Agente Web ADFS (Active Directory Federation Services) è un servizio ruolo di ADFS che è possibile installare indipendentemente da altri servizi ruolo di ADFS. Se si installa questo servizio ruolo su un computer, tale computer diventa un server Web abilitato per ADFS

che utilizza i token di sicurezza e consente o nega l'accesso di un utente a un'applicazione Web. A tale scopo, il server Web abilitato per ADFS richiede di stabilire una relazione con un servizio federativo della risorsa in modo da poter indirizzare l'utente al Servizio federativo in base alle necessità.

È possibile utilizzare l'agente Web ADFS per due tipi diversi di applicazioni:

  • Applicazioni in grado di riconoscere attestazioni: applicazioni Microsoft ASP.NET scritte negli oggetti ADFS pubblicati che consentono di eseguire query relative ad attestazioni basate su token di sicurezza ADFS. Le decisioni relative alle autorizzazioni vengono prese dalle applicazioni in base a tali attestazioni.

  • Applicazioni basate su token Windows NT: applicazioni che utilizzano meccanismi di autorizzazione basati su Windows. L'agente Web ADFS supporta la conversione di un token di sicurezza ADFS in un token di accesso Windows NT® a livello di rappresentazione.

Il server Web abilitato per ADFS archivia inoltre i cookie HTTP (Hypertext Transfer Protocol) nei client in cui sono necessari per facilitare il processo Single Sign-On (SSO). L'agente Web ADFS è costituito da due componenti separati:

  • Estensione agente basato su token Windows ADFS

  • Servizio Autenticazione agente Web ADFS

Estensione agente basato su token Windows ADFS

L'Estensione agente basato su token Windows ADFS è un'estensione ISAPI (Internet Server Application Programming Interface) che consente di configurare le informazioni nella metabase di IIS (Internet Information Services). In Gestione IIS è possibile utilizzare le pagine delle proprietà URL servizio federativo e Agente Web ADFS per amministrare i criteri e i certificati che consentono di verificare i cookie e i token di sicurezza ADFS.

Le proprietà dell'agente Web ADFS indicate nella tabella seguente sono ereditabili. Tali proprietà sono necessarie in una risorsa IIS se l'estensione ISAPI dovrà supportare il protocollo WS-F PRP (WS-Federation Passive Requestor Profile).

Proprietà Descrizione

URL servizio federativo

URL (Uniform Resource Locator) del servizio federativo. Tale URL è necessario al fine di consentire l'esecuzione di query relative alle informazioni sui trust.

Percorso cookie

Percorso specificato quando viene scritto il cookie di autenticazione.

Dominio cookie

Dominio di validità del cookie.

URL restituito

URL a cui viene indirizzato il token del servizio federativo dopo che è stata eseguita l'autenticazione nel servizio stesso. Tale URL deve corrispondere all'elemento Audience del token, che viene controllato dal servizio di Windows.

Servizio Autenticazione agente Web ADFS

Il servizio Autenticazione agente Web ADFS convalida i token e i cookie in ingresso. Viene eseguito con l'account di sistema locale per generare un token utilizzando Service-for-User (S4U), che consente di ottenere un token Windows per il client specificando un nome dell'entità utente (UPN) senza password, oppure il pacchetto di autenticazione ADFS. Non è invece necessario eseguire il pool di applicazioni di IIS con l'account di sistema locale.

Il servizio Autenticazione agente Web ADFS dispone di interfacce che possono essere chiamate soltanto con una chiamata di procedura remota locale (LRPC), non con una chiamata di procedura remota (RPC). Questo servizio restituisce un token di accesso Windows NT a livello di rappresentazione se è stato specificato un token di sicurezza o un cookie ADFS.

Vedere anche


Argomenti della Guida