W programie Active Directory Federation Services (AD FS) jest używana terminologia wywodząca się z wielu różnych technologii, w tym usług certyfikacji, usług Internet Information Services (IIS), usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services), usług LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) i usług sieci Web (WS-*). Te pojęcia zostały opisane w poniższej tabeli.
| Pojęcie | Opis |
|---|---|
|
Serwer federacyjny kont |
Serwer federacyjny znajdujący się w sieci firmowej organizacji partnera kont. Serwer federacyjny kont wystawia użytkownikom tokeny zabezpieczające na podstawie uwierzytelniania użytkowników. Serwer uwierzytelnia użytkownika, uzyskuje z magazynu kont odpowiednie atrybuty i informacje na temat członkostwa w grupie, a następnie generuje i podpisuje token zabezpieczający oraz zwraca go użytkownikowi. Token może zostać użyty w organizacji użytkownika lub wysłany do organizacji partnera. |
|
Serwer proxy usługi federacyjnej kont |
Serwer proxy usługi federacyjnej znajdujący się w sieci obwodowej organizacji partnera kont. Serwer proxy usługi federacyjnej kont uzyskuje poświadczenia uwierzytelniania od klienta, który loguje się przez Internet (lub z poziomu sieci obwodowej), a następnie przekazuje te poświadczenia do serwera federacyjnego kont. |
|
Partner kont |
Partner federacji pozostający w relacji zaufania z usługą federacyjną w zakresie dostarczania tokenów zabezpieczających swoim użytkownikom (tzn. użytkownikom w organizacji partnera kont), dzięki czemu mogą oni uzyskiwać dostęp do aplikacji sieci Web w obrębie partnera zasobów. |
|
Program Active Directory Federation Services (AD FS) |
Składnik systemów Windows Server 2003 R2, Windows Server 2008 i Windows Server 2008 R2, udostępniający w sieci Web technologie rejestracji jednokrotnej (SSO, single-sign-on), dzięki którym użytkownik może zostać uwierzytelniony w wielu aplikacjach sieci Web w czasie jednej sesji online. W tym celu program AD FS obsługuje bezpieczne udostępnianie tożsamości cyfrowej i praw użytkowników w różnych systemach zabezpieczeń i różnych przedsiębiorstwach. Program AD FS obsługuje protokół profilu pasywnego obiektu żądającego usług federacyjnych w sieci Web (WS-F PRP). |
|
Agent sieci Web programu AD FS |
Instalowalna usługa roli programu AD FS umożliwiająca utworzenie serwera sieci Web z włączonym programem AD FS. Agent sieci Web usług AD FS korzysta z przychodzących tokenów zabezpieczających i plików cookie uwierzytelniania podpisanych przez prawidłowy serwer federacyjny w celu zezwolenia użytkownikowi na dostęp do chronionej aplikacji lub odmówienia takiego dostępu, uwzględniając ustawienia kontroli dostępu specyficzne dla aplikacji. |
|
Serwer sieci Web z włączonym programem AD FS |
Serwer sieci Web z systemem Windows Server 2003 R2, Windows Server 2008 lub Windows Server 2008 R2, na którym skonfigurowano odpowiednie oprogramowanie agenta sieci Web usług AD FS (agent obsługujący oświadczenia lub agent używający tokenów systemu Windows), potrzebne do uwierzytelniania i autoryzowania dostępu federacyjnego do lokalnie obsługiwanych aplikacji opartych na sieci Web. |
|
Oświadczenie |
Tworzona przez serwer deklaracja dotycząca klienta (na przykład nazwa, tożsamość, klucz, grupa, przywilej lub możliwość). |
|
Aplikacja obsługująca oświadczenia |
Aplikacja platformy Microsoft ASP.NET wykonująca autoryzację na podstawie oświadczeń obecnych w tokenie zabezpieczającym programu AD FS. |
|
Mapowanie oświadczeń |
