W programie Active Directory Federation Services (AD FS) są używane trzy następujące typy plików cookie:

  • Pliki cookie uwierzytelniania

  • Pliki cookie partnera kont

  • Pliki cookie wyrejestrowywania

Pliki cookie uwierzytelniania

Pliki cookie uwierzytelniania mogą być wystawiane przez usługę federacyjną i agenta sieci Web programu AD FS. Agent sieci Web programu AD FS używa odebranego tokenu zabezpieczającego programu AD FS jako wartości pliku cookie. Dzięki temu serwer sieci Web z włączonym programem AD FS nie musi być konfigurowany z użyciem pary klucza publicznego i klucza prywatnego, która umożliwia podpisywanie i weryfikowanie własnych plików cookie. Usługa federacyjna publikuje wszystkie informacje niezbędne do sprawdzenia poprawności jej tokenów.

W usłudze federacyjnej token zabezpieczający w pliku cookie zawiera oświadczenia organizacji dla klienta. Oświadczenia organizacji można zamapować na oświadczenia wychodzące dla określonego zasobu. Agent sieci Web programu AD FS może również uwierzytelniać pliki cookie wystawione przez usługę federacyjną i używać ich. Serwer sieci Web z włączonym programem AD FS odbiera plik cookie, gdy klient nawiązuje z nim połączenie. Agent sieci Web programu AD FS może następnie uwierzytelnić taki plik cookie i używać oświadczeń w nim zawartych. Aby uzyskać więcej informacji o używaniu tokenów, oświadczeń i plików cookie uwierzytelniania w usłudze federacyjnej, zobacz temat Opis usługi roli usługi federacyjnej.

Pliki cookie uwierzytelniania ułatwiają rejestrację jednokrotną. Plik cookie uwierzytelniania jest zapisywany na komputerze klienckim po jednokrotnym uwierzytelnieniu klienta przez usługę federacyjną. Usługa federacyjna tworzy zawartość pliku cookie uwierzytelniania i używa jej. Ta zawartość nie jest odczytywana przez serwery proxy usługi federacyjnej. Dalsze uwierzytelnianie odbywa się przy użyciu pliku cookie, a nie przez wielokrotne zbieranie poświadczeń klienta. Aby uzyskać więcej informacji o serwerach proxy usługi federacyjnej, zobacz temat Opis usługi roli Serwer proxy usługi federacyjnej.

Na poniższej ilustracji pokazano zawartość pliku cookie uwierzytelniania i usługi ról programu AD FS, w których jest on używany. W skład agenta sieci Web programu AD FS wchodzi usługa uwierzytelniania agenta sieci Web programu AD FS i rozszerzenie agenta używającego tokenów systemu Windows w programie AD FS.

Zawartość cookie uwierzytelniania

Plik cookie uwierzytelniania jest zawsze plikiem cookie sesji. Plik cookie uwierzytelniania jest podpisany, ale nie zaszyfrowany, co uzasadnia konieczność stosowania w programie AD FS protokołów Transport Layer Security i Secure Socket Layer (TLS/SSL).

Pliki cookie partnera kont

Plik cookie partnera kont ułatwia rejestrację jednokrotną. Plik cookie jest zapisywany na komputerze klienckim po interakcyjnym odnalezieniu członkostwa partnera kont, jeśli dany partner kont ma prawidłowy token. Podczas dalszych interakcji są używane informacje w tym pliku cookie, dzięki czemu ponowne monitowanie klienta o podanie informacji dotyczących członkostwa partnera kont nie jest konieczne. Rezultatem odnalezienia partnera kont jest ustawienie pliku cookie partnera kont. Aby uzyskać więcej informacji o odnajdowaniu partnerów kont, zobacz temat Opis usługi roli usługi federacyjnej.

Plik cookie partnera kont jest trwałym plikiem cookie o długim okresie istnienia. Taki plik nie jest podpisywany ani szyfrowany.

Pliki cookie wyrejestrowywania

Plik cookie służący do wyrejestrowywania ułatwia wyrejestrowywanie. Gdy usługa federacyjna wystawi token, odpowiedni partner zasobów lub serwer docelowy jest dodawany do pliku cookie służącego do wyrejestrowywania. Gdy usługa federacyjna lub serwer proxy usługi federacyjnej odbierze żądanie wyrejestrowania, do poszczególnych serwerów docelowych tokenu są wysyłane żądania oczyszczenia artefaktów uwierzytelniania, takich jak buforowane pliki cookie, które mogły zostać zapisane na komputerze klienckim przez partnera zasobów lub serwer sieci Web z włączonym programem AD FS. W przypadku partnera zasobów żądanie oczyszczania jest wysyłane do wszystkich serwerów sieci Web z włączonym programem AD FS, których używał klient.

Plik cookie służący do wyrejestrowywania jest zawsze plikiem cookie sesji. Taki plik nie jest podpisywany ani szyfrowany.


Spis treści