di ottimizzazione dell'infrastruttura.
Nella seguente tabella vengono elencate le sfide più impegnative, le soluzioni applicabili e i vantaggi del passaggio al livello Dinamico nella gestione dell'identità e degli accessi.
Sfide |
Soluzioni |
Vantaggi |
|---|---|---|
Sfide aziendali Per accedere alle risorse gli utenti necessitano ancora del supporto tecnico e non del provisioning dell'utente Assenza di visualizzazione chiara dell'identità dell'organizzazione Sfide IT Assenza di Single Sign-On su più sistemi nonostante le identità vengano amministrate centralmente e le impostazioni e le configurazioni vengano gestite con facilità Gli utenti continuano a ricevere quotidianamente diverse richieste di autenticazione |
Progetti Implementazione di una soluzione per gestire centralmente il provisioning dell'utente Implementazione di una soluzione per gestire un'identità federata entro i limiti organizzativi e della piattaforma |
Vantaggi per l'azienda Single Sign-On su più sistemi riduce i costi amministrativi e aumenta la produttività dell'utente Diversi archivi di identità sono collegati nel firewall o convalidati per consentire il provisioning del flusso di lavoro delle identità Vantaggi IT Amministrazione password centralizzata Deprovisioning automatizzato dell'account identità e gestione automatizzata del ciclo di vita Costi di supporto e tempi di inattività dell'utente ridotti |
La gestione continua dell'identità e degli accessi si basa sulle seguenti funzionalità illustrate in Microsoft Identity and Access Management Series:
Base per la gestione dell'identità e degli accessi
Gestione del ciclo di vita delle identità
Gestione degli accessi e Single Sign-On
Si noti che le funzionalità illustrate precedentemente sono tutte parti fondamentali del servizio di gestione dell'identità e degli accessi di una qualsiasi organizzazione. Per ulteriori informazioni, vedere il sito Web Microsoft Identity and Access Management Series (in inglese).
I livelli Standard e Razionale della gestione dell'identità e degli accessi nel modello di ottimizzazione dell'infrastruttura riguardano le aree principali di un servizio directory unificato, nonché l'applicazione automatizzata delle configurazioni e dei criteri di protezione. Il livello Dinamico estende a terzi queste funzionalità implementando il provisioning dell'account utente automatizzato e l'accesso protetto delle risorse di rete.
Requisito: provisioning dell'account utente automatizzato centralizzato su sistemi eterogenei
Target
È necessario leggere questa sezione se non si dispone di uno strumento centralizzato e automatizzato per il provisioning dell'account utente automatizzato sull'80% e oltre dei sistemi eterogenei.
Panoramica
Le grandi imprese odierne spesso seguono processi complessi, caratterizzati da una scarsa progettazione, per eseguire il provisioning dei sistemi con le informazioni per gli utenti della rete di computer. In alcune organizzazioni, ad esempio, è possibile che trascorrano anche due settimane prima che nuovi information worker possano accedere alla posta elettronica e alle applicazioni di cui necessitano per svolgere il loro lavoro. I processi manuali ad attività intensiva generalmente coinvolti per il provisioning dell'identità determinano un maggiore carico di lavoro, ritardi nella produttività dei dipendenti e, spesso, un ambiente di rete non sicuro.
L'amministrazione manuale delle attività di provisioning è lenta e, in genere, non consente di applicare in maniera coerente i criteri per l'accesso e l'autorizzazione. Senza processi automatizzati affidabili, spesso potrebbe non essere opportuno neanche tentare l'implementazione di tutti i criteri auspicabili.
Le organizzazioni memorizzano le informazioni sull'identità in diversi archivi o archivi dati. L'uso di un prodotto che include la funzionalità di metadirectory consente di sincronizzare i dati esistenti in modo da renderli coerenti in tutti gli archivi. Per passare al livello Dinamico, è necessario implementare e utilizzare le tecnologie che consentono il provisioning centralizzato e automatizzato.