Czynność mapowania, usuwania lub filtrowania oświadczeń albo ich przenoszenia między różnymi zestawami oświadczeń. |
|
Strona sieci Web odnajdowania partnerów kont klientów |
Strona sieci Web używana do interakcji z użytkownikiem w celu określenia partnera kont, do którego należy użytkownik (gdy program AD FS nie może automatycznie określić partnera kont, który powinien uwierzytelnić użytkownika). |
|
Certyfikat uwierzytelniania klienta |
Certyfikat używany przez serwery proxy usługi federacyjnej w programie AD FS do uwierzytelniania klienta w usłudze federacyjnej. |
|
Strona sieci Web wylogowywania klienta |
Strona sieci Web uruchamiana przez program AD FS podczas operacji wylogowania, aby poinformować użytkownika o tym zdarzeniu. |
|
Strona sieci Web logowania klienta |
Strona sieci Web uruchamiana w celu interakcji z użytkownikiem podczas zbierania poświadczeń klienta przez program AD FS. Strona sieci Web logowania klienta może określać niezbędne poświadczenia za pomocą dowolnych procedur biznesowych. |
|
Aplikacja federacyjna |
Aplikacja oparta na sieci Web, która obsługuje program AD FS, co oznacza, że użytkownicy federacyjni mają do niej dostęp. |
|
Użytkownik federacyjny |
Użytkownik mający dostęp do aplikacji federacyjnych w organizacji partnera zasobów, którego konto znajduje się w organizacji partnera kont. |
|
Federacja |
Para obszarów lub domen, między którymi zostało ustanowione zaufanie federacji. |
|
Serwer federacyjny |
Komputer z systemem Windows Server 2003 R2, Windows Server 2008 lub Windows Server 2008 R2, skonfigurowany do obsługi składnika Usługa federacyjna usług AD FS. Serwery federacyjne służą do uwierzytelniania lub przesyłania żądań pochodzących z kont użytkowników w innych organizacjach oraz od klientów zlokalizowanych w Internecie. |
|
Serwer proxy usługi federacyjnej |
Komputer z systemem Windows Server 2003 R2, Windows Server 2008 lub Windows Server 2008 R2, skonfigurowany do obsługi składnika Serwer proxy usługi federacyjnej usług AD FS. Serwery proxy usługi federacyjnej udostępniają usługi serwera proxy pośredniczące między klientem internetowym a serwerem federacyjnym, który znajduje się za zaporą w sieci firmowej. |
|
Usługa federacyjna |
Instalowalna usługa roli programu AD FS umożliwiająca utworzenie serwera federacyjnego. Po jej zainstalowaniu usługa federacyjna przekazuje tokeny w odpowiedzi na żądania tokenów zabezpieczających. W celu zapewnienia odporności na uszkodzenia i równoważenia obciążenia dla jednej usługi federacyjnej można skonfigurować wiele serwerów federacyjnych. |
|
Serwer proxy usługi federacyjnej |
Instalowalna usługa roli programu AD FS umożliwiająca utworzenie serwera proxy usługi federacyjnej. Po jej zainstalowaniu usługa roli Serwer proxy usługi federacyjnej gromadzi przy użyciu protokołów WS-F PRP informacje o poświadczeniach użytkowników pochodzące z klientów przeglądarek i aplikacji sieci Web, a następnie wysyła je w imieniu użytkowników do usługi federacyjnej. |
|
Oświadczenia organizacji |
Oświadczenia w formie pośredniej lub znormalizowanej, należące do obszaru nazw organizacji. |
|
Klient pasywny |
Przeglądarka HTTP (Hypertext Transfer Protocol), która obsługuje powszechnie stosowany protokół HTTP i umożliwia używanie plików cookie. Usługi AD FS w systemach Windows Server 2003 R2, Windows Server 2008 i Windows Server 2008 R2 obsługują jedynie klientów pasywnych i są zgodne ze specyfikacją WS-F PRP. |
|
Konto zasobów |
