V rámci navrhování nasazení služby AD FS (Active Directory Federation Services) je třeba určit typ federovaných aplikací, které budou službou AD DS zabezpečeny. Aby bylo možné aplikaci použít ve federaci, musí typ aplikace odpovídat minimálně jednomu z typů aplikací uvedených v následujícím textu.

Další informace o zdokonalené podpoře aplikací v této verzi služby AD FS naleznete v článku Novinky ve službě AD FS v systému Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684). (Stránka může být v angličtině.)

Aplikace pracující s deklaracemi

Deklarace jsou prohlášení (například jméno, identita, klíč, skupina, oprávnění nebo možnosti) učiněná o uživatelích, kterým rozumí oba partneři ve federaci služby AD FS a která slouží k autorizaci v aplikacích.

Aplikace pracující s deklaracemi je aplikace založená na technologii Microsoft ASP.NET, která byla vytvořena pomocí knihovny tříd služby AD FS. Tento typ aplikací umožňuje použití deklarací služby AD FS pro přímé provádění autorizačních rozhodnutí. Aplikace pracující s deklaracemi přijímá deklarace, které služba Federation Service odesílá v tokenech zabezpečení služby AD FS. Další informace o způsobu použití tokenů zabezpečení a deklarací ve službě Federation Service naleznete v tématu Principy služby rolí služby Federation Service.

Mapování deklarací je proces mapování, odebrání nebo filtrování, případně předávání příchozích deklarací do odchozích deklarací. K mapování deklarací nedochází při odesílání deklarací do aplikace. Do aplikace se místo toho odesílají deklarace organizací, které jsou určeny správcem služby Federation Service na straně partnera poskytujícího prostředky. (Deklarace organizací jsou deklarace ve zprostředkující nebo normalizované formě v oboru názvů organizace.) Další informace o deklaracích a mapování deklarací naleznete v tématu Principy deklarací.

V následujícím seznamu jsou popsány deklarace organizace, které mohou aplikace pracující s deklaracemi použít:

  • Deklarace identit (hlavní uživatelský název, běžný název)

    Při konfiguraci aplikace se určí, které z těchto deklarací identity se budou odesílat do aplikace. Neprovádí se žádné mapování ani filtrování.

  • Deklarace skupiny

    Při konfiguraci aplikace se určí deklarace skupin organizace, které se budou odesílat do aplikace. Deklarace skupin organizace, které nebudou označeny k odeslání do aplikace, budou vyřazeny.

  • Vlastní deklarace

    Při konfiguraci aplikace se určí vlastní deklarace organizace, které se budou odesílat do aplikace. Vlastní deklarace organizace, které nebudou označeny k odeslání do aplikace, budou vyřazeny.

Autorizace používající deklarace

Autorizace používající deklarace je tvořena modulem HTTP (Hypertext Transfer Protocol) a objekty pro dotazování deklarací, které přenáší token zabezpečení služby AD FS. Autorizace používající deklarace je podporována pouze aplikacemi založenými na technologii Microsoft ASP.NET.

Modul HTTP zpracovává zprávy protokolu AD FS na základě konfiguračních nastavení v souboru Web.config webové aplikace. Webové stránky provádějí úkoly ověřování a autorizace. Modul HTTP také ověřuje soubory cookie a získává z nich deklarace.

Aplikace pracující s tokeny systému Windows NT

Aplikace pracující s tokeny systému Windows NT představuje aplikaci Internetové informační služby (IIS), která byla vytvořena tak, aby využívala tradiční nativní postupy autorizace systému Windows. Tento typ aplikace není připraven na použití deklarací služby AD FS.

Aplikace pracující s tokeny systému Windows NT mohou používat pouze uživatelé systému Windows z místní sféry nebo z jakékoli sféry, která je pro místní sféru důvěryhodná (tj. pouze uživatelé, kteří se mohou k danému počítači přihlásit pomocí mechanismů ověřování založených na tokenech systému Windows NT).

Poznámka

V případě návrhů federace to znamená, že pro ověřování pomocí tokenů systému Windows NT mohou být vyžadovány účty prostředků nebo skupiny prostředků.