Fase 1: valutazione
Durante la fase di valutazione, occorre seguire le solite attività svolte quando i dipendenti entrano a far parte dell'organizzazione, durante i trasferimenti o la riorganizzazione del personale, quando vengono ripristinate le password o vengono effettuate altre richieste comuni alle directory dell'utente. Questi processi o flussi di lavoro si verificano in qualsiasi organizzazione; alcuni flussi di lavoro richiedono una maggiore elaborazione manuale rispetto ad altri. Il risultato della fase di valutazione è un catalogo che contiene i flussi di lavoro presenti per soddisfare le richieste comuni di provisioning della directory, tutti i criteri esistenti relativi all'accesso e all'autorizzazione, nonché l'identificazione dei necessari controlli manuali per la modifica o l'accesso all'autorizzazione. Un record del periodo di tempo generale trascorso dalla richiesta iniziale alla risoluzione di modifica consentirà di pianificare quali sono le attività che ricevono la priorità e che possono essere utilizzate dopo l'implementazione della soluzione di provisioning per calcolare i miglioramenti alla produttività.
Fase 2: identificazione
Una volta identificati i flussi di lavoro, i criteri e gli sforzi sottostanti necessari per eseguire le comuni attività di provisioning dell'utente, la fase di identificazione identifica le aree di miglioramento per le directory o le attività utente esistenti.
Il presente documento mette in evidenza tre scenari principali per l'esecuzione della fase di identificazione:
Provisioning basato sulle risorse umane
Gestione gruppi
Provisioning autonomo
Questi scenari corrispondono in genere a molte delle sfide che interessano il provisioning dell'account e i servizi directory dell'organizzazione, ma non rappresentano un quadro esaustivo. Sarà opportuno identificare molte delle aree principali di miglioramento o di violazione degli attuali criteri da inserire durante la fase di valutazione e di pianificazione del progetto. Alla base dei criteri di successo sono l'efficienza raggiunta per quanto concerne l'attività e la correzione dei problemi evidenziate nei seguenti scenari.
Provisioning basato sulle risorse umane
In un simile scenario, la sincronizzazione delle informazioni sull'identità è solo una parte della soluzione richiesta. Oltre ad abilitare una visualizzazione completa degli utenti, occorre una soluzione di provisioning automatizzata.
Il provisioning basato sulle risorse umane consente di risolvere e correggere questi problemi:
Maggiore sforzo nella gestione di più archivi dati
Dati incoerenti
Utenti che prendono in prestito l'account di altri
Account obsoleti (quelli non disabilitati o rimossi tempestivamente)
Accesso inappropriato
Gestione gruppo
Le organizzazioni utilizzano in genere gruppi di distribuzione per la distribuzione di gruppi di posta elettronica e gruppi di protezione a utenti di gruppi aventi gli stessi diritti. La sfida consiste nel gestire questa varietà di tipi di gruppi per garantire che vengano concessi i diritti corretti o che vengano revocati tempestivamente quelli non conformi alle regole aziendali, consentendo al tempo stesso il routing più efficace della posta elettronica e un'esperienza utente migliore.
Senza una soluzione di provisioning centralizzata e automatizzata, risulta difficile posizionare gli utenti nei gruppi appropriati durante il processo di provisioning e gestire i gruppi man mano che gli utenti cambiano ruolo, posizione e ubicazione nel corso della loro carriera. Questa situazione porta alla frustrazione dell'utente, a un aumento del numero di chiamate al supporto tecnico, nonché a concedere l'accesso non appropriato ad alcuni utenti.
Gestione gruppo soddisfa e corregge questi problemi:
Accesso ritardato per i nuovi utenti
Elenchi di distribuzione non corretti
Gruppi obsoleti
Posta elettronica ridondante
Autorizzazioni non rimosse dopo che un dipendente ha lasciato un gruppo
Numero eccessivo di account amministrativi
Provisioning autonomo
Mentre il provisioning basato sulle risorse umane viene considerato generalmente come una fonte autorevole per i dipendenti permanenti, non è sempre una fonte di dati altrettanto autorevole per il provisioning automatizzato per appaltatori e dipendenti temporanei.
