In Active Directory Federation Services (ADFS) viene utilizzata la terminologia di numerose tecnologie diverse, tra cui Servizi certificati, Internet Information Services (IIS), Servizi di dominio Active Directory, Active Directory Lightweight Directory Services (AD LDS) e Web Services (WS-*). Nella tabella seguente vengono descritti tali termini.

Termine Descrizione

server federativo di account

Server federativo che si trova nella rete aziendale dell'organizzazione partner account. Questo server rilascia token di sicurezza agli utenti in base all'autenticazione utente. Il server esegue l'autenticazione di un utente, estrae gli attributi rilevanti e le informazioni sull'appartenenza a gruppi dall'archivio account e genera e firma un token di sicurezza da restituire all'utente che verrà utilizzato nella relativa organizzazione o verrà inviato a un'organizzazione partner.

proxy del server federativo di account

Proxy server federativo che si trova nella rete perimetrale dell'organizzazione partner account. Questo proxy server raccoglie le credenziali di autenticazione da un client che esegue l'accesso su Internet o dalla rete perimetrale e passa tali credenziali al server federativo di account.

partner account

Partner federativo considerato attendibile dal servizio federativo per il rilascio dei token di sicurezza ai relativi utenti (ovvero agli utenti dell'organizzazione partner account) in modo da consentirne l'accesso alle applicazioni basate sul Web nel partner risorse.

Active Directory Federation Services (ADFS)

Componente di Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2 che offre tecnologie Web SSO (Single Sign-On) per eseguire l'autenticazione di un utente in più applicazioni Web durante una singola sessione online. ADFS ottiene tale risultato condividendo identità digitale e diritti in maniera sicura all'interno dei confini di sicurezza e dell'organizzazione. ADFS supporta WS-F PRP (WS-Federation Passive Requestor Profile).

Agente Web ADFS

Servizio ruolo installabile di ADFS utilizzato per la creazione di un server Web abilitato per ADFS. Un agente Web ADFS utilizza i token di sicurezza e i cookie di autenticazione firmati da un server federativo valido per consentire o negare l'accesso di un utente all'applicazione protetta, considerando contemporaneamente le impostazioni di controllo dell'accesso specifiche dell'applicazione.

server Web abilitato per ADFS

Server Web che esegue Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2, configurato con il software dell'agente Web ADFS appropriato, ovvero l'agente in grado di riconoscere attestazioni o l'agente basato su token Windows, che è necessario per l'autenticazione e l'autorizzazione dell'accesso federativo alle applicazioni basate sul Web ospitate localmente.

attestazione

Dichiarazione di un server (ad esempio nome, identità, chiave, gruppo, privilegio o funzionalità) relativa a un client.

applicazione in grado di riconoscere attestazioni

Applicazione Microsoft ASP.NET che esegue l'autorizzazione in base alle attestazioni presenti in un token di sicurezza ADFS.

mapping di attestazioni

Azione di associazione, rimozione, filtraggio o trasferimento di attestazioni tra vari insiemi di attestazioni.

pagina Web di individuazione del partner account del client

Pagina Web che interagisce con l'utente per determinarne il partner account di appartenenza quando ADFS non è in grado di determinare automaticamente il partner account che deve eseguire l'autenticazione dell'utente.

certificato di autenticazione client

In ADFS, rappresenta un certificato utilizzato dai proxy server federativi per autenticare un client con il servizio federativo.

pagina Web di chiusura sessione client

Pagina Web avviata per offrire un riscontro visivo all'utente quando ADFS esegue un'operazione di chiusura della sessione con esito positivo.

pagina Web di accesso client

Pagina Web avviata per consentire l'interazione utente quando ADFS raccoglie le credenziali del client. Nella pagina Web di accesso client può essere utilizzata qualsiasi regola business necessaria per determinare il tipo di credenziali da raccogliere.

applicazione federata

Applicazione basata sul Web abilitata per ADFS a cui possono pertanto accedere gli utenti federati.

utente federato

Utente con account in un'organizzazione partner account che può accedere alle applicazioni federate di un'organizzazione partner risorse.

federazione

Coppia di aree di autenticazione o domini che hanno stabilito una relazione di trust federativa.

server federativo

Computer che esegue Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2, configurato per ospitare il componente Servizio federativo di ADFS. I server federativi sono in grado di autenticare o indirizzare le richieste da account utente in altre organizzazioni e da client che risiedono in qualsiasi posizione su Internet.

proxy server federativo

Computer che esegue Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2, configurato per ospitare il componente Proxy servizio federativo di ADFS. Questo tipo di proxy server offre servizi proxy con funzione di intermediari tra un client Internet e un server federativo protetto da firewall in una rete aziendale.

