Recurso de IO: Gerenciamento de Identidades e Acesso - Racionalizado para Dinâmico
Nesta página
.gif){kind=icon}
Introdução
Requisito: Controle automatizado e centralizado de contas de usuário em sistemas heterogêneos
Requisito: Autenticação baseada em diretório de clientes e parceiros comerciais externos
Introdução
O Gerenciamento de Identidades e Acesso é um recurso de Otimização de Infra-estrutura Central e o alicerce da implementação de muitos recursos no Modelo de Otimização de Infra-estrutura.
A tabela a seguir lista os desafios de alto nível, as soluções aplicáveis e os benefícios de migrar do nível Dinâmico para o nível Padronizado no Gerenciamento de Identidades e Acesso.
Desafios |
Soluções |
Benefícios |
|---|---|---|
Desafios comerciais Os usuários ainda precisam do suporte técnico para acessar os recursos — não há concessão de acesso a usuários Não há uma visão clara da identidade da empresa Desafios de TI Falta de um logon único, ou SSO (Single Sign-on), para vários sistemas, embora as identidades sejam centralmente administradas e as configurações sejam facilmente gerenciadas Os usuários continuam recebendo vários prompts de autenticação diariamente |
Projetos Implementar uma solução para gerenciar centralmente a concessão de acesso a usuários Implementar uma solução de gerenciamento de identidade federada entre plataformas e fronteiras organizacionais |
Benefícios comerciais A adoção de logons únicos em vários sistemas reduz os custos administrativos e aumenta a produtividade dos usuários. Vários repositórios de identidade são conectados e federados dentro de um firewall ou considerados confiáveis no fornecimento de identidades Benefícios de TI Administração centralizada de senhas Desativação e gerenciamento automatizados de conta de identidade durante o ciclo de vida Menor custo de suporte e tempo de inatividade dos usuários |
O Gerenciamento de Identidades e Acesso contínuo se concentra nos seguintes recursos, conforme descrito na Série de Gerenciamento de Identidades e Acesso da Microsoft:
Base para o gerenciamento de identidades e acesso
Gerenciamento do ciclo de vida da identidade
Gerenciamento de acesso e logon único
Observe que os recursos descritos acima são todos partes fundamentais do serviço de Gerenciamento de Identidades e Acesso de qualquer organização. Para obter mais informações, consulte a Série de Gerenciamento de Identidades e Acesso da Microsoft.
Os níveis Padronizado e Racionalizado do Gerenciamento de Identidades e Acesso, no Modelo de Otimização de Infra-estrutura, tratam das principais áreas de um serviço de diretório unificado e da aplicação automatizada de diretivas de configurações e segurança. O nível Dinâmico estende essas funcionalidades, fornecendo a terceiros o controle automatizado de contas de usuário e o acesso seguro a recursos de rede.
Requisito: Controle automatizado e centralizado de contas de usuário em sistemas heterogêneos
Público-alvo
Você deve ler esta seção se não tiver uma ferramenta centralizada e automatizada para controle de contas de usuário em 80% ou mais de seus sistemas heterogêneos.
Visão geral
As grandes organizações de hoje geralmente têm processos complexos e mal-projetados para fornecer aos sistemas informações sobre os usuários de uma rede. Por exemplo, em certas organizações, pode levar até duas semanas para que novos funcionários da área de informações possam acessar emails e os aplicativos necessários para realizar seu trabalho. Os processos manuais e árduos que costumam ser exigidos para o fornecimento de identidades causam sobrecarga, reduzem a produtividade dos funcionários e freqüentemente geram um ambiente de rede não muito seguro.
A administração manual das tarefas de fornecimento de acesso é lenta, e, geralmente, não promove o uso de diretivas de acesso e autorização de forma contínua. Sem processos confiáveis e automatizados, geralmente torna-se inviável até mesmo tentar implementar todas as diretivas desejadas.