Token zabezpečení služby AD FS, který je odeslán agentovi pracujícímu s tokeny systému Windows NT, může obsahovat některý z následujících typů deklarace:

  • deklarace hlavního názvu uživatele (UPN) pro uživatele,

  • deklarace e-mailu pro uživatele,

  • deklarace skupiny,

  • vlastní deklarace pro uživatele,

  • deklarace hlavního názvu uživatele, e-mailu, skupiny nebo vlastní deklarace obsahující identifikátory zabezpečení (SID) uživatelského účtu. (Tato možnost platí pouze v případě, že povolena možnost Vztahy důvěryhodnosti systému Windows.)

Webový server s povolenou službou AD FS vytváří přístupové tokeny systému Windows na úrovni zosobnění. Přístupový token na úrovni zosobnění uchovává informace o zabezpečení procesů klienta a umožňuje službě zosobnění procesů klienta v operacích zabezpečení.

Následující pořadí procesů určuje způsob vytvoření tokenu systému Windows NT u aplikací, které s těmito tokeny pracují:

  1. Pokud token SAML (Security Assertion Markup Language) obsahuje v elementu Advice identifikátory zabezpečení (SID), je pomocí těchto identifikátorů generován token systému Windows NT.

  2. Jestliže token SAML identifikátory SID neobsahuje, ale obsahuje deklaraci identity typu hlavní název uživatele (UPN), je token systému Windows NT generován pomocí deklarace hlavního názvu uživatele.

  3. V případě, že token SAML neobsahuje identifikátory SID a deklarace identity typu e-mail obsahuje deklaraci identity typu hlavní název uživatele, je tato deklarace interpretována jako hlavní název uživatele a použita ke generování tokenu systému Windows NT.

Na toto chování nemá vliv, zda je při vytvoření položky zásad důvěryhodnosti pro danou webovou aplikaci ve službě Federation Service jako deklarace identity pro generování tokenů systému Windows NT určena deklarace identity typu hlavní název uživatele nebo e-mail.

Tradiční autorizace systému Windows

Podpora převedení tokenu zabezpečení služby AD FS na přístupový token systému Windows NT na úrovni zosobnění vyžaduje několik součástí:

  • Rozšíření ISAPI (Internet Server Application Programming Interface): Tato součást zjišťuje soubory cookie služby AD FS a tokeny zabezpečení služby AD FS od služby Federation Service, provádí odpovídající přesměrování protokolů a vytváří soubory cookie nezbytné pro fungování služby AD FS.

  • Ověřovací balíček služby AD FS: Ověřovací balíček služby AD FS generuje na základě hlavního názvu uživatele pro účet domény přístupový token na úrovni zosobnění. Balíček vyžaduje, aby bylo volajícímu uděleno oprávnění TCB (Trusted Computing Base).

  • Stránky vlastností Webový agent služby AD FS a Adresa URL služby Federation Services v modulu snap-in Správce Internetové informační služby (IIS): Tyto stránky vlastností můžete použít ke správě zásad a certifikátů pro ověřování tokenu zabezpečení služby AD FS a souborů cookie.

  • Služba ověřování webového agenta služby AD FS: Služba ověřování webového agenta služby AD FS je spuštěna s účtem Local System a generuje tokeny pomocí funkce S4U (Service-for-User) a ověřovacího balíčku služby AD FS. Fond aplikací Internetové informační služby (IIS) však nemusí být spuštěn s účtem Local System. Služba ověřování webového agenta služby AD FS obsahuje rozhraní, která lze volat pouze pomocí protokolu LRPC (Local Remote Procedure Call), nikoli prostřednictvím vzdáleného volání procedur (RPC). Pokud je této službě předán token zabezpečení služby AD FS nebo soubor cookie služby AD FS, vrátí přístupový token systému Windows NT na úrovni zosobnění.

  • Filtr rozhraní ISAPI webového agenta služby AD FS: Některé tradiční webové aplikace služby IIS používají filtr ISAPI, který může změnit příchozí data, jako jsou například adresy URL (Uniform Resource Locator). V takovém případě musí být filtr ISAPI webového agenta služby AD FS povolen a nakonfigurován jako filtr s nejvyšší prioritou. Ve výchozím nastavení není tento filtr povolen.


Obsah