Microsoft Federation Gateway is een identiteitsservice die op internet wordt uitgevoerd en bemiddelt tussen een organisatie of bedrijf en de externe services die de organisatie wil gebruiken. De gateway fungeert als een hub voor veel van de verbindingen die de organisatie wil maken met een internetversie van een Microsoft-toepassing of met toepassingen die zijn gestoeld op Windows Azure. De gateway verbindt gebruikers en andere identiteiten met de services die door de gateway kunnen worden benaderd. De organisatie hoeft dan alleen een enkele identiteitsfederatierelatie te beheren om haar identiteiten in te schakelen voor toegang tot alle Microsoft-services en op Microsoft gebaseerde services die de organisatie wil gebruiken.
Microsoft Federation Gateway levert toepassingen via een eenvoudige methode die op standaarden is gebaseerd, en waarmee voor vertrouwen tussen de afzonderlijke organisaties wordt gezorgd door middel van SSL-certificaten voor het bewijzen van het eigendom van het domein. Omdat de organisaties met de gateway en niet met elkaar communiceren, kan een organisatie zo gemakkelijker een vertrouwensrelatie met meerdere partners opbouwen dan bij een één-op-één-communicatie of andere vertrouwensrelaties. De omvang van de federatie kan eenvoudig worden gecontroleerd door voor de licentieverlening 'witte' of 'zwarte' lijsten met gebruikers en domeinen te maken en door de domeinen op te geven die uitgiftelicenties mogen ontvangen. Hiermee wordt gegarandeerd dat alleen beoogde organisaties toegang krijgen tot beveiligde informatie.
Een identiteitsfederatierelatie is een op standaarden gebaseerde overeenkomst tussen organisaties waarin claims van de ene organisatie worden doorgegeven aan een andere organisatie en door die andere organisatie worden herkend. Via deze relatie kunnen gebruikers zich aanmelden bij en worden geverifieerd door hun identiteitsprovider (het bedrijf dat hun identiteitsaccount beheert). Vervolgens wordt hun verificatie doorgegeven aan een federatieve partner zonder dat de gebruikers zich opnieuw hoeven aan te melden.
Microsoft Federation Gateway stelt identiteitsfederatierelaties in door te bouwen op de webservicespecificaties (WS-*), zoals WS-Trust en WS-Security, die samenwerken om de interoperabiliteit te vereenvoudigen en de beveiliging te verbeteren. Aan de hand van deze standaardprotocollen kunnen organisaties een identiteitsfederatierelatie instellen zonder dat zij daarvoor identieke platforms of een identieke infrastructuur nodig hebben.
Wanneer twee organisaties een identiteitsfederatierelatie met elkaar aangaan, controleert de ene partner (de identiteitsprovider) de eigen gebruikersaccounts, terwijl de andere partner (de bronprovider) toegang tot zijn bronnen verleent door te vertrouwen op de verificatie die door de identiteitsprovider wordt uitgevoerd. De identiteit van een gebruiker wordt gedefinieerd als een set claims. (Een claim is een verklaring van een server over een gebruiker.) Voorbeelden van claims zijn de naam van de gebruiker, groepen en machtigingen. Identiteitsfederatie maakt het delen van deze identiteitsclaims mogelijk.
Bij Microsoft Federation Gateway wordt verificatie van de identiteitsprovider doorgegeven aan de gateway door middel van een standaardformaat, Security Assertion Markup Language (SAML) genaamd. Microsoft Federation Gateway converteert vervolgens de verificatiegegevens naar een servicetoken dat door Microsoft-services kan worden gebruikt.
Ondersteuning voor Microsoft Federation Gateway in Windows Server® 2008 R2 stelt AD RMS in staat tokens te accepteren van de Microsoft Federation Gateway om gebruikers te verifiëren voor certificering en licentieverlening. Microsoft Exchange Server 2010 bijvoorbeeld kan van deze mogelijkheid gebruikmaken door berichten die worden beveiligd door AD RMS, te verzenden tussen organisaties die niet de infrastructuur van Active Directory Domain Services (AD DS) delen. Wanneer de infrastructuur van Exchange Server 2010 voor deze functies is ingesteld, kunnen gebruikers berichten die door AD RMS worden beveiligd, versturen naar geadresseerden buiten de organisatie van de afzender. De ontvangers van de berichten kunnen die berichten vervolgens lezen met Exchange Server 2010 Outlook Web App of Microsoft Outlook. Ook kunnen afzenders ontvangende organisaties waar Exchange Server 2010 wordt gebruikt, toestemming verlenen om inhoud voor zaken zoals dagboeken en scannen op malware te decoderen.
Zie voor meer informatie over het implementeren van Ondersteuning voor Microsoft Federation Gateway op AD RMS Controlelijst: AD RMS met ondersteuning voor Microsoft Federation Gateway implementeren.