Il provisioning autonomo affronta e corregge questi problemi:
Ritardi degli appaltatori che sono in grado di svolgere il proprio lavoro
Account obsoleti
Distribuzione di password inefficace insicura
Account duplicati
Fase 3: stima e pianificazione
Nella fase di stima e valutazione, verranno prese in considerazione le tecnologie da utilizzare per supportare l'automazione del provisioning dell'account utente e autonomo. Occorre valutare e mettere a confronto la funzionalità e i costi associati agli strumenti e alla relativa implementazione. Una volta scelta una tecnologia, è opportuno che durante il processo di pianificazione si discuta dell'implementazione della tecnologia di provisioning e si definisca la priorità degli scenari. Microsoft fornisce diversi strumenti da utilizzare per centralizzare e automatizzare il provisioning dell'utente in ambienti informatici eterogenei:
Microsoft Identity Lifecycle Manager 2007 (ILM 2007)
Microsoft Identity Integration Server (MIIS) 2003
Zero Touch Provisioning (ZTP)
Microsoft Identity Lifecycle Manager 2007
Microsoft Identity Lifecycle Manager 2007 (ILM 2007) è la tecnologia consigliata per l'automazione del provisioning dell'account utente. ILM 2007 fornisce una soluzione integrata e completa per la gestione dell'intero ciclo di vita delle identità dell'utente e delle relative credenziali associate. Tale tecnologia si basa sulle funzionalità di metadirectory e di provisioning dell'utente in Microsoft Identity Integration Server 2003 (MIIS 2003) e aggiunge nuove funzionalità per la gestione di credenziali complesse come smart card con Certificate Lifecycle Manager 2007 (CLM 2007). ILM 2007 fornisce la sincronizzazione delle identità, la gestione del certificato e della password, nonché il provisioning dell'utente in un'unica soluzione che funziona nei sistemi Microsoft Windows® e in altri sistemi organizzativi. Di conseguenza, le organizzazioni possono definire e automatizzare i processi utilizzati per gestire le identità dal momento della creazione al momento del ritiro. La guida alle risorse tecniche per ILM 2007 continua a evolversi, per ulteriori informazioni leggere l'articolo Creazione di un flusso di lavoro di provisioning in un unico passaggio pubblicato nell'edizione di maggio 2007 di TechNet Magazine.
Microsoft Identity Integration Server 2003
Microsoft Identity Integration Server 2003 è un servizio centralizzato per l'archiviazione e l'integrazione delle informazioni sull'identità nelle organizzazioni con più directory. L'obiettivo di MIIS 2003 è fornire alle organizzazioni una visione d'insieme di tutte le informazioni conosciute sull'identità relative a utenti, applicazioni e risorse di rete. Microsoft TechNet fornisce diverse risorse per la pianificazione e l'implementazione automatizzata dei servizi di provisioning dell'utente mediante MIIS 2003, in particolare Provisioning and Workflow in the Microsoft Identity and Access Management Series (in inglese).
Zero Touch Provisioning
Zero Touch Provisioning è l'implementazione delle azioni, dei flussi di lavoro e delle operazioni richieste per abilitare gli utenti ad abbonarsi autonomamente ai servizi e al software. ZTP richiede che le identità siano già distribuite ed estende il provisioning dai servizi di identità e di accesso ad altre richieste di servizio IT nell'organizzazione. ZTP consente alle organizzazioni di passare a un portale di provisioning gestito e autonomo che consente ai delegati di eseguire alcune attività di provisioning comuni come il ripristino delle password, il provisioning della posta elettronica e l'installazione dell'applicazione elettiva. ZTP si basa su Microsoft BizTalk Server e richiede l'uso di Systems Management Server 2003. ZTP fornisce una base per eseguire il provisioning dell'azienda o dei servizi commerciali di hosting, con conseguente riduzione dell'intervento da parte dell'amministratore durante la fase di provisioning. È disponibile una versione iniziale di ZTP che utilizza BizTalk Server 2004 tramite il download di Solution Accelerator for Business Desktop Deployment Enterprise Edition Version 2.5. Per le versioni più recenti di Zero Touch Provisioning che utilizzano BizTalk Server 2006, contattare Servizi Microsoft.