As organizações armazenam informações de identidade em vários repositórios, ou armazenamentos de dados. Com o uso de um produto que inclui funcionalidade de metadiretório, é possível sincronizar os dados existentes de modo que eles se mantenham iguais em todos esses armazenamentos. Para migrar para o nível Dinâmico, é necessário implementar e utilizar tecnologias que permitam o fornecimento de acesso centralizado e automatizado.
Fase 1: Avaliação
Durante a fase Avaliação, você deve realizar as tarefas típicas de quando um funcionário é admitido, transferido ou remanejado na empresa, quando as senhas são redefinidas ou quando ocorre qualquer outra solicitação comum de diretórios de usuário a ser desempenhada individualmente. Esses processos ou fluxos de trabalho irão sempre ocorrer em qualquer organização; alguns processos de mudança ocorrem de forma mais manual que outros. O produto da fase Avaliação é um catálogo que contém os fluxos de trabalho existentes para resolver solicitações comuns de fornecimento de diretório, todas as diretivas existentes em torno de acesso e autorização, bem como a identificação dos controles manuais necessários para autorização de acesso ou mudança. Um registro do tempo que costuma ser necessário a partir da solicitação inicial até a resolução de mudança também irá ajudá-lo a planejar quais tarefas devem receber prioridade, podendo também ser usado depois que a solução de fornecimento de acesso tiver sido implementada para calcular melhorias de produtividade.
Fase 2: Identificação
Depois de identificar os fluxos de trabalho, as diretivas e os esforços subjacentes necessários para a realização de tarefas comuns de fornecimento de acesso a usuários, a fase Identificação identifica áreas de melhoria em diretórios ou atividades de usuário já existentes.
Este documento destaca três cenários de maior importância para conduzir a fase Identificação:
Fornecimento de acesso controlado pelo RH
Gerenciamento de grupo
Fornecimento de acesso para serviço autônomo
Esses cenários provavelmente correspondem a vários dos desafios associados à configuração de contas e aos serviços de diretório da sua organização, mas eles não são uma lista extensa. O resultado desta fase será a identificação de várias das principais áreas de melhoria ou violações das diretivas em vigor a serem incluídas durante a fase Avaliação e planejamento do projeto. Os critérios certos devem incluir ganhos de eficiência com relação a tarefas, bem como correção dos problemas ressaltados nas seguintes seções.
Fornecimento de acesso controlado pelo RH
Neste cenário, a sincronização de informações de identidade é somente uma parte da solução necessária. Além de ter uma visão abrangente dos seus usuários, você precisa também de uma solução automatizada de fornecimento de acesso.
Com o fornecimento de acesso controlado pelo RH, os seguintes problemas são analisados e corrigidos:
Esforço repetido para manter armazenamentos de dados separados
Dados discrepantes
Usuários que “pegam emprestado” a conta de outro
Contas desatualizadas (que não foram imediatamente desativadas ou removidas)
Acesso indevido
Gerenciamento de grupo
As organizações costumam usar grupos de distribuição para distribuir emails, e grupos de segurança para agrupar de forma conveniente usuários com direitos semelhantes. O desafio é gerenciar esses diferentes tipos de grupos para garantir que os direitos certos sejam concedidos ou recusados, em tempo hábil, de acordo com as regras da empresa, e ao mesmo tempo oferecer o máximo em eficiência no roteamento de emails e a melhor operação possível para o usuário.
Sem uma solução centralizada e automatizada de concessão de acesso, é difícil tanto alocar os usuários nos grupos certos durante o processo de fornecimento de acesso quanto gerenciar grupos, já que os usuários mudam de cargo, função e local ao longo de sua vida profissional. Essa situação gera frustração, aumenta o volume de ligações para o suporte técnico e faz com que alguns usuários recebem direitos de acesso inapropriados.
