Magazyny kont są używane w programie Active Directory Federation Services (AD FS) do logowania użytkowników i wyodrębniania oświadczeń zabezpieczeń dla tych użytkowników. Dla jednej usługi federacyjnej można skonfigurować wiele magazynów kont. Można również zdefiniować ich priorytety. Do komunikacji z magazynami kont usługa federacyjna używa protokołu LDAP (Lightweight Directory Access Protocol). Program AD FS obsługuje dwa typy magazynów kont:
-
Usługi domenowe w usłudze Active Directory (AD DS)
-
Usługi LDS w usłudze Active Directory (AD LDS)
Program AD FS współpracuje z usługami domenowymi w usłudze Active Directory (AD DS, Active Directory Domain Services) wdrożonymi w całym przedsiębiorstwie lub z wystąpieniami usług LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services). W pierwszym przypadku program AD FS korzysta z technologii silnego uwierzytelniania dostępnych w usługach AD DS, w tym ze standardu Kerberos, certyfikatów cyfrowych X.509 oraz kart inteligentnych. Natomiast w drugim przypadku do uwierzytelniania użytkowników w programie AD FS jest używane powiązanie protokołu LDAP.
Magazyny kont usług AD DS
Program AD FS jest ściśle zintegrowany z usługami AD DS. Program AD FS pobiera atrybuty użytkowników i uwierzytelnia użytkowników przy użyciu usług AD DS. Program AD FS używa również zintegrowanego uwierzytelniania systemu Windows oraz tworzonych przez usługi AD DS tokenów zabezpieczających.
Aby użytkownik mógł się zalogować w usługach AD DS, nazwa użytkownika musi być zgodna z formatem głównej nazwy użytkownika (użytkownik@adatum.com) lub formatem nazwy konta Menedżera kont zabezpieczeń (adatum\użytkownik).
Tokeny dostępu są generowane podczas logowania użytkownika. Zawierają one identyfikatory zabezpieczeń (SID) użytkownika i wszystkich grup, do których dany użytkownik należy. Kopia tokenu dostępu jest przypisywana do każdego procesu uruchamianego przez użytkownika.
Po zalogowaniu się i spersonifikowaniu użytkownika tworzona jest lista identyfikatorów zabezpieczeń (SID) użytkownika na podstawie tokenu dostępu. Te identyfikatory są następnie mapowane na oświadczenia grupy organizacji.
Przestroga | |
Gdy zostanie włączona opcja zaufania systemu Windows w usłudze federacyjnej kont, do organizacji partnera zasobów są wysyłane przez Internet rzeczywiste identyfikatory zabezpieczeń, co może stanowić zagrożenie dla bezpieczeństwa. Te identyfikatory są umieszczane w tokenie SAML (Security Assertion Markup Language) programu AD FS. Dlatego należy włączyć tę opcję tylko wtedy, gdy jest używany projekt federacyjnej usługi rejestracji jednokrotnej w sieci Web z zaufaniem lasu. Ten projekt umożliwia bezpieczną komunikację w obrębie tej samej organizacji. |
Oświadczenia adresu e-mail, oświadczenia nazwy pospolitej i oświadczenia niestandardowe mogą zostać wyodrębnione z atrybutów obiektu użytkownika zdefiniowanych w usługach AD DS podczas wyszukiwania obiektu za pomocą protokołu LDAP przy użyciu konta usługi federacyjnej.
Konto usługi federacyjnej musi mieć dostęp do obiektu użytkownika. Jeśli obiekt użytkownika znajduje się w domenie innej niż domena konta usługi federacyjnej, ta pierwsza domena musi mieć ustawioną relację zaufania domeny usług AD DS w stosunku do drugiej domeny.
Nie ma bezpośredniego sposobu ustalenia, czy dana nazwa użytkownika jest obecna w usługach AD DS i we wszystkich zaufanych katalogach (w sposób bezpośredni lub przechodni). Usługi AD DS zwracają autorytatywne niepowodzenie tylko w przypadku, gdy ograniczenia zasad uniemożliwiają próbę logowania. Oto przykłady niepowodzeń związanych z ograniczeniami zasad:
-
Konto jest wyłączone.
-
Hasło konta wygasło.
-
To konto nie ma uprawnień do logowania na tym komputerze.
-
Na konto są nałożone ograniczenia dotyczące czasu logowania i nie pozwalają one na zalogowanie się o tej godzinie.
W innych przypadkach niepowodzenia logowania za pomocą magazynu kont usług AD DS są zawsze nieautorytatywne i jest podejmowana próba użycia magazynu kont z następnym priorytetem. Aby uzyskać więcej informacji o niepowodzeniach logowania za pomocą magazynu kont, zobacz temat Rozwiązywanie problemów z usługami AD FS.
