Webový agent služby Active Directory Federation Services (AD FS) je služba rolí služby AD FS, kterou můžete nainstalovat nezávisle na jiných službách rolí služby AD FS. Po instalaci služby rolí webového agenta služby AD FS v počítači se tento počítač stane webovým serverem s povolenou službou AD FS.
Webové servery s povolenou službou AD FS zpracovávají tokeny zabezpečení a povolují nebo zamítají uživatelům přístup k webové aplikaci. Pro splnění této funkce vyžaduje webový server s povolenou službou AD FS vztah se službou Federation Service poskytující prostředky, aby bylo možné uživatele podle potřeby směrovat na službu Federation Service.
Webového agenta služby AD FS je možné použít pro dva typy aplikací:
-
Aplikace pracující s deklaracemi: Aplikace založená na technologii Microsoft ASP.NET zapsaná do publikovaných objektů služby AD FS, které umožňují zadání dotazů na deklarace tokenů zabezpečení služby AD FS. Aplikace provádějí autorizační rozhodnutí na základě těchto deklarací.
-
Aplikace pracující s tokeny systému Windows NT: Aplikace používající mechanismus autorizace založený na systému Windows. Webový agent služby AD FS podporuje převod z tokenu zabezpečení služby AD FS na token systému Windows NT® na úrovni zosobnění.
Webový server s povolenou službou AD FS také ukládá soubory cookie protokolu HTTP (Hypertext Transfer Protocol) v klientech, kde jsou soubory cookie nutné pro jednotné přihlášování (SSO). Webový agent služby AD FS se skládá ze dvou komponent:
-
Rozšíření agenta pracujícího s tokeny systému Windows služby AD FS
-
Služba ověřování webového agenta služby AD FS
Rozšíření agenta pracujícího s tokeny systému Windows služby AD FS
Rozšíření agenta pracujícího s tokeny systému Windows služby AD FS je rozšíření rozhraní ISAPI (Server Application Programming Interface), které je možné použít ke konfiguraci informací metabázi Internetové informační služby (IIS). Ve Správci Internetové informační služby je možné použít stránky vlastností Adresa URL služby Federation Service a Webový agent služby AD FS ke správě zásad a certifikátů, které ověřují token zabezpečení služby AD FS a soubory cookie.
Vlastnosti webového agenta služby AD FS uvedené v následující tabulce jsou dědičné. Tyto vlastnosti jsou vyžadovány na prostředku služby IIS, jestliže rozšíření ISAPI má podporovat protokol WS-F PRP (WS-Federation Passive Requestor Profile).
| Vlastnosti | Popis |
|---|---|
|
Adresa URL služby Federation Service |
Adresa URL (Uniform Resource Locator) služby Federation Service. Tato adresa URL je povinná, protože může sloužit k získávání informací o vztazích důvěryhodnosti. |
|
Cesta k souboru cookie |
Cesta, která je zadána při zápisu ověřovacího souboru cookie. |
|
Doména souboru cookie |
Doména, pro kterou je soubor cookie platný. |
|
Adresa URL pro návrat |
Adresa URL, na kterou se token ze služby Federation Service vrátí po ověření u služby Federation Service. Tato adresa URL by se měla shodovat s prvkem Cílová skupina daného tokenu. Kontrolu oproti prvku Cílová skupina provádí služba systému Windows. |
Služba ověřování webového agenta služby AD FS
Služba ověřování webového agenta služby AD FS ověřuje příchozí tokeny a certifikáty. Je spuštěna pod účtem Local System a generuje tokeny pomocí funkce S4U (Service-for-User), která umožňuje získat token systému Windows pro klienta zadáním hlavního názvu uživatele (UPN) bez hesla, nebo pomocí ověřovacího balíčku služby AD FS. Spuštění pod účtem Local System však nevyžaduje fond aplikací služby IIS.
Služba ověřování webového agenta služby AD FS obsahuje rozhraní, která lze volat pouze pomocí protokolu LRPC (Local Remote Procedure Call), nikoli prostřednictvím vzdáleného volání procedur (RPC). Pokud je této službě předán token zabezpečení služby AD FS nebo soubor cookie služby AD FS, vrátí tato služba přístupový token systému Windows NT na úrovni zosobnění.