Com o gerenciamento de grupo, os seguintes problemas são analisados e corrigidos:
Acesso demorado para novos usuários
Listas de distribuição incorretas
Grupos desatualizados
Emails redundantes
Autorizações que não são removidas quando um funcionário deixa o grupo
Excesso de contas administrativas
Fornecimento de acesso para serviço autônomo
Embora o fornecimento de acesso controlado pelo RH seja geralmente considerado fonte autorizada para funcionários permanentes, ele nem sempre é uma fonte de dados autorizada capaz de controlar a concessão de direitos totalmente automatizada para pessoal terceirizado e temporário.
Com o fornecimento de acesso para serviço autônomo, os seguintes problemas são analisados e corrigidos:
Atrasos para que o pessoal terceirizado possa realizar seu trabalho
Contas desatualizadas
Senhas ineficazes ou pouco seguras
Contas repetidas
Fase 3: Avaliação e planejamento
Na fase de Avaliação e planejamento, você verá quais tecnologias podem ser usadas para ajudar a automatizar o fornecimento de contas de usuário e de serviço autônomo. Você deve avaliar e comparar a funcionalidade e os custos associados às ferramentas e suas respectivas implementações. Depois de selecionada a tecnologia, durante o processo de planejamento você deverá discutir os aspectos da implementação da tecnologia de fornecimento de acesso e priorizar os cenários. A Microsoft oferece várias ferramentas que você pode usar para centralizar e automatizar a concessão de acesso aos usuários em ambientes de computação heterogêneos:
Microsoft Identity Lifecycle Manager 2007 (ILM 2007)
Microsoft Identity Integration Server (MIIS) 2003
Zero Touch Provisioning (ZTP)
Microsoft Identity Lifecycle Manager 2007
O Microsoft Identity Lifecycle Manager 2007 (ILM 2007) é a tecnologia recomendada para a automação do fornecimento de contas de usuário. O ILM 2007 oferece uma solução integrada e abrangente para o gerenciamento de todo o ciclo de duração das identidades de usuário e suas credenciais associadas. O ILM 2007 é integrado ao metadiretório e aos recursos de fornecimento de acesso a usuários do Microsoft Identity Integration Server 2003 (MIIS 2003) e oferece novos recursos para gerenciar credenciais de alta segurança, como cartões inteligentes, com o Certificate Lifecycle Manager 2007 (CLM 2007). Ele fornece sincronização de identidade, gerenciamento de certificado e senha, e fornecimento de acesso a usuários, tudo em uma única solução que funciona no Microsoft Windows® e em outros sistemas organizacionais. O resultado disso é que as organizações podem definir e automatizar os processos usados para gerenciar identidades, desde a criação até a desativação. O guia de recursos técnicos do ILM 2007 continua sendo desenvolvido. Consulte o artigo Build a Single-Step Provisioning Workflow, na edição de maio de 2007 da TechNet Magazine para saber mais detalhes.
Microsoft Identity Integration Server 2003
O Microsoft Identity Integration Server (MIIS) 2003 é um serviço centralizado que armazena e integra informações de identidade para organizações com múltiplos diretórios. O objetivo do MIIS 2003 é oferecer às organizações uma visão unificada de todas as informações de identidade conhecidas sobre usuários, aplicativos e recursos de rede. O Microsoft TechNet fornece várias instruções para planejamento e implementação de serviços automatizados de fornecimento de acesso aos usuários usando o MIIS 2003, destacando-se Configuração e fluxo de trabalho, na Série de Gerenciamento de Identidades e Acesso da Microsoft (pode estar em inglês).
