In Active Directory Federation Services (ADFS) viene utilizzata la terminologia di numerose tecnologie diverse, tra cui Servizi certificati, Internet Information Services (IIS), Servizi di dominio Active Directory, Active Directory Lightweight Directory Services (AD LDS) e Web Services (WS-*). Nella tabella seguente vengono descritti tali termini.
Termine | Descrizione |
---|---|
server federativo di account |
Server federativo che si trova nella rete aziendale dell'organizzazione partner account. Questo server rilascia token di sicurezza agli utenti in base all'autenticazione utente. Il server esegue l'autenticazione di un utente, estrae gli attributi rilevanti e le informazioni sull'appartenenza a gruppi dall'archivio account e genera e firma un token di sicurezza da restituire all'utente che verrà utilizzato nella relativa organizzazione o verrà inviato a un'organizzazione partner. |
proxy del server federativo di account |
Proxy server federativo che si trova nella rete perimetrale dell'organizzazione partner account. Questo proxy server raccoglie le credenziali di autenticazione da un client che esegue l'accesso su Internet o dalla rete perimetrale e passa tali credenziali al server federativo di account. |
partner account |
Partner federativo considerato attendibile dal servizio federativo per il rilascio dei token di sicurezza ai relativi utenti (ovvero agli utenti dell'organizzazione partner account) in modo da consentirne l'accesso alle applicazioni basate sul Web nel partner risorse. |
Active Directory Federation Services (ADFS) |
Componente di Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2 che offre tecnologie Web SSO (Single Sign-On) per eseguire l'autenticazione di un utente in più applicazioni Web durante una singola sessione online. ADFS ottiene tale risultato condividendo identità digitale e diritti in maniera sicura all'interno dei confini di sicurezza e dell'organizzazione. ADFS supporta WS-F PRP (WS-Federation Passive Requestor Profile). |
Agente Web ADFS |
Servizio ruolo installabile di ADFS utilizzato per la creazione di un server Web abilitato per ADFS. Un agente Web ADFS utilizza i token di sicurezza e i cookie di autenticazione firmati da un server federativo valido per consentire o negare l'accesso di un utente all'applicazione protetta, considerando contemporaneamente le impostazioni di controllo dell'accesso specifiche dell'applicazione. |
server Web abilitato per ADFS |
Server Web che esegue Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2, configurato con il software dell'agente Web ADFS appropriato, ovvero l'agente in grado di riconoscere attestazioni o l'agente basato su token Windows, che è necessario per l'autenticazione e l'autorizzazione dell'accesso federativo alle applicazioni basate sul Web ospitate localmente. |
attestazione |
Dichiarazione di un server (ad esempio nome, identità, chiave, gruppo, privilegio o funzionalità) relativa a un client. |
applicazione in grado di riconoscere attestazioni |
Applicazione Microsoft ASP.NET che esegue l'autorizzazione in base alle attestazioni presenti in un token di sicurezza ADFS. |
mapping di attestazioni |
Azione di associazione, rimozione, filtraggio o trasferimento di attestazioni tra vari insiemi di attestazioni. |
pagina Web di individuazione del partner account del client |
Pagina Web che interagisce con l'utente per determinarne il partner account di appartenenza quando ADFS non è in grado di determinare automaticamente il partner account che deve eseguire l'autenticazione dell'utente. |
certificato di autenticazione client |
In ADFS, rappresenta un certificato utilizzato dai proxy server federativi per autenticare un client con il servizio federativo. |
pagina Web di chiusura sessione client |
Pagina Web avviata per offrire un riscontro visivo all'utente quando ADFS esegue un'operazione di chiusura della sessione con esito positivo. |
pagina Web di accesso client |
Pagina Web avviata per consentire l'interazione utente quando ADFS raccoglie le credenziali del client. Nella pagina Web di accesso client può essere utilizzata qualsiasi regola business necessaria per determinare il tipo di credenziali da raccogliere. |
applicazione federata |
Applicazione basata sul Web abilitata per ADFS a cui possono pertanto accedere gli utenti federati. |
utente federato |