Valutazione delle tecnologie
Ognuna delle tecnologie elencate in precedenza, così come le tecnologie disponibili di altri fornitori, consentono di ottenere il provisioning automatizzato dell'oggetto identità o account. Inoltre, le soluzioni ZTP aggiungono un ulteriore livello di funzionalità alla gestione del ciclo di vita dell'identità fornendo il provisioning automatizzato delle più comuni richieste di servizio, come la richiesta e il provisioning autonomo delle nuove applicazioni e dei nuovi ripristini di password. Si consiglia di leggere le risorse evidenziate durante la valutazione delle opzioni della tecnologia, insieme ai costi e ai requisiti di implementazione associati.
Pianificazione della soluzione
È possibile progettare e pianificare una soluzione di provisioning nello stesso modo in cui si progetterebbe o pianificherebbe qualsiasi altro progetto IT. Il processo richiede la raccolta dei requisiti, l'implementazione di progetti concettuali, logici e fisici, la creazione di una prova del concetto, infine la creazione di piani di progetto, di una pianificazione e di un budget. Per ulteriori informazioni, vedere Identity Aggregation and Synchronization (in inglese).
Per ulteriori informazioni sull'architettura di una soluzione MIIS 2003, vedere MIIS 2003 Design and Planning Collection (in inglese).
La guida specifica al progetto per ILM 2007 è attualmente in fase di sviluppo. Le indicazioni evidenziate in Identity and Access Management Series sono state create e testate per MIIS 2003, ma la maggior parte dei concetti principali possono essere applicati a funzionalità equivalenti e a obiettivi di pianificazione e distribuzione per ILM 2007. Per indicazioni aggiuntive, consultare Technical library for ILM 2007 (in inglese).
Fase 4: distribuzione
Dopo la valutazione delle soluzioni di provisioning e la pianificazione dei progetti, si passa alla fase finale, ossia alla distribuzione. Esistono diversi prerequisiti per sviluppare una soluzione di flusso di lavoro e di provisioning; in questa sezione vengono analizzati soltanto quelli di identità e di accesso relativi al provisioning:
Data Access Application Block for .NET 2.0 installato.
Componente Microsoft Message Queuing (MSMQ)installato.
Una volta rispettati i prerequisiti, l'implementazione prevede la configurazione di MIIS 2003 o ILM 2007 e l'inizio dell'esecuzione delle operazioni di gestione delle identità, tra cui l'importazione e la sincronizzazione di tutti i dati esistenti in modo da essere preparati per effettuare operazioni continue.
Per ulteriori informazioni sulla distribuzione di una soluzione di provisioning mediante ILM 2007, vedere Creazione di un flusso di lavoro di provisioning in un unico passaggio pubblicato nell'edizione di maggio 2007 di TechNet Magazine.
Per ulteriori informazioni sull'implementazione di MIIS 2003 per il provisioning dell'account utente, vedere Implementing the Solution nella sezione Workflow and Provisioning di Microsoft Identity and Access Management Series.
Ulteriori informazioni
Per ulteriori informazioni sul provisioning dell'utente, andare alla pagina Microsoft TechNet ed effettuare una ricerca sul provisioning dell'utente.
Per informazioni su come Microsoft gestisce il provisioning, andare alla pagina https://www.microsoft.com/technet/itshowcase/content/ensidcon.mspx.
