Az Active Directory összevonási szolgáltatások (AD FS) webügynöke szerepkör-szolgáltatás az AD FS többi szerepkör-szolgáltatásától függetlenül telepíthető. Az AD FS-webügynök szerepkör-szolgáltatás telepítése után az adott számítógép AD FS-t támogató webkiszolgálóként használható.

Az AD FS-t támogató webkiszolgálók biztonsági jogkivonatokat dolgoznak fel, és webalkalmazások elérését teszik lehetővé, vagy utasítják vissza. Az AD FS-t támogató webkiszolgálónak kapcsolatot kell létesítenie egy erőforrás-oldali összevonási szolgáltatással, hogy a felhasználót szükség esetén az összevonási szolgáltatáshoz irányíthassa.

Az AD FS-webügynök az alkalmazások két alábbi típusát támogatja:

  • Jogcímbarát alkalmazások: Közzétett AD FS-objektumokhoz íródott, Microsoft ASP.NET-alapú alkalmazás, amely lehetővé teszi a biztonsági AD FS-jogkivonatokban lévő jogcímek lekérdezését. Az alkalmazások e jogcímek alapján hoznak engedélyezési döntéseket.

  • Windows NT-jogkivonatalapú alkalmazások: Windows-alapú engedélyezési mechanizmusokat használó alkalmazások. Az AD FS-webügynök támogatja a biztonsági jogkivonatok átalakítását megszemélyesítési szintű hozzáférési Windows NT-jogkivonatokká.

Az egyszeri bejelentkezés (SSO) megkönnyítése végett az AD FS-t támogató webkiszolgáló szükség esetén HTTP-cookie-kat is ment az ügyfél-számítógépeken. Az AD FS-webügynök két külön összetevőből áll:

  • Az Active Directory összevonási szolgáltatások Windows-jogkivonatalapú ügynöke bővítmény

  • AD FS-webügynök hitelesítési szolgáltatása

Az Active Directory összevonási szolgáltatások Windows-jogkivonatalapú ügynöke bővítmény

Az AD FS Windows-jogkivonatalapú ügynöke bővítmény egy olyan ISAPI-bővítmény, amely az Internet Information Services (IIS) metabázisának konfigurálására szolgál. Az IIS-kezelő Összevonási szolgáltatás URL-címe és AD FS-webügynök tulajdonságlapjain felügyelheti a biztonsági AD FS-jogkivonat és cookie-k ellenőrzésére szolgáló házirendet és tanúsítványokat.

Az AD FS-webügynök alábbi táblázatban látható tulajdonságai örökölhetők. Ezekre a tulajdonságokra IIS-erőforrásokon van szükség, ha az ISAPI-bővítmény a WS-F PRP protokoll támogatására szolgál.

Tulajdonságok Leírás

Összevonási szolgáltatás URL-címe

Az összevonási szolgáltatás URL-címe. Az URL-címre a megbízhatósági információk lekérdezéséhez van szükség.

Cookie-elérési út

A hitelesítési cookie létrehozásakor definiált elérési út.

Cookie tartománya

Az a tartomány, amelynek esetében az adott cookie érvényes.

Visszatérési URL

Az az URL-cím, amelyre a jogkivonat az összevonási szolgáltatásban való hitelesítése után visszatér. Ennek az URL-címnek egyeznie kell a jogkivonat „Címzett” elemével. Az URL-cím és a „Címzett” elem összevetését a Windows szolgáltatás végzi.

AD FS-webügynök hitelesítési szolgáltatása

Az AD FS-webügynök hitelesítési szolgáltatása ellenőrzi a bejövő jogkivonatokat és cookie-kat. A Helyi rendszer fiókban fut, és a Service-for-User (S4U) hitelesítési bővítmény – amely lehetővé teszi Windows-jogkivonatok beszerzését egyszerű felhasználónév jelszó nélkül történő megadásával –, vagy az AD FS hitelesítési csomagja használatával hoz létre jogkivonatokat. Az IIS-alkalmazáskészletet azonban nem szükséges a Helyi rendszer fiókban futtatni.

Az AD FS-webügynök hitelesítési szolgáltatásának felületei csak helyi RPC-hívással (LRPC) hívhatók, RPC-hívással nem. Ha biztonsági AD FS-jogkivonatot vagy AD FS-cookie-t kap, a szolgáltatás megszemélyesítési szintű Windows NT hozzáférési jogkivonatot ad vissza.

Lásd még


Tartalom