Usługa federacyjna to usługa roli programu Active Directory Federation Services (AD FS), która może zostać zainstalowana niezależnie od innych usług ról programu AD FS. Usługa federacyjna działa jako usługa tokenu zabezpieczającego. Zainstalowanie usługi roli usługi federacyjnej na komputerze powoduje, że komputer staje się serwerem federacyjnym. Powoduje to również dodanie przystawki programu Active Directory Federation Services do menu Narzędzia administracyjne na tym komputerze. Aby uzyskać więcej informacji o przystawce programu AD FS, zobacz temat Korzystanie z przystawki usług Active Directory Federation Services.

Usługa federacyjna korzysta z Usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) w celu udostępniania tokenów w odpowiedzi na żądania tokenów zabezpieczających. Dzięki temu domeny i lasy usługi Active Directory mogą działać jako:

  • Dostawcy tożsamości, którzy mogą tworzyć federacje ze zgodnymi partnerami kont i partnerami zasobów. Działając jako dostawca tożsamości, usługa federacyjna może przekazywać tożsamości usługi Active Directory za pośrednictwem Internetu w celu interakcji z aplikacjami zgodnych dostawców usług.

  • Dostawcy usług, którzy mogą tworzyć federacje ze zgodnymi partnerami kont i partnerami zasobów. Działając jako dostawca usług, usługa federacyjna może pozwalać tożsamościom z innych organizacji na dostęp do aplikacji partnerów opartych na systemie Windows i technologii ASP.NET.

  • Dostawcy tokenów zabezpieczających dla aplikacji zgodnych ze specyfikacją profilu pasywnego obiektu żądającego usług federacyjnych w sieci Web (WS-F PRP).

Działając jako partner kont, usługa federacyjna zezwala użytkownikom na dostęp do zasobów w organizacjach partnerów. W odpowiedzi na żądanie od partnera zasobów usługa federacyjna pobiera i weryfikuje poświadczenia użytkownika w usługach domenowych w usłudze AD lub w wystąpieniu usług LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services). Usługa federacyjna może wypełnić zestaw oświadczeń organizacji na podstawie atrybutów protokołu LDAP (Lightweight Directory Access Protocol) konta użytkownika. Oświadczenia organizacji są następnie mapowane na odpowiednie oświadczenia dla partnera zasobów i umieszczane w tokenie zabezpieczającym podpisanym za pomocą certyfikatu podpisywania tokenu usługi federacyjnej. Utworzony token zabezpieczający jest przekazywany jako odpowiedź na pierwotne żądanie partnera zasobów. Następnie partner zasobów używa tokenu do przyznania dostępu użytkownikowi.

Działając jako partner zasobów, usługa federacyjna pełni funkcję przeciwną. Gdy użytkownik próbuje uzyskać dostęp do aplikacji chronionej przez program AD FS, usługa federacyjna określa, który partner kont powinien uwierzytelnić użytkownika. Usługa wysyła do tego partnera żądanie uwierzytelniania. Gdy użytkownik w odpowiedzi przekazuje token zabezpieczający, usługa federacyjna sprawdza, czy token został prawidłowo podpisany przez partnera. Następnie z tokenu są wyodrębniane oświadczenia. Oświadczenia są mapowane na oświadczenia organizacji i stosowane są zasady filtrowania dla odpowiedniej aplikacji. Przefiltrowane oświadczenia organizacji są umieszczane w tokenie zabezpieczającym podpisanym za pomocą certyfikatu podpisywania tokenu usługi federacyjnej albo za pomocą zabezpieczonego klucza sesji protokołu Kerberos aplikacji sieci Web. Utworzony token zabezpieczający jest z powrotem przekazywany na adres URL pierwotnej aplikacji. Następnie aplikacja używa tokenu do przyznania dostępu użytkownikowi.

