Microsoft Federation Gateway è un servizio di identità che è in esecuzione in Internet e che fa da intermediario tra un'organizzazione o un'azienda e i servizi esterni che l'organizzazione desidera utilizzare. Il gateway agisce in qualità di hub per molte delle connessioni che l'organizzazione desidera creare con applicazioni basate su Windows Azure o su un'applicazione Microsoft che è in esecuzione in Internet. Il gateway connette gli utenti e altre identità ai servizi che utilizza, in modo che l'organizzazione debba solo gestire una relazione di identità-federazione singola per consentire alle proprie identità di accedere a tutti i servizi Microsoft e basati su Microsoft che desidera utilizzare.
Microsoft Federation Gateway offre alle applicazioni un metodo per stabilire l'attendibilità tra organizzazioni separate semplice e basato sugli standard che utilizza certificati SSL per dimostrare la proprietà del dominio. Poiché le organizzazioni creano una federazione con il gateway e non tra loro, è molto più semplice per un'organizzazione stabilire relazioni attendibili con più partner di quanto non sia possibile quando utilizza una federazione uno a uno tradizionale o altre relazioni attendibili. L'ambito della federazione può essere controllato facilmente creando elenchi di autorizzazioni o blocchi di utenti e domini per la concessione di licenze e specificando i domini che possono ricevere licenze di pubblicazione. Viene così garantito che solo organizzazioni appropriate possano accedere a informazioni protette.
Una relazione di identità federativa è una disposizione basata sugli standard tra organizzazioni in cui le attestazioni vengono passate a un'organizzazione e riconosciute da un'altra. Tramite questa relazione gli utenti possono accedere ed essere autenticati dal proprio provider di identità, l'organizzazione che gestisce l'account di identità, quindi l'autenticazione viene trasmessa a un partner federativo senza che sia necessario eseguire nuovamente l'accesso.
Microsoft Federation Gateway stabilisce relazioni di identità federative creando sul servizio Web (WS-*) specifiche come WS-Trust e WS-Security che collaborano per semplificare l'interoperabilità e migliorare la protezione. Utilizzando questi protocolli standard, le organizzazioni possono stabilire una relazione di identità federativa senza richiedere l'utilizzo di un'infrastruttura o di piattaforme identiche.
Quando due organizzazioni stabiliscono una relazione di identità federativa, un partner (il provider di identità) controlla il proprio account utente, mentre l'altro partner (il provider di risorse) concede l'accesso alle proprie risorse basandosi sull'autenticazione eseguita dal provider di identità. L'identità di un utente viene definita come un insieme di attestazioni, ossia, dichiarazioni di un server sull'utente. Esempi di tali attestazioni sono il nome, i gruppi o le autorizzazioni dell'utente. La federazione delle identità consente la condivisione delle attestazioni di identità.
Con Microsoft Federation Gateway l'autenticazione da parte del provider di identità viene fornita al gateway utilizzando un formato standard denominato SAML (Security Assertion Markup Language). Microsoft Federation Gateway quindi converte le informazioni sull'autenticazione in un servizio token che può essere utilizzato dai servizi Microsoft.
Supporto di Microsoft Federation Gateway in Windows Server® 2008 R2 consente a RMS di AD di accettare token da Microsoft Federation Gateway per autenticare gli utenti per certificazione e gestione licenze. Ad esempio, Microsoft Exchange Server 2010 è progettato per sfruttare questa caratteristica consentendo l'invio di messaggi protetti da RMS di AD tra organizzazioni che non condividono un'infrastruttura Servizi dei domini Active Directory (AD DS). Quando l'infrastruttura di Exchange Server 2010 viene configurata per sfruttare queste funzionalità, gli utenti possono inviare messaggi di posta elettronica protetti con RMS di AD a destinatari esterni all'organizzazione del mittente, che può quindi visualizzare i messaggi utilizzando Outlook Web App di Exchange Server 2010 o Microsoft Outlook. I mittenti inoltre possono concedere alle organizzazioni dei destinatari che utilizzano Exchange Server 2010 l'autorizzazione per decrittografare il contenuto per scopi come l'inserimento nel journal e la ricerca di malware.
Per ulteriori informazioni su come distribuire Supporto di Microsoft Federation Gateway in RMS di AD, vedere Elenco di controllo: distribuire AD RMS con Supporto per Microsoft Federation Gateway.