Principy souborů cookie používaných službou AD FS

Soubory cookie ověřování může vydat služba Federation Service i webový agent služby AD FS. Webový agent služby AD FS použije token zabezpečení služby AD FS, který přijala, jako hodnotu souboru cookie. Výhodou pro webový server s povolenou službou AD FS je, že není nutné konfigurovat veřejný a privátní klíč umožňující podepsat a ověřit vlastní soubory cookie. Služba Federation Service publikuje všechny informace nutné k ověření jejích tokenů.

Ve službě Federation Service obsahuje token zabezpečení v souboru cookie deklarace organizace pro klienta. Deklarace organizace mohou být namapovány na odchozí deklarace příslušného prostředku. Webový agent služby AD FS také ověřuje a používá soubory cookie, které jsou vydány službou Federation Service. Webový server s povolenou službou AD FS přijme soubor cookie, pokud se klient připojí k webovému serveru s povolenou službou AD FS. Potom může webový agent služby AD FS ověřit tento soubor cookie a použít deklarace, které soubor obsahuje. Další informace o způsobu použití tokenů, deklarací a souborů cookie ověření ve službě Federation Service naleznete v tématu Principy služby rolí služby Federation Service.

Soubor cookie ověřování usnadňuje metodu jednotného přihlášování (SSO). Jakmile služba Federation Service jednou ověří klienta, je soubor cookie ověřování zapsán do klienta. Služba Federation Service vytváří a spotřebovává obsah souboru cookie ověření a tento obsah není přečten proxy federačního serveru. Další ověření probíhá prostřednictvím souboru cookie, nikoli prostřednictvím opakovaného shromáždění pověření klienta. Další informace o proxy federačního serveru naleznete v tématu Principy služby rolí FSP (Federation Service Proxy).

Na následujícím obrázku je znázorněn obsah souboru cookie ověřování a služby role AD FS, které soubor cookie ověřování používají. Webový agent služby AD FS obsahuje službu ověření webového agenta služby AD FS a rozšíření agenta pracujícího s tokeny systému Windows služby AD FS.

Soubor cookie ověřování je vždy souborem cookie relace. Soubor cookie ověřování je podepsán, ale není šifrován, což je jeden z důvodů, proč je ve službě AD FS povinné použití protokolu TLS/SSL (Transport Layer Security/Secure Sockets Layer).

Soubor cookie partnera poskytujícího účty usnadňuje metodu jednotného přihlášení (SSO). Pokud má soubor cookie partnera poskytujícího účty platný token, potom po interaktivním vyhledání členství partnera poskytujícího účty bude soubor cookie zapsán do klienta. Další interakce používají informace obsažené v tomto souboru cookie a nikoli opětovné dotazování klienta na informace týkající se členství partnera poskytujícího účty. Soubor cookie partnera poskytujícího účty je nastaven jako výsledek procesu vyhledávání partnera poskytujícího účty. Další informace o vyhledávání partnera poskytujícího účty naleznete v tématu Principy služby rolí služby Federation Service.

Soubor cookie partnera poskytujícího účty je trvalý soubor cookie. Není podepsaný ani zašifrovaný.

Soubor cookie odhlašování usnadňuje odhlášení. Při každém vydání tokenu službou Federation Service je partner poskytující prostředky tokenu nebo cílový server přidán do souboru cookie odhlašování. Při přijetí požadavku na odhlášení odesílá služba Federation Service nebo FSP (Federation Service Proxy) požadavky jednotlivým cílovým serverům tokenu a žádá je o odstranění všech artefaktů ověřování, například souborů cookie uložených v mezipaměti, které mohl partner poskytující prostředky nebo webový server zapsat do klienta. V případě partnera poskytujícího prostředky je odeslán požadavek na vyčištění všem webovým serverům s povolenou službou AD FS, které klient použil.

Soubor cookie odhlašování je vždy souborem cookie relace. Není podepsaný ani zašifrovaný.