De webagent voor AD FS (Active Directory Federation Services) is een rolservice van AD FS die u onafhankelijk van andere AD FS-rolservices kunt installeren. Als de rolservice Webagent voor AD FS op een computer wordt geïnstalleerd, wordt die computer een AD FS-webserver.
AD FS-webservers worden gebruikt om met beveiligingstokens gebruikerstoegang tot webtoepassingen toe te staan of te weigeren. De AD FS-webserver moet hiervoor een relatie hebben met de Federation-service van een bronpartner, zodat de gebruiker naar de Federation-service kan worden doorgestuurd.
De webagent voor AD FS kan voor twee verschillende typen toepassingen worden gebruikt:
-
Claimbewuste toepassingen: een toepassing van Microsoft ASP.NET die wordt geschreven naar gepubliceerde AD FS-objecten die het zoeken naar claims van AD FS-beveiligingstokens toestaan. De toepassingen nemen autorisatiebeslissingen op basis van deze claims.
-
Op tokens gebaseerde Windows NT-toepassingen: een toepassing die autorisatiemechanismen op basis van Windows gebruikt. Conversie van een AD FS-beveiligingstoken naar een Windows NT®-toegangstoken op imitatieniveau wordt door de AD FS-webagent ondersteund.
De AD FS-webserver slaat ook HTTP-cookies (Hypertext Transfer Protocol) op clients op waar de cookies nodig zijn om eenmalige aanmelding mogelijk te maken. De webagent voor AD FS bestaat uit twee afzonderlijke onderdelen:
-
AD FS-agentextensie voor op tokens gebaseerde Windows-toepassingen
-
Verificatieservice van de webagent voor AD FS
AD FS-agentextensie voor op tokens gebaseerde Windows-toepassingen
De AD FS-agentextensie voor op tokens gebaseerde Windows-toepassingen is een ISAPI-extensie (Internet Server Application Programming Interface) waarmee u gegevens in de IIS-metabase (Internet Information Services) kunt configureren. In IIS-beheer kunt u op de eigenschappenbladen URL van Federation-service en Webagent voor AD FS het beleid en de certificaten beheren waarmee het AD FS-beveiligingstoken en de AD FS-cookies worden geverifieerd.
De eigenschappen van de webagent voor AD FS in de volgende tabel kunnen worden overgenomen. Deze eigenschappen zijn op een IIS-bron vereist als de ISAPI-extensie ondersteuning gaat bieden aan het WS-F PRP-protocol (WS-Federation Passive Requestor Profile).
| Eigenschappen | Beschrijving |
|---|---|
|
URL van Federation Service |
De URL (Uniform Resource Locator) van de Federation-service. Deze URL is vereist voor het opvragen van vertrouwensrelatiegegevens. |
|
Pad naar cookie |
Het pad dat wordt opgegeven wanneer de verificatiecookie wordt geschreven. |
|
Domein van cookie |
Het domein waarvoor de cookie geldig is. |
|
Retour-URL |
De URL waar het token van de Federation-service naar terugkeert na de verificatie op de Federation-service. Deze URL moet overeenkomen met de doelgroep van het token. De controle aan de hand van de doelgroep wordt door de Windows-service uitgevoerd. |
Verificatieservice van de webagent voor AD FS
Met de verificatieservice van de webagent voor AD FS worden inkomende tokens en cookies gevalideerd. De service wordt als lokaal systeem uitgevoerd voor het genereren van een token met behulp van S4U (Service-for-User), zodat u een Windows-token voor de client kunt verkrijgen door een UPN-naam zonder een wachtwoord op te geven, of met behulp van het AD FS-verificatiepakket. De IIS-toepassingsgroep hoeft niet noodzakelijk als lokaal systeem te worden uitgevoerd.
De verificatieservice van de webagent voor AD FS bevat interfaces die alleen met LRPC (Local Remote Procedure Call) kunnen worden aangeroepen en niet met RPC (Remote Procedure Call). Er wordt door deze service een Windows NT-toegangstoken op imitatieniveau geretourneerd als hiervoor een AD FS-beveiligingstoken of een AD FS-cookie is opgegeven.