Agent sieci Web programu Active Directory Federation Services (AD FS) to usługa roli programu AD FS, która może zostać zainstalowana niezależnie od innych usług ról programu AD FS. Zainstalowanie usługi roli agenta sieci Web programu AD FS na komputerze powoduje, że staje się on serwerem sieci Web z włączonym programem AD FS.

Zadaniem serwera sieci Web z włączonym programem AD FS jest przyjmowanie tokenów zabezpieczających i zezwalanie użytkownikom na dostęp do aplikacji sieci Web lub odmawianie takiego dostępu. W tym celu między serwerem sieci Web z włączonym programem AD FS a usługą federacyjną zasobów musi istnieć relacja umożliwiająca przekierowywanie użytkowników do usługi federacyjnej w razie potrzeby.

Agent sieci Web programu AD FS może być używany z następującymi dwoma typami aplikacji:

  • Aplikacje obsługujące oświadczenia: aplikacje oparte na platformie Microsoft ASP.NET umożliwiające obsługę opublikowanych obiektów programu AD FS, które pozwalają na wysyłanie zapytań dotyczących oświadczeń tokenów zabezpieczających programu AD FS. Aplikacje podejmują decyzje dotyczące autoryzacji na podstawie tych oświadczeń.

  • Aplikacje używające tokenów systemu Windows NT: aplikacje używające mechanizmu uwierzytelniania systemu Windows. Agent sieci Web programu AD FS obsługuje konwersję tokenów zabezpieczających programu AD FS na tokeny dostępu poziomu personifikacji systemu Windows NT®.

Serwer sieci Web przechowuje również na komputerach klienckich pliki cookie protokołu HTTP w celu ułatwienia rejestracji jednokrotnej, gdy jest to konieczne. Agent sieci Web programu AD FS zawiera dwa składniki:

  • Rozszerzenie agenta używającego tokenów systemu Windows w programie AD FS

  • Usługa uwierzytelniania agenta sieci Web programu AD FS

Rozszerzenie agenta używającego tokenów systemu Windows w usługach AD FS

Rozszerzenie agenta używającego tokenów systemu Windows w programie AD FS jest rozszerzeniem interfejsu ISAPI (Internet Server Application Programming Interface), za pomocą którego można konfigurować informacje w metabazie usług Internet Information Services (IIS). Na stronach właściwości Adres URL usług federacyjnych i Agent sieci Web programu AD FS Menedżera usług IIS można administrować zasadami i certyfikatami weryfikującymi tokeny zabezpieczające i pliki cookie programu AD FS.

Właściwości agenta sieci Web programu AD FS opisane w poniższej tabeli mogą być dziedziczone. Ich obecność w zasobie usług IIS jest wymagana, jeśli rozszerzenie ISAPI ma obsługiwać protokół WS-F PRP (profil pasywnego obiektu żądającego usług federacyjnych w sieci Web).

Właściwości Opis

Adres URL usługi federacyjnej

Adres URL (Uniform Resource Locator) usługi federacyjnej. Ten adres jest wymagany do wysyłania zapytań o informacje dotyczące relacji zaufania.

Ścieżka plików cookie

Ścieżka używana przy zapisywaniu uwierzytelniających plików cookie.

Domena plików cookie

Domena, dla której są prawidłowe pliki cookie.

Zwrotny adres URL

Adres URL, pod który token wraca z usługi federacyjnej po uwierzytelnieniu w tej usłudze. Ten adres powinien być zgodny z elementem tokenu dotyczącym odbiorców. Sprawdzanie elementu dotyczącego odbiorców jest wykonywane przez usługę systemu Windows.

Usługa uwierzytelniania agenta sieci Web usług AD FS

Usługa uwierzytelniania agenta sieci Web programu AD FS weryfikuje poprawność przychodzących tokenów i plików cookie. Jest ona uruchamiana na koncie System lokalny w celu wygenerowania tokenu za pomocą usługi Service-for-User (S4U), która umożliwia uzyskanie tokenu systemu Windows dla klienta przez podanie głównej nazwy użytkownika (UPN) bez podawania hasła, lub za pomocą pakietu uwierzytelniania programu AD FS. Pula aplikacji usług IIS nie musi być jednak uruchamiana na koncie System lokalny.

Usługa uwierzytelniania agenta sieci Web programu AD FS ma interfejsy, które można wywołać tylko przy użyciu lokalnego zdalnego wywołania procedury (LRPC, local remote procedure call), a nie zdalnego wywołania procedury (RPC, remote procedure call). Ta usługa zwraca token dostępu poziomu personifikacji systemu Windows NT po otrzymaniu tokenu zabezpieczającego programu AD FS lub pliku cookie programu AD FS.

Zobacz też


Spis treści