Servizio federativo è un servizio ruolo di Active Directory Federation Services (ADFS) che può essere installato indipendentemente da altri servizi ruolo di ADFS e che svolge la funzione di servizio token di sicurezza. Se si installa il servizio ruolo Servizio federativo su un computer, quest'ultimo diventerà un server federativo e lo snap-in di Active Directory Federation Services verrà reso disponibile nel menu Strumenti di amministrazione di tale computer. Per ulteriori informazioni sullo snap-in ADFS, vedere Utilizzare lo snap-in Active Directory Federation Services.

Il servizio ruolo Servizio federativo è progettato in modo da utilizzare Servizi di dominio Active Directory per il rilascio di token in risposta alle richieste di token di sicurezza. In questo modo domini e foreste Active Directory possono svolgere la funzione di:

  • Provider di identità in grado di formare una federazione con partner account e partner risorse compatibili. In qualità di provider di identità, il servizio federativo può proiettare identità Active Directory in Internet per interagire con applicazioni dei provider di servizi compatibili.

  • Provider di servizi in grado di formare una federazione con partner account e partner risorse compatibili. In qualità di provider di servizi, il servizio federativo può consentire a identità di altre organizzazioni di accedere alle applicazioni basate su Windows e su ASP.NET di un partner.

  • Provider di token di sicurezza per le applicazioni compatibili con la specifica WS-F PRP (WS-Federation Passive Requestor Profile).

In qualità di partner account, il servizio federativo consente agli utenti di accedere alle risorse delle organizzazioni partner. In risposta a una richiesta di un partner risorse, il servizio federativo raccoglie e verifica le credenziali utente in Servizi di dominio Active Directory o in un'istanza di Active Directory Lightweight Directory Services (AD LDS). Il servizio federativo può popolare un insieme di attestazioni di organizzazione basate sugli attributi LDAP (Lightweight Directory Access Protocol) dell'account utente. Le attestazioni di organizzazione vengono quindi mappate alle attestazioni appropriate per il partner risorse e incluse in un token di sicurezza firmato mediante il certificato per la firma di token del servizio federativo. Il token di sicurezza risultante viene inviato come risposta alla richiesta originale del partner risorse, che utilizza quindi il token per consentire l'accesso all'utente.

In qualità di partner risorse, il servizio federativo svolge il ruolo opposto. Quando un utente tenta di accedere a un'applicazione protetta da ADFS, il servizio federativo determina il partner account che dovrà autenticare l'utente e quindi invia una richiesta di autenticazione a tale partner. Quando l'utente restituisce un token di sicurezza, il servizio federativo verifica che il token sia stato firmato correttamente dal partner e quindi estrae le attestazioni dal token. Le attestazioni vengono mappate ad attestazioni di organizzazione e viene applicato il criterio di filtraggio per l'applicazione specifica. Le attestazioni di organizzazione filtrate vengono incluse in un token di sicurezza che viene firmato mediante il certificato per la firma di token del servizio federativo oppure protetto tramite una chiave di sessione Kerberos per l'applicazione Web. Il token di sicurezza risultante viene inviato all'URL (Uniform Resource Locator) dell'applicazione originale, che utilizza quindi il token per consentire l'accesso all'utente.

Il protocollo WS-F PRP viene utilizzato da ADFS per il trasporto di attestazioni nei token di sicurezza rilasciati dal servizio federativo all'applicazione Web. Per ulteriori informazioni sulla specifica WS-F PRP, vedere Risorse per ADFS.

Le attestazioni vengono popolate inizialmente dagli archivi account di Servizi di dominio Active Directory o di AD LDS. Il servizio federativo rilascia i token in base alle credenziali presentate. Dopo che l'archivio account ha verificato le credenziali di un utente, le attestazioni per tale utente vengono generate in base alle regole dei criteri di attendibilità. Il servizio federativo esegue il mapping delle attestazioni in entrata alle attestazioni in uscita appropriate per un partner risorse. I mapping di attestazioni risultanti vengono aggiunti a un token di sicurezza rilasciato al partner risorse. Per ulteriori informazioni sulle attestazioni, vedere Informazioni sulle attestazioni.

Dopo che il servizio federativo ha verificato il token, viene rilasciato un cookie di autenticazione che viene scritto nel browser client. Ogni volta che è necessario autenticare il client, il servizio federativo utilizza questo cookie affinché il client non debba immettere nuovamente le credenziali. In questo modo viene abilitato il Single Sign-On (SSO). Per ulteriori informazioni sui cookie, vedere Informazioni sui cookie utilizzati da ADFS.

Pagine Web del servizio federativo

Il servizio federativo offre una pagina Web in cui viene richiesto all'utente di selezionare un partner account appropriato per l'autenticazione dell'utente, nonché una pagina Web in cui vengono richieste le credenziali utente, ad esempio il nome utente e la password, per l'autenticazione basata su form. È inoltre disponibile una pagina Web che supporta l'autenticazione integrata di Windows.

In aggiunta alle pagine Web, il servizio federativo offre un servizio Web Microsoft ASP.NET che elabora le richieste del client o del proxy server federativo. Il proxy server federativo si trova nella rete perimetrale e svolge la funzione di intermediario tra un client Internet e un servizio federativo nella rete Intranet. Per ulteriori informazioni sul ruolo del proxy server federativo, vedere Informazioni sul servizio ruolo Proxy servizio federativo.

Il servizio federativo risponde a due tipi di richieste di base:

  • Richieste di rilascio di token di sicurezza

  • Richieste di recupero dei dati dei criteri di attendibilità

Individuazione del partner account

L'individuazione del partner account è il processo tramite il quale gli utenti possono identificare il partner account preferito per l'autenticazione in caso di configurazione di più partner account. Il server federativo offre questa scelta al browser client sotto forma di elenco a discesa contenente i nomi dei partner account configurati nei criteri di attendibilità.

Per evitare l'individuazione del partner account, è possibile includere il parametro whr nella stringa di query per la risorsa a cui viene eseguito l'accesso, ad esempio:

https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>

dove <accountpartner> indica l'area di autenticazione del partner account del client.

Quando si utilizza il parametro whr, il server federativo di risorsa rimuove il parametro e scrive un cookie nel browser client al fine di memorizzare questa impostazione per le richieste future. La richiesta procede quindi come se il parametro non fosse stato specificato.

Argomenti della Guida