Program AD FS używa protokołu WS-F PRP do przekazywania oświadczeń w tokenach zabezpieczających, które są wystawiane dla aplikacji sieci Web przez usługę federacyjną. Aby uzyskać więcej informacji dotyczących specyfikacji WS-F PRP, zobacz temat Zasoby dotyczące usług AD FS.

Oświadczenia są początkowo wypełnianie przy użyciu magazynów kont. Są to magazyny kont usług domenowych w usłudze AD lub usług LDS w usłudze AD. Usługa federacyjna wystawia tokeny na podstawie przedstawionych poświadczeń. Gdy poświadczenia zostaną zweryfikowane w magazynie kont, oświadczenia użytkownika są generowane zgodnie z regułami zasad zaufania. Oświadczenia przychodzące są mapowane na oświadczenia wychodzące odpowiednie dla danego partnera zasobów . Powstałe mapowania oświadczeń są dodawane do tokenu zabezpieczającego wystawianego dla partnera zasobów. Aby uzyskać więcej informacji o oświadczeniach, zobacz temat Opis oświadczeń.

Po zweryfikowaniu tokenu przez usługę federacyjną jest wystawiany plik cookie uwierzytelniania, który zostaje zapisany w przeglądarce klienta. Za każdym razem, gdy klient jest uwierzytelniany, usługa federacyjna używa tego pliku cookie, dzięki czemu klient nie musi ponownie wprowadzać poświadczeń. Umożliwia to rejestrację jednokrotną (SSO, single sign-on). Aby uzyskać więcej informacji o plikach cookie, zobacz temat Opis plików cookie używanych w usługach AD FS.

Strony sieci Web usługi federacyjnej

Usługa federacyjna udostępnia stronę sieci Web z monitem dla użytkownika o wybranie odpowiedniego partnera kont, który może zostać użyty do uwierzytelnienia użytkownika. Usługa federacyjna udostępnia także stronę sieci Web z monitem o poświadczenia użytkownika, takie jak nazwa użytkownika i hasło, które pozwalają na uwierzytelnianie oparte na formularzach. Dostępna jest również strona sieci Web obsługująca zintegrowane uwierzytelnianie systemu Windows.

Strony sieci Web są obsługiwane przez usługę Microsoft ASP.NET Web usługi federacyjnej, która odpowiada za przetwarzanie żądań klienta lub serwera proxy usługi federacyjnej. Serwer proxy usługi federacyjnej znajduje się w sieci obwodowej. Działa on jako serwer pośredniczący między klientem internetowym a usługą federacyjną w intranecie. Aby uzyskać więcej informacji dotyczących serwera proxy usługi federacyjnej, zobacz temat Opis usługi roli Serwer proxy usługi federacyjnej.

Usługa federacyjna odpowiada na dwa podstawowe typy żądań:

  • żądania wystawienia tokenów zabezpieczających,

  • żądania pobrania danych zasad zaufania.

Odnajdowanie partnerów kont

Odnajdowanie partnerów kont jest procesem, dzięki któremu użytkownicy mogą określić, którego partnera kont preferują do celów uwierzytelniania w przypadku, gdy został skonfigurowany więcej niż jeden partner kont. Serwer federacyjny prezentuje ten wybór w przeglądarce klienta w postaci listy rozwijanej zawierającej nazwy partnerów kont skonfigurowanych w zasadach zaufania.

Mechanizmem, który można zastosować w celu uniknięcia odnajdowania partnerów kont, jest umieszczenie parametru whr w ciągu zapytania dotyczącego zasobu, do którego jest uzyskiwany dostęp, na przykład

https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>

gdzie <accountpartner> wskazuje obszar partnera kont klienta.

Gdy jest użyty parametr whr, serwer federacyjny zasobów usuwa parametr i zapisuje plik cookie w przeglądarce klienta, aby to ustawienie zostało zapamiętane na potrzeby przyszłych żądań. Następnie żądanie jest obsługiwane tak, jakby ten parametr nie został podany.

Spis treści