Zero Touch Provisioning (ZTP)
A solução Zero Touch Provisioning consiste na implementação das ações, fluxos de trabalho e operações necessários para habilitar os usuários a se auto-inscreverem em serviços e softwares. A solução ZTP requer que as identidades já estejam sendo gerenciadas e estende o controle de acesso a várias áreas, de serviços de identidade e acesso a outras solicitações de serviços de TI na organização. Com a solução ZTP, as organizações podem migrar para um portal de fornecimento de acesso gerenciado e de auto-serviço, que permite que o pessoal autorizado realize tarefas comuns de concessão de direitos, como redefinir senhas, fornecer acesso a email e instalar aplicativos pré-determinados. A ZTP baseia-se no Microsoft BizTalk Server e requer o uso do Systems Management Server 2003. A ZTP fornece uma base para o fornecimento confiável de direitos de acesso a aplicativos e serviços comerciais hospedados ou patenteados, o que resulta em menos intervenção do administrador durante a fase de fornecimento de acesso. Uma versão inicial da ZTP que usa o BizTalk Server 2004 encontra-se disponível através do download do Solution Accelerator for Business Desktop Deployment Enterprise Edition Versão 2.5. Para obter versões mais recentes do Zero Touch Provisioning com o BizTalk Server 2006, entre em contato com o Microsoft Services.
Avaliando as tecnologias
Cada uma das tecnologias listadas acima, bem como as tecnologias disponíveis de outros provedores, pode ajudá-lo a instaurar o fornecimento de direitos de acesso a contas e identidades. Além disso, as soluções ZTP acrescentam mais funcionalidades ao gerenciamento do ciclo de vida de identidades, atendendo a solicitações comuns de serviços, como solicitações de auto-serviço, concessão de acesso a novos aplicativos e redefinições de senha. Recomendamos que você leia o material destacado quando avaliar suas opções de tecnologia, avaliando também os custos associados e os requisitos de implementação.
Planejando uma solução
Você pode desenvolver e planejar uma solução de fornecimento de acesso da mesma maneira que desenvolveria e planejaria qualquer outro projeto de TI. O processo requer reunir os requisitos, implementar designs conceituais, lógicos e físicos, criar uma prova dos conceitos e, então, criar os planos de projeto e estabelecer um prazo e um orçamento. Para obter mais informações, consulte Agregação e sincronização de identidades.
Para obter mais informações sobre como projetar uma solução MIIS 2003, consulte a coleção de design e planejamento do MIIS 2003.
Um guia específico de projeto para o ILM 2007 se encontra atualmente em desenvolvimento. O guia destacado na Série de Gerenciamento de Identidades e Acesso foi criado e testado para o MIIS 2003, porém a maioria dos conceitos fundamentais podem ser aplicados a funcionalidades equivalentes, bem como para fins de planejamento e implantação, no ILM 2007. Visite a biblioteca técnica do ILM 2007 para obter mais instruções.
Fase 4: Implantação
Depois que suas soluções de fornecimento de acesso tiverem sido avaliadas e os projetos tiverem sido planejados, a fase final é a Implantação. Há vários pré-requisitos para a implantação de uma solução de fluxo de trabalho e fornecimento de serviços, e esta seção trata somente dos pré-requisitos de identidade e acesso:
O recurso de Agregação e sincronização de identidades deve estar implantado.
O Data Access Application Block for .NET 2.0 deve estar instalado.
O componente Microsoft Message Queuing (MSMQ) deve estar instalado.
Uma vez atendidos os pré-requisitos, a implementação consiste em configurar o MIIS 2003 ou o ILM 2007 e começar a realizar operações de gerenciamento de identidade, incluindo importar e sincronizar todos os dados existentes de modo a preparar-se para dar continuidade às operações em curso.
Para obter mais informações sobre como implantar uma solução de fornecimento de acesso usando o ILM 2007, consulte o artigo Build a Single-Step Provisioning Workflow, na edição de maio de 2007 da TechNet Magazine para saber mais detalhes.
Para obter mais informações sobre como implantar o MIIS 2003 para fornecimento de direitos de acesso a contas de usuário, consulte Implementando a solução, na seção Configuração e fluxo de trabalho, da série de gerenciamento de identidades e acessos da Microsoft (pode estar em inglês).
Mais informações
Para obter mais informações sobre fornecimento de acesso e serviços a usuários, visite o Microsoft TechNet e pesquise “configuração de usuários”.