Checkpoint dell'argomento
|
Requisiti |
|---|---|
Definiti i flussi di lavoro correnti relativi al provisioning dell'identità degli oggetti all'interno dell'organizzazione, nonché le aree da migliorare od ottimizzare. |
|
|
Identificate le tecnologie utilizzate per gestire i cicli di vita dell'identità degli oggetti. |
|
Implementata una soluzione consolidata per automatizzare i flussi di lavoro comuni relativi al provisioning degli account utente. |
.gif)
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Dinamico per le funzionalità di provisioning dell'utente automatizzato e centralizzato del modello di ottimizzazione dell'infrastruttura. Si consiglia di attenersi alle procedure consigliate aggiuntive per il provisioning dell'utente per garantire che l'accesso utente e i livelli di protezione della rete vengano mantenuti a un livello standard.
Passare alla domanda di autovalutazione successiva.
Requisito: autenticazione dei clienti esterni e dei partner commerciali basata sulle directory
Target
È necessario leggere questa sezione se non si utilizza uno strumento basato su directory in grado di abilitare l'accesso autenticato a clienti e partner aziendali esterni.
Panoramica
Nella Guida alla pianificazione dell'ottimizzazione dell'infrastruttura per i responsabili dell'implementazione: dal livello Base al livello Standard viene illustrato l'utilizzo di servizi directory per l'autenticazione dell'utente. Per passare al livello Dinamico, la funzionalità di ottimizzazione dell'infrastruttura principale richiede la possibilità di estendere, quando necessario, l'autenticazione sicura ai clienti e ai partner aziendali esterni. La maggior parte delle organizzazioni hanno la necessità di fornire informazioni a clienti e partner aziendali esterni in qualsiasi forma e a intervalli regolari. Le organizzazioni IT possono utilizzare le federazioni di identità per prendere decisioni sulla base dei dati sull'identità di altre organizzazioni, condividendo al tempo stesso determinate informazioni sulle identità dei propri utenti. Una federazione rappresenta un accordo tra due organizzazioni aventi un obiettivo comune ed è generalmente strutturata in modo che ogni organizzazione si occupi della gestione delle informazioni, dei criteri di accesso e degli oggetti identità interni.
Fase 1: valutazione
I dati e le informazioni sono condivise inevitabilmente dagli azionisti esterni dell'organizzazione. Durante la fase di valutazione, si utilizza un inventario dei dati condivisi e su come vengono attualmente eseguiti. I risultati della fase di valutazione è un elenco di risorse dove i dati e le informazioni sono generalmente condivisi che illustra dove una federazione può migliorare l'efficienza fornendo l'accesso agli azionisti esterni.
Fase 2: identificazione
In base alle risorse identificate durante la fase di valutazione, è possibile stabilire che alcuni flussi di lavoro esistenti possono essere resi più sicuri utilizzando processi manuali per controllare il flusso di dati. Nei casi in cui l'accesso protetto e autenticato di clienti o partner esterni non comprometta l'organizzazione, si potrà utilizzare la fase di identificazione per isolare le risorse, i partner e i clienti con priorità che possono partecipare a soluzioni di federazione di identità. Al termine della fase di identificazione si otterrà un elenco di queste organizzazioni, insieme alle risorse correlate e un elenco corrispondente di oggetti identità destinati al progetto iniziale.
Fase 3: stima e pianificazione
In seguito all'avanzamento del modello di ottimizzazione dell'infrastruttura principale e al raggiungimento dei prerequisiti del livello Standard, l'organizzazione disporrà di almeno un'infrastruttura Active Directory. Nel modello si presuppone anche che le organizzazioni al livello Razionale conoscano Active Directory Application Mode (ADAM). Durante la fase di stima e valutazione, verranno esaminate le tecnologie in grado di estendere l'autenticazione del servizio directory ad azionisti esterni, principalmente Active Directory Federation Services (ADFS), e pianificare l'implementazione della soluzione. Per ulteriori opzioni di gestione dell'accesso alle risorse esterne, vedere Extranet Access Management: Approaches to Extranet Access Management (in inglese) in Microsoft TechNet.