Pojedynczy podmiot zabezpieczeń (zazwyczaj konto użytkownika) tworzony w usługach domenowych w usłudze AD i używany do mapowania na pojedynczego użytkownika federacyjnego. Konto zasobów jest wymagane podczas tworzenia federacji aplikacji używających tokenów systemu Windows NT, ponieważ agent używający tokenu systemu Windows NT musi odwołać się do podmiotu zabezpieczeń usługi Active Directory w lesie partnera zasobów w celu utworzenia tokenu dostępu systemu Windows NT, tym samym wymuszając użycie uprawnień kontroli dostępu w aplikacji. |
|
Serwer federacyjny zasobów |
Serwer federacyjny znajdujący się w organizacji partnera zasobów. Serwer federacyjny zasobów zazwyczaj wystawia użytkownikom tokeny zabezpieczające na podstawie tokenu zabezpieczającego, który został wystawiony na serwerze federacyjnym kont. Serwer:
|
|
Serwer proxy usługi federacyjnej zasobów |
Serwer proxy usługi federacyjnej znajdujący się w sieci obwodowej organizacji partnera zasobów. Serwer proxy usługi federacyjnej zasobów odnajduje partnerów kont dla klientów internetowych, a następnie przekierowuje przychodzące tokeny zabezpieczające do serwera federacyjnego zasobów. |
|
Grupa zasobów |
Pojedyncza grupa zabezpieczeń tworzona w usługach AD DS, na którą są mapowane przychodzące oświadczenia grupy (oświadczenia grupy w programie AD FS pochodzące od partnera kont). Po zamapowaniu użytkowników federacyjnych na grupę zasobów serwery sieci Web z włączonym programem AD FS mogą podejmować decyzje dotyczące autoryzacji dla aplikacji używających tokenów systemu Windows NT na podstawie uprawnień dostępu przypisanych do identyfikatora zabezpieczeń (SID) danej grupy zasobów. |
|
Partner zasobów |
Partner federacji pozostający w relacji zaufania z usługą federacyjną w zakresie wystawiania tokenów zabezpieczających opartych na oświadczeniach dla aplikacji sieci Web (znajdujących się w organizacji partnera zasobów), do których mogą uzyskiwać dostęp użytkownicy w organizacji partnera kont. |
|
Token zabezpieczający |
Podpisana kryptograficznie jednostka danych zawierająca co najmniej jedno oświadczenie. W programie AD FS podpisany token zabezpieczający określa, że serwer federacyjny, który go wystawia, pomyślnie zweryfikował autentyczność użytkownika federacyjnego. |
|
Usługa tokenu zabezpieczającego (STS, security token service) |
Usługa sieci Web wystawiająca tokeny zabezpieczające. Usługa tokenu zabezpieczającego podejmuje decyzje na podstawie zaufanych świadectw dla wszystkich podmiotów, które pozostają z nią w relacji zaufania (lub dla określonych odbiorców). Do przekazania informacji o zaufaniu usługa wymaga dowodu potwierdzającego znajomość tokenu zabezpieczającego lub zestawu tych tokenów, na przykład sygnatury. Usługa może wystawiać tokeny samodzielnie lub przekazać oddzielnej usłudze wystawianie tokenów zabezpieczających na podstawie własnych oświadczeń zaufania. Ten proces jest podstawą przekazywania zaufania. W programie AD FS usługą STS jest usługa federacyjna. |
|
Certyfikat uwierzytelniania serwera |
Certyfikaty uwierzytelniania serwera są używane przez serwery sieci Web z włączonym programem AD FS, serwery federacyjne oraz serwery proxy usługi federacyjnej w celu zabezpieczania ruchu usług sieci Web podczas komunikacji między sobą, a także podczas komunikacji z klientami sieci Web. |
|
Farma serwerów |
W programie AD FS jest to zbiór serwerów z równoważeniem obciążenia, który składa się z serwerów federacyjnych, serwerów proxy usługi federacyjnej i serwerów sieci Web obsługujących agenta sieci Web programu AD FS. |