Magazyny kont usług LDS w usłudze AD
Usługi LDS w usłudze AD pozwalają na przechowywanie oraz pobieranie danych aplikacji obsługujących katalogi bez zależności wymaganych w przypadku usług domenowych w usłudze AD. Usługi LDS w usłudze AD udostępniają te same funkcje, co usługi domenowe w usłudze AD, ale nie wymagają wdrażania domen ani kontrolerów domen. Podobnie jak w przypadku używania przez program AD FS informacji z magazynu kont usług domenowych w usłudze AD, program AD FS pobiera atrybuty użytkowników i uwierzytelnia użytkowników za pomocą usług LDS w usłudze AD.
Uwaga | |
Usługi AD FS nie mogą uwierzytelnić kont usług LDS w usłudze AD, których nazwy zawierają nawiasy. Jeśli konto będzie zawierać otwarty nawias w nazwie użytkownika, spowoduje to niepowodzenie wyszukiwania protokołu LDAP, ponieważ nazwa użytkownika będzie traktowana jako niepoprawny filtr LDAP. |
Konto usługi federacyjnej uzyskuje oświadczenia, które są używane do wyszukiwania obiektu za pomocą protokołu LDAP. Aby uzyskać więcej informacji, zobacz temat Opis oświadczeń. Ten proces składa się z dwóch etapów:
-
Najpierw konto usługi federacyjnej znajduje obiekt użytkownika przez wyszukanie obiektu, którego skonfigurowany atrybut jest zgodny z podaną nazwą użytkownika. Komunikacja z kontem usługi federacyjnej jest zabezpieczana przy użyciu protokołu Kerberos lub szyfrowania NTLM.
Uwaga Ten proces wymaga przyłączenia serwera usług LDS w usłudze AD do domeny połączonej relacją zaufania z domeną, której członkiem jest usługa federacyjna.
-
Następnie poświadczenia użytkownika są sprawdzane przez utworzenie powiązania przy użyciu protokołu LDAP ze znalezionym obiektem użytkownika za pomocą podanego hasła. Jeśli we właściwościach magazynu kont usług LDS w usłudze AD w zasadach zaufania skonfigurowano protokoły Transport Layer Security i Secure Sockets Layer (TLS/SSL), poświadczenia użytkownika są chronione.
Ważne Stanowczo zaleca się zabezpieczenie komunikacji między serwerem usług LDS w usłudze AD i serwerem federacyjnym za pomocą protokołów TSL/SSL lub innych metod, takich jak protokół IPsec.
Jeśli zapytanie LDAP z podaną nazwą użytkownika zwróci więcej niż jeden obiekt, uznaje się, że wystąpiło niepowodzenie uwierzytelniania.
Konto użytkownika jest najpierw wyszukiwane w magazynie kont usług LDS w usłudze AD (jeśli został skonfigurowany), po czym pozostałe magazyny LDAP są konfigurowane w danej kolejności. Jeśli konto użytkownika zostanie znalezione w jednym z magazynów, użytkownik zostanie autorytatywnie zalogowany za pomocą tego magazynu i żaden z pozostałych magazynów nie będzie wywoływany w celu przetworzenia żądania logowania użytkownika.
Ustalanie kolejności priorytetów żądań logowania użytkownika
Gdy żądanie logowania zostanie zgłoszone do usług domenowych w usłudze AD lub usług LDS w usłudze AD przy użyciu klienta programu AD FS, jest ono natychmiast przekazywane do określonego magazynu kont. Jeśli jednak nie został podany identyfikator URI (Uniform Resource Identifier) magazynu kont, w celu zalogowania użytkownika są sprawdzane kolejno wszystkie magazyny kont zgodnie z kolejnością priorytetów. Wynik uwierzytelniania jest zwracany, jeśli:
-
Skonfigurowano tylko jeden magazyn i jest zwracana informacja o sprawdzeniu poświadczeń.
-
W żądaniu logowania określono identyfikator URI magazynu i jest zwracana informacja o sprawdzeniu poświadczeń.
-
Wynik uwierzytelniania za pomocą jednego z magazynów jest autorytatywny.
-
Uwierzytelnianie za pomocą jednego z magazynów zakończyło się powodzeniem.
Wyłączanie magazynów kont
Każdy magazyn kont można oznaczyć jako włączony lub wyłączony. Jeśli magazyn kont jest wyłączony, nie bierze on udziału w żadnych operacjach związanych z magazynami kont. Pliki cookie z oświadczeniami pochodzącymi z wyłączonego magazynu kont są odrzucane lub usuwane, a klient jest przekierowywany na stronę logowania.