Para ver como a Microsoft lida com o fornecimento de acesso e serviços, visite https://www.microsoft.com/technet/itshowcase/content/ensidcon.mspx.
Ponto de verificação de tópico
|
Requisitos |
|---|---|
Os fluxos de trabalho de configuração de objeto de identidade estão definidos na organização, assim como áreas que requerem aperfeiçoamento ou otimização. |
|
|
Tecnologias identificadas são usadas para gerenciar ciclos de vida de identidades de objeto. |
|
Uma solução consolidada foi implementada para automatizar fluxos de trabalho comuns de configuração de contas de usuário. |
.gif)
Se você concluiu as etapas listadas acima, sua organização atendeu ao requisito mínimo do nível Dinâmico para os recursos de fornecimento de acesso centralizado e automatizado aos usuários do Modelo de Otimização de Infra-estrutura. Recomendamos que você siga as orientações de outros recursos de práticas recomendadas para fornecimento de acesso a usuários para certificar-se de que os níveis de acesso de usuários e segurança da rede sejam mantidos em um padrão aceitável.
Vá para a próxima pergunta da auto-avaliação.
Requisito: Autenticação baseada em diretório de clientes e parceiros comerciais externos
Público-alvo
Você deve ler esta seção caso não utilize uma ferramenta baseada em diretório para permitir o acesso autenticado a clientes e parceiros comerciais externos.
Visão geral
No Guia de Planejamento de Otimização para Implementadores: Básico para Padronizado, abordamos o uso de serviços de diretório para autenticação de usuário. Para passar ao nível Dinâmico, a Otimização de Infra-estrutura Central requer a capacidade de estender com segurança a autenticação a clientes e parceiros comerciais externos, quando necessário. A maioria das organizações precisará, de alguma forma, fornecer informações a clientes e parceiros comerciais externos de forma contínua. As organizações de TI podem usar federações de identidade para tomar decisões com base em dados de identidade provindos de outras organizações e, ao mesmo tempo, compartilhar informações selecionadas sobre a identidade de seus próprios usuários. Uma federação representa um acordo entre duas organizações com um mesmo objetivo e é geralmente estruturada de modo que cada organização retenha o controle de suas próprias informações internas, diretivas de acesso e dados de identidade.
Fase 1: Avaliação
Os dados e as informações são inevitavelmente compartilhados com partes interessadas externas à organização. Durante a fase Avaliação, você fará um inventário dos dados compartilhados e de como isso vem sendo realizado atualmente. O resultado da fase Avaliação será uma documentação que lista os recursos em que dados e informações normalmente são compartilhados e que mostra onde uma federação pode melhorar a eficiência, ao fornecer acesso a partes interessadas externas confiáveis.
Fase 2: Identificação
Dependendo dos recursos identificados durante a fase Avaliação, você talvez determine que alguns dos fluxos de trabalho existentes podem se tornar mais seguros com o uso de processos manuais para controlar o fluxo de dados. Nos casos em que o acesso seguro e autenticado de clientes ou parceiros externos não compromete a organização, você deverá utilizar a fase Identificação para isolar clientes, parceiros e recursos prioritários que deverão participar de soluções de federação de identidade. O resultado da fase Identificação será uma lista detalhada dessas organizações, juntamente com os recursos relacionados e uma lista correspondente de dados de identidade definidos como alvo para o projeto inicial.
Fase 3: Avaliação e planejamento
Como resultado de avançar pelo Modelo de Otimização de Infra-estrutura Central e atender aos pré-requisitos do nível Padronizado, sua organização terá no mínimo uma infra-estrutura de Active Directory em vigor. Também pressupõe-se no modelo que as organizações que estejam no nível Racionalizado tenham conhecimento do Active Directory Application Mode (ADAM). Durante a fase Avaliação e planejamento, você irá examinar as tecnologias capazes de estender a autenticação de serviços de diretório a partes interessadas externas, principalmente o Active Directory Federation Services (ADFS), e planejar a implementação da solução. Para conhecer opções adicionais para gerenciar o acesso a recursos da extranet, consulte Extranet Access Management: Approaches to Extranet Access Management, no Microsoft TechNet.
