In Active Directory Federation Services (ADFS) vengono utilizzati i tipi di cookie seguenti:

  • Cookie di autenticazione

  • Cookie del partner account

  • Cookie di disconnessione

Cookie di autenticazione

I cookie di autenticazione possono essere installati sia dal servizio federativo che dall'agente Web ADFS. L'agente Web ADFS riceve un token di sicurezza ADFS e lo utilizza come valore del cookie. Il vantaggio relativo al server Web abilitato per ADFS consiste nel fatto che non è necessario configurarlo con una coppia di chiavi pubblica/privata in grado di firmare e verificare i cookie corrispondenti. Il servizio federativo pubblica tutte le informazioni necessarie per convalidare i token.

Nel servizio federativo il token di sicurezza incluso in un cookie contiene le attestazioni di organizzazione per il client. Tali attestazioni possono essere mappate ad attestazioni in uscita per una risorsa specifica. L'agente Web ADFS può inoltre autenticare e utilizzare i cookie rilasciati dal servizio federativo. Il server Web abilitato per ADFS riceve un cookie quando viene raggiunto dal client. L'agente Web ADFS può quindi autenticare il cookie e utilizzare le attestazioni in esso contenute. Per ulteriori informazioni sull'utilizzo dei token, delle attestazioni e dei cookie di autenticazione nel servizio federativo, vedere Informazioni sul servizio ruolo Servizio federativo.

Il cookie di autenticazione facilita il processo Single Sign-On (SSO). Dopo che il servizio federativo ha convalidato una prima volta il client, il cookie di autenticazione viene scritto nel client. Il servizio federativo crea e utilizza il contenuto del cookie di autenticazione, che non viene letto dai proxy server federativi. Ulteriori autenticazioni vengono eseguite tramite il cookie anziché tramite la raccolta ripetuta delle credenziali del client. Per ulteriori informazioni sui proxy server federativi, vedere Informazioni sul servizio ruolo Proxy servizio federativo.

Nella figura seguente vengono illustrati il contenuto di un cookie di autenticazione e i servizi ruolo di ADFS che utilizzano tale cookie. L'agente Web ADFS comprende sia il servizio Autenticazione agente Web ADFS che l'estensione per l'agente Web basato su token Windows ADFS.

Il contenuto del cookie di autenticazione

Il cookie di autenticazione è sempre un cookie della sessione. Poiché il cookie di autenticazione è firmato ma non crittografato, in ADFS è necessario utilizzare TLS/SSL (Transport Layer Security/Secure Sockets Layer).

Cookie del partner account

Il cookie del partner account facilita il processo SSO. Dopo l'individuazione interattiva dell'appartenenza al partner account, il cookie del partner account viene scritto nel client a condizione che includa un token valido. In ulteriori interazioni vengono utilizzate le informazioni presenti in questo cookie anziché richiedere nuovamente al client informazioni sull'appartenenza al partner account. Il cookie del partner account viene impostato in seguito al processo di individuazione del partner account. Per ulteriori informazioni sull'individuazione del partner account, vedere Informazioni sul servizio ruolo Servizio federativo.

Il cookie del partner account è un cookie permanente di lunga durata. Non è mai firmato né crittografato.

Cookie di disconnessione

Questo tipo di cookie facilita la disconnessione. Quando il servizio federativo rilascia un token, il partner risorse o il server di destinazione del token viene aggiunto al cookie di disconnessione. Quando riceve una richiesta di disconnessione, il servizio federativo o il Proxy servizio federativo invia a ogni server di destinazione del token la richiesta di eliminare tutti gli elementi di autenticazione, ad esempio i cookie memorizzati nella cache, che il partner risorse o il server Web abilitato per ADFS ha eventualmente scritto nel client. Nel caso di un partner risorse, viene inviata una richiesta di eliminazione a tutti i server Web abilitati per ADFS che sono stati utilizzati dal client.

Il cookie di disconnessione è sempre un cookie della sessione. Non è mai firmato né crittografato.


Argomenti della Guida