Utente con account in un'organizzazione partner account che può accedere alle applicazioni federate di un'organizzazione partner risorse. |
federazione |
Coppia di aree di autenticazione o domini che hanno stabilito una relazione di trust federativa. |
server federativo |
Computer che esegue Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2, configurato per ospitare il componente Servizio federativo di ADFS. I server federativi sono in grado di autenticare o indirizzare le richieste da account utente in altre organizzazioni e da client che risiedono in qualsiasi posizione su Internet. |
proxy server federativo |
Computer che esegue Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2, configurato per ospitare il componente Proxy servizio federativo di ADFS. Questo tipo di proxy server offre servizi proxy con funzione di intermediari tra un client Internet e un server federativo protetto da firewall in una rete aziendale. |
Servizio federativo |
Servizio ruolo installabile di ADFS utilizzato per la creazione di un server federativo. Se installato, il servizio federativo rilascia token in risposta alle richieste di token di sicurezza. È possibile configurare più server federativi al fine di garantire la tolleranza di errore e il bilanciamento del carico per un servizio federativo singolo. |
Proxy servizio federativo |
Servizio ruolo installabile di ADFS utilizzato per la creazione di un proxy server federativo. Se installato, il servizio ruolo Proxy servizio federativo utilizza protocolli WS-F PRP per raccogliere le informazioni relative alle credenziali utente da browser client e applicazioni Web e inviarle al servizio federativo per loro conto. |
attestazioni di organizzazione |
Attestazioni in formato intermedio o normalizzato all'interno dello spazio dei nomi di un'organizzazione. |
client passivo |
Browser HTTP (Hypertext Transfer Protocol) con ampio supporto per numerose versioni di HTTP, in grado di utilizzare cookie. In Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2, ADFS supporta solo client passivi ed è conforme alla specifica WS-F PRP. |
account della risorsa |
Entità di sicurezza singola, in genere un account utente, creata in Servizi di dominio Active Directory e utilizzata per il mapping a un unico utente federato. Un account della risorsa è necessario quando si forma una federazione di applicazioni basate su token Windows NT, in quanto l'agente basato su token Windows NT deve fare riferimento a un'entità utente di Active Directory nella foresta del partner risorse per creare il token di accesso Windows NT e imporre in tal modo le autorizzazioni per il controllo di accesso sull'applicazione. |
server federativo di risorsa |
Server federativo nell'organizzazione partner risorse. Il server federativo di risorsa rilascia in genere token di sicurezza agli utenti in base a un token di sicurezza rilasciato da un server federativo di account. Il server esegue le operazioni seguenti:
|
proxy del server federativo di risorsa |
Proxy server federativo che si trova nella rete perimetrale dell'organizzazione partner risorse. Questo proxy esegue l'individuazione del partner account per i client Internet e reindirizza i token di sicurezza in ingresso al server federativo di risorsa. |
gruppo di risorse |
Gruppo di sicurezza singolo, creato in Servizi di domino Active Directory, a cui vengono mappate le attestazioni basate su gruppo in ingresso, ovvero le attestazioni basate su gruppo di ADFS provenienti dal partner account. Dopo che è stato eseguito il mapping degli utenti federati a un gruppo di risorse, i server Web abilitati per ADFS saranno in grado di prendere decisioni relative alle autorizzazioni per le applicazioni basate su token Windows NT in base alle autorizzazioni di accesso assegnate agli ID di sicurezza (SID) del gruppo di risorse. |
partner risorse |
Partner federativo che considera attendibile il servizio federativo per il rilascio dei token di sicurezza basati su attestazione relativi alle applicazioni basate sul Web (ovvero le applicazioni nell'organizzazione partner risorse), a cui possono accedere gli utenti nel partner account. |
token di sicurezza |
Unità di dati con firma crittografata che esprime una o più attestazioni. In ADFS un token di sicurezza firmato indica che il server federativo che lo ha rilasciato ha verificato con esito positivo l'autenticità dell'utente federato. |