Active Directory Application Mode (ADAM)
ADAM fornisce servizi directory specificatamente per applicazioni basate su directory. ADAM non necessita o non si basa sui domini o le foreste di Active Directory. Tuttavia, negli ambienti in cui esiste Active Directory, ADAM può utilizzare Active Directory per l'autenticazione dei principi di protezione di Windows.
Active Directory Federation Services (ADFS) (in inglese)
Active Directory Federation Services (ADFS) è un componente di Microsoft Windows Server 2003 R2 che fornisce ai client basati su browser (interni o esterni alla rete) l'accesso Single Sign-On (SSO) alle applicazioni protette che si interfacciano con Internet, anche quando gli account utente e le applicazioni si trovano in reti o organizzazioni completamente differenti.
Quando un'applicazione si trova in una rete e un account utente in un'altra rete, in genere all'utente vengono richieste le credenziali secondarie nel momento in cui tenta di accedere all'applicazione. Tali credenziali secondarie rappresentano l'identità dell'utente nell'ambito in cui si trova l'applicazione e vengono richieste in genere dal server Web che ospita l'applicazione affinché possa prendere la decisione di autorizzazione più appropriata.
Con ADFS, le organizzazione possono ignorare le richieste delle credenziali secondarie fornendo relazioni di trust (trust federati) che possono essere utilizzate per progettare l'identità digitale di un utente e accedere ai diritti per i partner trusted. In questo ambiente federato, ogni organizzazione continua a gestire le proprie identità, ma ognuna di esse può anche proteggere e accettare in modo sicuro le identità di altre organizzazioni.
ADFS è pienamente integrato con Active Directory. ADFS richiama gli attributi utente da Active Directory e utilizza questo servizio per autenticare gli utenti. ADFS si avvale anche dell'Autenticazione integrata Windows.
Utilizzando ADFS, è possibile estendere l'infrastruttura Active Directory esistente per fornire l'accesso alle risorse messe a disposizione su Internet dai partner trusted. I partner trusted possono includere terze parti esterne o altri reparti o filiali della stessa organizzazione.
Scenari di federazione
ADFS supporta tre scenari di identità federate:
SSO Web federativo
SSO Web federativo con trust tra foreste
SSO Web
SSO Web federativo e SSO Web sono gli scenari richiesti per passare al livello Dinamico nel modello di ottimizzazione dell'infrastruttura principale.
SSO Web federativo
Lo scenario SSO Web federativo di ADFS implica la comunicazione protetta che spesso si estende a più firewall, reti perimetrali e server di risoluzione dei nomi, oltre all'intera infrastruttura di routing verso Internet. La comunicazione in un ambiente SSO Web federativo consente di stabilire transazioni online più efficienti e protette tra le organizzazioni accomunate da relazioni di trust.
.gif)
Figura 3. SSO Web federativo
SSO Web federativo con trust tra foreste
Lo scenario SSO Web federativo con trust tra foreste di ADFS implica due foreste di Active Directory di una singola organizzazione, come illustrato nella seguente figura.
.gif)
Figura 4. SSO Web federativo con trust tra foreste
SSO Web
Nello scenario SSO Web di ADFS gli utenti devono eseguire l'autenticazione una sola volta per accedere a più applicazioni basate sul Web. In uno scenario di questo tipo, tutti gli utenti sono esterni e non esiste alcuna relazione di trust federativa. Considerato che i server Web devono essere accessibili da Internet e connessi al dominio di Active Directory, sono connessi a due reti; pertanto, sono considerati multihomed. La prima rete è connessa a Internet (rete perimetrale) per fornire la connettività necessaria. La seconda rete contiene la foresta di Active Directory (la rete protetta) che non è accessibile direttamente da Internet.