Active Directory Application Mode (ADAM)
O componente ADAM fornece serviços de diretório especificamente a aplicativos habilitados para diretório. O ADAM não requer domínios ou florestas do Active Directory nem se baseia neles. Contudo, nos ambientes onde o Active Directory existe, o ADAM pode usar o Active Directory para autenticação dos princípios de segurança do Windows.
Active Directory Federation Services (ADFS)
O Active Directory Federation Services (ADFS) é um componente do Microsoft Windows Server 2003 R2 que fornece a clientes baseados em navegador (internos ou externos à rede) o acesso SSO (Single Sign-On, ou logon único) a aplicativos protegidos voltados para a Internet, mesmo quando os aplicativos e as contas de usuário estiverem em redes ou organizações totalmente diferentes.
Quando um aplicativo está em uma rede e uma conta de usuário está em outra, o usuário em geral é solicitado a fornecer credenciais secundárias quando tenta acessar o aplicativo em questão. Essas credenciais secundárias representam a identidade do usuário no reino onde reside o aplicativo e são geralmente exigidas pelo servidor Web que hospeda o aplicativo, para que ele possa tomar a decisão mais acertada sobre a autorização.
Com o componente ADFS, as organizações podem ignorar as solicitações de credenciais secundárias fornecendo relacionamentos de confiança (confiança na federação), que podem usar para projetar a identidade digital e os direitos de acesso de um usuário a parceiros confiáveis. No ambiente federado, cada organização continua controlando suas próprias identidades, mas cada uma pode também projetar e aceitar com segurança as identidades de outras organizações.
O ADFS está estreitamente integrado ao Active Directory. Ele recupera atributos de usuários do Active Directory e autentica os usuários usando o Active Directory. O ADFS também usa a autenticação integrada do Windows.
Ao implantar o ADFS, sua organização pode estender a infra-estrutura já existente do Active Directory para fornecer acesso aos recursos que são oferecidos por parceiros confiáveis via Internet. Esses parceiros confiáveis podem ser parceiros terceirizados ou outros departamentos, ou filiais da mesma organização.
Cenários de federação
O ADFS suporta três cenários de identidade federados:
SSO federado da Web
SSO federado da Web com confiança de floresta
SSO da Web
O SSO federado da Web e o SSO da Web são cenários necessários para migrar para o nível Dinâmico do Modelo de Otimização de Infra-estrutura Central.
SSO federado da Web
O cenário "SSO federado da Web" do ADFS envolve uma comunicação segura que geralmente compreende vários firewalls, redes de perímetro e servidores de resolução de nome, além de toda a estrutura de roteamento da Internet. A comunicação realizada no ambiente de SSO federado da Web pode ajudar a promover transações online mais eficientes e seguras entre as organizações interligadas pelos relacionamentos federados de confiança.
.gif)
Figura 3. SSO federado da Web
SSO federado da Web com confiança de floresta
O cenário "SSO federado da Web com confiança de floresta" do ADFS engloba duas florestas do Active Directory em uma única organização, conforme mostra a ilustração a seguir.
.gif)
Figura 4. SSO federado da Web com confiança de floresta
SSO da Web
No cenário "SSO da Web" do ADFS, os usuários devem se autenticar somente uma vez para acessar vários aplicativos na Web. Neste cenário, todos os usuários são externos, e não existe confiança de federação. Como os servidores Web devem poder acessar a Internet e se juntar ao domínio do Active Directory, eles são conectados a duas redes, ou seja, eles têm hospedagem múltipla. A primeira rede é voltada para a Internet (a rede de perímetro) para fornecer a conectividade necessária. A segunda rede contém a floresta do Active Directory (a rede protegida), que não pode ser acessada diretamente pela Internet.