Servizio federativo

Servizio ruolo installabile di ADFS utilizzato per la creazione di un server federativo. Se installato, il servizio federativo rilascia token in risposta alle richieste di token di sicurezza. È possibile configurare più server federativi al fine di garantire la tolleranza di errore e il bilanciamento del carico per un servizio federativo singolo.

Proxy servizio federativo

Servizio ruolo installabile di ADFS utilizzato per la creazione di un proxy server federativo. Se installato, il servizio ruolo Proxy servizio federativo utilizza protocolli WS-F PRP per raccogliere le informazioni relative alle credenziali utente da browser client e applicazioni Web e inviarle al servizio federativo per loro conto.

attestazioni di organizzazione

Attestazioni in formato intermedio o normalizzato all'interno dello spazio dei nomi di un'organizzazione.

client passivo

Browser HTTP (Hypertext Transfer Protocol) con ampio supporto per numerose versioni di HTTP, in grado di utilizzare cookie. In Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2, ADFS supporta solo client passivi ed è conforme alla specifica WS-F PRP.

account della risorsa

Entità di sicurezza singola, in genere un account utente, creata in Servizi di dominio Active Directory e utilizzata per il mapping a un unico utente federato. Un account della risorsa è necessario quando si forma una federazione di applicazioni basate su token Windows NT, in quanto l'agente basato su token Windows NT deve fare riferimento a un'entità utente di Active Directory nella foresta del partner risorse per creare il token di accesso Windows NT e imporre in tal modo le autorizzazioni per il controllo di accesso sull'applicazione.

server federativo di risorsa

Server federativo nell'organizzazione partner risorse. Il server federativo di risorsa rilascia in genere token di sicurezza agli utenti in base a un token di sicurezza rilasciato da un server federativo di account. Il server esegue le operazioni seguenti:

  • Riceve il token di sicurezza.

  • Verifica la firma.

  • Trasforma le attestazioni di organizzazione in base ai propri criteri di attendibilità.

  • Genera un nuovo token di sicurezza in base alle informazioni contenute nel token di sicurezza in ingresso.

  • Firma il nuovo token da restituire all'utente e infine all'applicazione Web.

proxy del server federativo di risorsa

Proxy server federativo che si trova nella rete perimetrale dell'organizzazione partner risorse. Questo proxy esegue l'individuazione del partner account per i client Internet e reindirizza i token di sicurezza in ingresso al server federativo di risorsa.

gruppo di risorse

Gruppo di sicurezza singolo, creato in Servizi di domino Active Directory, a cui vengono mappate le attestazioni basate su gruppo in ingresso, ovvero le attestazioni basate su gruppo di ADFS provenienti dal partner account. Dopo che è stato eseguito il mapping degli utenti federati a un gruppo di risorse, i server Web abilitati per ADFS saranno in grado di prendere decisioni relative alle autorizzazioni per le applicazioni basate su token Windows NT in base alle autorizzazioni di accesso assegnate agli ID di sicurezza (SID) del gruppo di risorse.

partner risorse

Partner federativo che considera attendibile il servizio federativo per il rilascio dei token di sicurezza basati su attestazione relativi alle applicazioni basate sul Web (ovvero le applicazioni nell'organizzazione partner risorse), a cui possono accedere gli utenti nel partner account.

token di sicurezza

Unità di dati con firma crittografata che esprime una o più attestazioni. In ADFS un token di sicurezza firmato indica che il server federativo che lo ha rilasciato ha verificato con esito positivo l'autenticità dell'utente federato.