servizio token di sicurezza |
Servizio Web che rilascia token di sicurezza. Tale servizio crea asserzioni, basate su evidenze considerate attendibili, per qualsiasi destinatario lo consideri attendibile o per destinatari specifici. Per comunicare trust, un servizio richiede una prova, ad esempio una firma, in grado di dimostrare la conoscenza di un token di sicurezza o di un insieme di token di sicurezza. Un servizio può generare direttamente i token oppure basarsi su un servizio token di sicurezza separato per il rilascio di un token di sicurezza con la relativa dichiarazione di trust. Tale meccanismo costituisce la base della negoziazione di trust. In ADFS, il servizio federativo è un servizio token di sicurezza. |
certificato di autenticazione server |
Certificato utilizzato da server Web abilitati per ADFS, server federativi e proxy server federativi al fine di proteggere il traffico dei servizi Web relativo alla comunicazione con altri server e con i client Web. |
server farm |
In ADFS, insieme di server federativi con carico bilanciato, proxy server federativi o server Web che ospitano l'agente Web ADFS. |
Single Sign-On (SSO) |
Ottimizzazione della sequenza di autenticazione al fine di eliminare il carico di lavoro dovuto ad azioni di accesso ripetute da parte di un utente finale. |
certificato per la firma di token |
Certificato X.509 con coppia di chiavi pubblica e privata associata utilizzata dai server federativi per apporre la firma digitale su tutti i relativi token di sicurezza generati. |
URI (Uniform Resource Identifier) |
Stringa compatta di caratteri che identifica una risorsa astratta o fisica. Per ulteriori informazioni sugli URI, vedere la RFC (Request for Comments) 2396 all'indirizzo |
certificato di verifica |
Certificato che rappresenta la parte relativa alla chiave pubblica di un certificato per la firma di token. Ogni certificato di verifica viene archiviato nei criteri di attendibilità e utilizzato dal server federativo in un'unica organizzazione per verificare che i token di sicurezza in ingresso siano stati rilasciati da server federativi validi nella farm dell'organizzazione e in altre organizzazioni. |
Web Services (WS-*) |
Specifiche per un'architettura dei servizi Web basata su standard industriali quali SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) e UDDI (Universal Description, Discovery, and Integration). WS-* offre una base per la distribuzione di soluzioni aziendali complete e interoperative nell'organizzazione estesa, con la possibilità di gestire sicurezza e identità federativa. Il modello dei servizi Web è basato sul principio che i sistemi dell'organizzazione sono scritti in linguaggi diversi e con modelli di programmazione diversi ed inoltre vengono eseguiti e sono accessibili da molti tipi diversi di dispositivi. I servizi Web consentono di creare sistemi distribuiti in grado di connettersi e interagire reciprocamente in modo semplice ed efficiente tramite Internet, indipendentemente dal linguaggio in cui sono stati scritti o dalla piattaforma su cui vengono eseguiti. |
WS-Security (Web Services Security) |
Serie di specifiche che descrive l'associazione di intestazioni di crittografia e firme ai messaggi SOAP. WS-Security descrive inoltre l'associazione di token di sicurezza, inclusi quelli binari come ad esempio certificati X.509 e ticket Kerberos, ai messaggi. In ADFS, le specifiche WS-Security vengono utilizzate per la firma dei token di sicurezza tramite Kerberos. |
applicazione basata su token Windows NT |
Applicazione Windows che utilizza un token Windows NT per l'autorizzazione degli utenti. |
WS-Federation |
Specifica che definisce un modello e un insieme di messaggi per la negoziazione di trust e la federazione di informazioni di identità e di autenticazione tra aree di autenticazione di trust diverse. La specifica WS-Federation identifica due origini per le richieste di autenticazione e identità tra aree di autenticazione di trust:
|
WS-F PRP (WS-Federation Passive Requestor Profile) |
Implementazione della specifica WS-Federation che propone un protocollo standard per l'applicazione del framework federativo nei client passivi, ad esempio nei Web browser. Nell'ambito di questo protocollo è previsto che i richiedenti di servizi Web accettino i nuovi meccanismi di sicurezza e siano in grado di interagire con i provider di servizi Web. |