In AD FS (Active Directory Federation Services) worden drie soorten cookies gebruikt:

  • Verificatiecookies

  • Accountpartnercookies

  • Afmeldingscookies

Verificatiecookies

Zowel de Federation-service als de webagent voor AD FS kunnen verificatiecookies verlenen. De webagent voor AD FS gebruikt het ontvangen AD FS-beveiligingstoken als cookiewaarde. Het voordeel is dat voor de AD FS-webserver geen combinatie van een openbare en een persoonlijke sleutel hoeft te worden geconfigureerd dat de eigen cookies kan ondertekenen en verifiëren. De Federation-service publiceert alle informatie die nodig is om de eigen tokens te valideren.

Bij de Federation-service bevat het beveiligingstoken in een cookie de organisatieclaims voor de client. De organisatieclaims kunnen worden toegewezen aan uitgaande claims voor een specifieke bron. De webagent voor AD FS kan ook cookies verifiëren en gebruiken die door de Federation-service zijn afgegeven. De AD FS-webserver ontvangt een cookie wanneer de client verbinding maakt met de AD FS-webserver. Vervolgens kan de webagent voor AD FS deze cookie verifiëren en de claims hierin gebruiken. Zie Wat is de rolservice Federation-service? voor meer informatie over de manier waarop tokens, claims en verificatiecookies worden gebruikt door de Federation-service.

Dankzij de verificatiecookie is eenmalige aanmelding mogelijk. Nadat de Federation-service de client eenmaal heeft gevalideerd, wordt de verificatiecookie opgeslagen op de client. De Federation-service maakt en gebruikt de inhoud van de verificatiecookie, die niet wordt gelezen door Federation-serverproxy's. Verdere verificatie vindt plaats via de cookie, zodat niet steeds clientreferenties hoeven te worden verzameld. Zie Wat is de rolservice Federation-serviceproxy? voor meer informatie over Federation-serverproxy's.

De volgende illustratie toont de inhoud van een verificatiecookie en de AD FS-rolservices die gebruik maken van de verificatiecookie. De webagent voor AD FS omvat zowel de verificatieservice van de webagent voor AD FS als de AD FS-agentextensie voor op tokens gebaseerde Windows-toepassingen.

De inhoud van de verificatiecookie

De verificatiecookie is altijd een sessiecookie. De cookie is ondertekend maar niet versleuteld. Dit is een van de redenen waarom TLS/SSL (Transport Layer Security en Secure Sockets Layer) in AD FS verplicht is.

Accountpartnercookies

Dankzij de accountpartnercookie is eenmalige aanmelding mogelijk. Nadat een interactief accountpartnerlidmaatschap is ontdekt, wordt de cookie opgeslagen op de client als de accountpartnercookie een geldig token bevat. Bij verdere interacties worden de gegevens in deze cookie gebruikt, zodat gegevens over het accountpartnerlidmaatschap niet opnieuw hoeven te worden opgevraagd bij de client. De accountpartnercookie wordt ingesteld als resultaat van het proces voor de ontdekking van accountpartners. Zie Wat is de rolservice Federation-service? voor meer informatie over de ontdekking van accountpartners.

De accountpartnercookie is een permanente cookie met een lange levensduur. De cookie is niet ondertekend of versleuteld.

Afmeldingscookies

Dankzij de afmeldingscookie is afmelding mogelijk. Zodra de Federation-service een token afgeeft, wordt de bronpartner of doelserver van het token toegevoegd aan de afmeldingscookie. Na ontvangst van een afmeldingsaanvraag verzoekt de Federation-service of -serviceproxy aan alle tokendoelservers om eventuele verificatie-elementen op te schonen, zoals cookies in de cache die de bronpartner of AD FS-webserver mogelijk heeft opgeslagen op de client. In het geval van een bronpartner wordt een opschoonaanvraag verzonden naar alle AD FS-webservers die de client heeft gebruikt.

De afmeldingscookie is altijd een sessiecookie. De cookie is niet ondertekend of versleuteld.


Inhoudsopgave