servizio token di sicurezza

Servizio Web che rilascia token di sicurezza. Tale servizio crea asserzioni, basate su evidenze considerate attendibili, per qualsiasi destinatario lo consideri attendibile o per destinatari specifici. Per comunicare trust, un servizio richiede una prova, ad esempio una firma, in grado di dimostrare la conoscenza di un token di sicurezza o di un insieme di token di sicurezza. Un servizio può generare direttamente i token oppure basarsi su un servizio token di sicurezza separato per il rilascio di un token di sicurezza con la relativa dichiarazione di trust. Tale meccanismo costituisce la base della negoziazione di trust. In ADFS, il servizio federativo è un servizio token di sicurezza.

certificato di autenticazione server

Certificato utilizzato da server Web abilitati per ADFS, server federativi e proxy server federativi al fine di proteggere il traffico dei servizi Web relativo alla comunicazione con altri server e con i client Web.

server farm

In ADFS, insieme di server federativi con carico bilanciato, proxy server federativi o server Web che ospitano l'agente Web ADFS.

Single Sign-On (SSO)

Ottimizzazione della sequenza di autenticazione al fine di eliminare il carico di lavoro dovuto ad azioni di accesso ripetute da parte di un utente finale.

certificato per la firma di token

Certificato X.509 con coppia di chiavi pubblica e privata associata utilizzata dai server federativi per apporre la firma digitale su tutti i relativi token di sicurezza generati.

URI (Uniform Resource Identifier)

Stringa compatta di caratteri che identifica una risorsa astratta o fisica. Per ulteriori informazioni sugli URI, vedere la RFC (Request for Comments) 2396 all'indirizzo https://go.microsoft.com/fwlink/?LinkId=48289. In ADFS, gli URI vengono utilizzati per identificare in modo univoco partner e archivi account.

certificato di verifica

Certificato che rappresenta la parte relativa alla chiave pubblica di un certificato per la firma di token. Ogni certificato di verifica viene archiviato nei criteri di attendibilità e utilizzato dal server federativo in un'unica organizzazione per verificare che i token di sicurezza in ingresso siano stati rilasciati da server federativi validi nella farm dell'organizzazione e in altre organizzazioni.

Web Services

(WS-*)

Specifiche per un'architettura dei servizi Web basata su standard industriali quali SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) e UDDI (Universal Description, Discovery, and Integration). WS-* offre una base per la distribuzione di soluzioni aziendali complete e interoperative nell'organizzazione estesa, con la possibilità di gestire sicurezza e identità federativa.

Il modello dei servizi Web è basato sul principio che i sistemi dell'organizzazione sono scritti in linguaggi diversi e con modelli di programmazione diversi ed inoltre vengono eseguiti e sono accessibili da molti tipi diversi di dispositivi. I servizi Web consentono di creare sistemi distribuiti in grado di connettersi e interagire reciprocamente in modo semplice ed efficiente tramite Internet, indipendentemente dal linguaggio in cui sono stati scritti o dalla piattaforma su cui vengono eseguiti.

WS-Security (Web Services Security)

Serie di specifiche che descrive l'associazione di intestazioni di crittografia e firme ai messaggi SOAP. WS-Security descrive inoltre l'associazione di token di sicurezza, inclusi quelli binari come ad esempio certificati X.509 e ticket Kerberos, ai messaggi. In ADFS, le specifiche WS-Security vengono utilizzate per la firma dei token di sicurezza tramite Kerberos.

applicazione basata su token Windows NT

Applicazione Windows che utilizza un token Windows NT per l'autorizzazione degli utenti.

WS-Federation

Specifica che definisce un modello e un insieme di messaggi per la negoziazione di trust e la federazione di informazioni di identità e di autenticazione tra aree di autenticazione di trust diverse.

La specifica WS-Federation identifica due origini per le richieste di autenticazione e identità tra aree di autenticazione di trust:

  • Richiedenti attivi, ad esempio applicazioni abilitate all'uso di SOAP

  • Richiedenti passivi, definiti come browser HTTP in grado di supportare numerose versioni di HTTP, ad esempio HTTP 1.1

WS-F PRP (WS-Federation Passive Requestor Profile)

Implementazione della specifica WS-Federation che propone un protocollo standard per l'applicazione del framework federativo nei client passivi, ad esempio nei Web browser. Nell'ambito di questo protocollo è previsto che i richiedenti di servizi Web accettino i nuovi meccanismi di sicurezza e siano in grado di interagire con i provider di servizi Web.

Vedere anche


Argomenti della Guida