.gif)
Figura 5. SSO da Web
Planejando a implementação do ADFS
Ao planejar a implementação do ADFS, você precisa levar em conta os pré-requisitos de tecnologia, as metas de projeto, o planejamento de parceria ou federação, a estratégia de aplicativos federados e o design de infra-estrutura.
Pré-requisitos
Você precisará ter os seguintes serviços ou funcionalidades em vigor para implementar o ADFS:
Active Directory. Um domínio do Active Directory é exigido somente para o servidor de federação de recursos. Ele não é usado para hospedar contas de clientes.
ADAM. O ADAM (Active Directory Application Mode) é usado para comportar as contas de clientes que serão usadas para gerar tokens do ADFS. Para obter mais informações sobre o Active Directory ou o ADAM, consulte o Apêndice B: Examinando conceitos fundamentais do ADFS.
Servidor de federação de recurso/conta Este servidor de federação atende tanto à função de contas quanto à função de recursos. O servidor de federação de recurso/conta é configurado de modo que o Serviço de federação inclua valores tanto para um aplicativo quanto para um armazenamento de conta — nesse caso, o ADAM — que contém as contas dos clientes. Para obter mais informações, consulte Review the role of the federation server in the account partner organization e Review the role of the federation server in the resource partner organization.
Servidores Web habilitados para ADFS. Um servidor Web habilitado para ADFS pode hospedar um aplicativo para controle de solicitações ou um aplicativo do Windows NT® baseado em token. O Agente da Web para ADFS confirma o recebimento de tokens válidos do ADFS vindos de contas de clientes antes de permitir o acesso a um site protegido. Para obter mais informações, consulte Quando criar um servidor da Web habilitado para ADFS (pode estar em inglês).
Cliente. Quando conectado à Internet, o cliente acessa um aplicativo da Web protegido por ADFS através de um navegador compatível. Na Internet, o computador cliente do cliente se comunica diretamente com o servidor de federação para autenticação.
Principais considerações sobre planejamento
Os guias a seguir são material técnico para o planejamento de serviços ADFS. Use esse material para ajudá-lo a desenvolver um plano de projeto para implementar serviços ADFS.
Fase 4: Implantação
Depois de recolher informações sobre seu ambiente e decidir qual design de ADFS (Active Directory Federation Services) implantar seguindo as diretrizes do ADFS Design Guide, você pode começar a planejar a implantação do seu design de ADFS na sua organização. Com o design de ADFS completo e as informações deste tópico, você poderá determinar quais tarefas realizar para implantar o ADFS na sua organização. Para obter orientações técnicas sobre a implantação do ADFS, consulte o ADFS Deployment Guide, na biblioteca técnica do Windows Server 2003 R2.
Para obter um guia passo a passo sobre como instalar e administrar o ADFS, visite http://technet2,microsoft.com/WindowsServer/f/?en/library/d022ac37-9b74-4ba1-95aa-55868c0ebd8c1033.mspx.
Mais informações
Para obter mais informações sobre ADFS, visite o Microsoft TechNet e pesquise “ADFS”.
Ponto de verificação de tópico
|
Requisitos |
|---|---|
|
Necessidade e usos validados para fornecer acesso autenticado a entidades externas. |
|
Estratégias e diretivas foram determinadas para proporcionar acesso externo a recursos definidos. |
|
Tecnologias foram implementadas para garantir o acesso seguro a serviços específicos por usuários externos definidos. |
Se você concluiu as etapas listadas acima, sua organização atendeu ao requisito mínimo do nível Dinâmico para os recursos de autenticação baseada em diretório de clientes e parceiros comerciais externos do Modelo de Otimização de Infra-estrutura. Recomendamos seguir as orientações dos recursos adicionais de práticas recomendadas para a autenticação de parceiros e clientes.
Vá para a próxima pergunta da auto-avaliação.