.gif)
Figura 5. SSO Web
Pianificazione dell'implementazione di ADFS
Durante la pianificazione di un'implementazione di ADFS, sarà necessario prendere in considerazione i prerequisiti tecnologici, gli obiettivi del progetto, i partner o la pianificazione federativa, la strategia dell'applicazione federativa e la progettazione dell'infrastruttura.
Prerequisiti
Prima di implementare ADFS sarà necessario disporre dei seguenti servizi e funzionalità:
Active Directory. Un dominio di Active Directory è richiesto solo per il server di federazione delle risorse. Non viene utilizzato per ospitare gli account dei clienti.
ADAM. ADAM viene utilizzato per contenere tutti gli account dei clienti che verranno utilizzati per generare token ADFS. Per ulteriori informazioni su Active Directory o ADAM, vedere Appendix B: Reviewing Key ADFS Concepts (in inglese).
Server federativo di account/risorsa. Questo server federativo è utile sia nel ruolo di account sia nel ruolo di risorsa. Il server federativo di account/risorsa viene configurato in modo che Federation Service comprenda i valori per un'applicazione e un archivio di account, in questo caso ADAM, che contiene gli account degli utenti. Per ulteriori informazioni, vedere Review the role of the federation server in the account partner organization (in inglese) e Review the role of the federation server in the resource partner organization (in inglese).
Server Web che supporta ADFS. Il server Web che supporta ADFS può ospitare un'applicazione in grado di riconoscere attestazioni o un'applicazione basata sul token Windows NT®. L'agente Web ADFS conferma la ricezione di token ADFS validi da account di clienti prima di consentire l'accesso al sito Web protetto. Per ulteriori informazioni, vedere When to create an ADFS-enabled Web server (in inglese).
Cliente. Durante la connessione a Internet, il cliente accede a un'applicazione Web protetta da ADFS tramite un browser Web supportato. Il computer client del cliente su Internet comunica direttamente con il server federativo per l'autenticazione.
Considerazioni principali sulla pianificazione
Qui di seguito sono riportate alcune guide utili sulle risorse tecniche per la pianificazione dei servizi ADFS. Utilizzare tali risorse per sviluppare un piano di progetto per implementare i servizi ADFS.
Fase 4: distribuzione
Dopo aver raccolto le informazioni sull'ambiente e aver individuato un progetto Active Directory Federation Services (ADFS) seguendo le istruzioni presenti nella Guida alla progettazione di ADFS (Active Directory Federation Services), è possibile iniziare a pianificare la distribuzione della progettazione di ADFS dell'organizzazione. Con una progettazione completa di ADFS e le informazioni fornite in questo argomento, è possibile determinare le attività da eseguire per distribuire ADFS all'interno dell'organizzazione. Per istruzioni tecniche dettagliate sulla distribuzione di ADFS, vedere ADFS Deployment Guide di Windows Server 2003 R2 Technical Library
Per una guida dettagliata all'impostazione e all'amministrazione di ADFS, andare all'indirizzo http://technet2.microsoft.com/WindowsServer/f/?en/library/d022ac37-9b74-4ba1-95aa-55868c0ebd8c1033.mspx.
Ulteriori informazioni
Per ulteriori informazioni su ADFS, andare alla pagina Microsoft TechNet ed effettuare una ricerca su ADFS.
Checkpoint dell'argomento
|
Requisiti |
|---|---|
|
Convalidate le richieste e gli utilizzi per fornire l'accesso autenticato alle entità esterne. |
|
Stabiliti i criteri e le strategie per fornire l'accesso esterno alle risorse definite. |
|
Implementate le tecnologie per assicurare l'accesso protetto di utenti esterni definiti ai servizi specificati. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Dinamico per le funzionalità di autenticazione dei clienti esterni e dei partner commerciali basata sulle directory del modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate per l'autenticazione di partner e client.
Passare alla domanda di autovalutazione successiva.