|
Rejestracja jednokrotna (SSO, single sign-on) |
Optymalizacja sekwencji uwierzytelniania eliminująca konieczność wielokrotnego logowania się użytkownika końcowego. |
|
Certyfikat podpisywania tokenu |
Certyfikat standardu X.509, którego skojarzona para kluczy publicznego i prywatnego służy do cyfrowego podpisywania przez serwery federacyjne wszystkich tokenów zabezpieczających przez nie wystawionych. |
|
Identyfikator URI (Uniform Resource Identifier) |
Zwarty ciąg znaków umożliwiający identyfikację zasobu abstrakcyjnego lub fizycznego. Identyfikatory URI opisano w dokumencie RFC 2396 ( |
|
Certyfikat weryfikacji |
Certyfikat reprezentujący klucz publiczny zawarty w certyfikacie służącym do podpisywania tokenów. Certyfikat weryfikacji jest przechowywany w zasadach zaufania i jest używany przez serwer federacyjny danej organizacji do weryfikowania, czy przychodzące tokeny zabezpieczające zostały wystawione przez prawidłowe serwery federacyjne pochodzące z farmy tej organizacji lub z innych organizacji. |
|
Usługi sieci Web (WS-*) |
Specyfikacje architektury usług sieci Web oparte na standardach branżowych w rodzaju protokołu SOAP (Simple Object Access Protocol), języka XML i WSDL (Web Service Description Language) czy technologii UDDI (Universal Description, Discovery, and Integration). Specyfikacje usług WS-* stanowią podstawę kompletnych, wszechstronnych rozwiązań biznesowych dla dużych firm, umożliwiając między innymi zarządzanie tożsamościami i zabezpieczeniami federacyjnymi. Model usług sieci Web opiera się na założeniu, że systemy przedsiębiorstw zostały napisane w różnych językach i odmiennych modelach programowania oraz że działają na różnych urządzeniach i różne urządzenia uzyskują do nich dostęp. Usługi sieci Web stanowią narzędzie do budowania systemów rozproszonych mogących łączyć się ze sobą i współpracować w prosty i wydajny sposób za pośrednictwem Internetu, bez względu na języki, w których zostały napisane, i platformy, na których działają. |
|
Zabezpieczenia usług w sieci Web (WS-Security) |
Zbiór specyfikacji opisujących sposoby dołączania sygnatur i nagłówków szyfrowania do komunikatów protokołu SOAP. Specyfikacja WS-Security opisuje również metody dołączania do komunikatów tokenów zabezpieczających, w tym binarnych tokenów zabezpieczających, takich jak certyfikaty X.509 i bilety protokołu Kerberos. Specyfikacja WS-Security jest używana w programie AD FS podczas podpisywania przez protokół Kerberos tokenów zabezpieczających. |
|
Aplikacja używająca tokenów systemu Windows NT |
Aplikacja systemu Windows uwierzytelniająca użytkowników na podstawie tokenów systemu Windows NT. |
|
Usługi federacyjne w sieci Web (WS-Federation) |
Specyfikacja definiująca model i zestaw komunikatów umożliwiających przekazywanie informacji dotyczących zaufania, federacji tożsamości oraz uwierzytelniania między różnymi obszarami zaufania. Usługi federacyjne w sieci Web (WS-Federation) identyfikują dwa źródła żądań tożsamości i uwierzytelnienia w obszarach zaufania:
|
|
Profil pasywnego obiektu żądającego usług federacyjnych w sieci Web (WS-F PRP) |
Implementacja specyfikacji usług federacyjnych w sieci Web (WS-Federation) wprowadzająca standardowy protokół stosowania platformy federacyjnej przez klientów pasywnych, na przykład przeglądarki sieci Web. W ramach tego protokołu obiekty wysyłające żądania usług sieci Web powinny obsługiwać nowe mechanizmy zabezpieczeń oraz mieć możliwość interakcji z dostawcami usług sieci Web. |