Magazyny kont są używane w programie Active Directory Federation Services (AD FS) do logowania użytkowników i wyodrębniania oświadczeń zabezpieczeń dla tych użytkowników. Dla jednej usługi federacyjnej można skonfigurować wiele magazynów kont. Można również zdefiniować ich priorytety. Do komunikacji z magazynami kont usługa federacyjna używa protokołu LDAP (Lightweight Directory Access Protocol). Program AD FS obsługuje dwa typy magazynów kont:

  • Usługi domenowe w usłudze Active Directory (AD DS)

  • Usługi LDS w usłudze Active Directory (AD LDS)

Program AD FS współpracuje z usługami domenowymi w usłudze Active Directory (AD DS, Active Directory Domain Services) wdrożonymi w całym przedsiębiorstwie lub z wystąpieniami usług LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services). W pierwszym przypadku program AD FS korzysta z technologii silnego uwierzytelniania dostępnych w usługach AD DS, w tym ze standardu Kerberos, certyfikatów cyfrowych X.509 oraz kart inteligentnych. Natomiast w drugim przypadku do uwierzytelniania użytkowników w programie AD FS jest używane powiązanie protokołu LDAP.

Magazyny kont usług AD DS

Program AD FS jest ściśle zintegrowany z usługami AD DS. Program AD FS pobiera atrybuty użytkowników i uwierzytelnia użytkowników przy użyciu usług AD DS. Program AD FS używa również zintegrowanego uwierzytelniania systemu Windows oraz tworzonych przez usługi AD DS tokenów zabezpieczających.

Aby użytkownik mógł się zalogować w usługach AD DS, nazwa użytkownika musi być zgodna z formatem głównej nazwy użytkownika (użytkownik@adatum.com) lub formatem nazwy konta Menedżera kont zabezpieczeń (adatum\użytkownik).

Tokeny dostępu są generowane podczas logowania użytkownika. Zawierają one identyfikatory zabezpieczeń (SID) użytkownika i wszystkich grup, do których dany użytkownik należy. Kopia tokenu dostępu jest przypisywana do każdego procesu uruchamianego przez użytkownika.

Po zalogowaniu się i spersonifikowaniu użytkownika tworzona jest lista identyfikatorów zabezpieczeń (SID) użytkownika na podstawie tokenu dostępu. Te identyfikatory są następnie mapowane na oświadczenia grupy organizacji.

Przestroga

Gdy zostanie włączona opcja zaufania systemu Windows w usłudze federacyjnej kont, do organizacji partnera zasobów są wysyłane przez Internet rzeczywiste identyfikatory zabezpieczeń, co może stanowić zagrożenie dla bezpieczeństwa. Te identyfikatory są umieszczane w tokenie SAML (Security Assertion Markup Language) programu AD FS. Dlatego należy włączyć tę opcję tylko wtedy, gdy jest używany projekt federacyjnej usługi rejestracji jednokrotnej w sieci Web z zaufaniem lasu. Ten projekt umożliwia bezpieczną komunikację w obrębie tej samej organizacji.

Oświadczenia adresu e-mail, oświadczenia nazwy pospolitej i oświadczenia niestandardowe mogą zostać wyodrębnione z atrybutów obiektu użytkownika zdefiniowanych w usługach AD DS podczas wyszukiwania obiektu za pomocą protokołu LDAP przy użyciu konta usługi federacyjnej.

Konto usługi federacyjnej musi mieć dostęp do obiektu użytkownika. Jeśli obiekt użytkownika znajduje się w domenie innej niż domena konta usługi federacyjnej, ta pierwsza domena musi mieć ustawioną relację zaufania domeny usług AD DS w stosunku do drugiej domeny.

Nie ma bezpośredniego sposobu ustalenia, czy dana nazwa użytkownika jest obecna w usługach AD DS i we wszystkich zaufanych katalogach (w sposób bezpośredni lub przechodni). Usługi AD DS zwracają autorytatywne niepowodzenie tylko w przypadku, gdy ograniczenia zasad uniemożliwiają próbę logowania. Oto przykłady niepowodzeń związanych z ograniczeniami zasad:

  • Konto jest wyłączone.

  • Hasło konta wygasło.

  • To konto nie ma uprawnień do logowania na tym komputerze.

  • Na konto są nałożone ograniczenia dotyczące czasu logowania i nie pozwalają one na zalogowanie się o tej godzinie.

W innych przypadkach niepowodzenia logowania za pomocą magazynu kont usług AD DS są zawsze nieautorytatywne i jest podejmowana próba użycia magazynu kont z następnym priorytetem. Aby uzyskać więcej informacji o niepowodzeniach logowania za pomocą magazynu kont, zobacz temat Rozwiązywanie problemów z usługami AD FS.

Magazyny kont usług LDS w usłudze AD

Usługi LDS w usłudze AD pozwalają na przechowywanie oraz pobieranie danych aplikacji obsługujących katalogi bez zależności wymaganych w przypadku usług domenowych w usłudze AD. Usługi LDS w usłudze AD udostępniają te same funkcje, co usługi domenowe w usłudze AD, ale nie wymagają wdrażania domen ani kontrolerów domen. Podobnie jak w przypadku używania przez program AD FS informacji z magazynu kont usług domenowych w usłudze AD, program AD FS pobiera atrybuty użytkowników i uwierzytelnia użytkowników za pomocą usług LDS w usłudze AD.

Uwaga

Usługi AD FS nie mogą uwierzytelnić kont usług LDS w usłudze AD, których nazwy zawierają nawiasy. Jeśli konto będzie zawierać otwarty nawias w nazwie użytkownika, spowoduje to niepowodzenie wyszukiwania protokołu LDAP, ponieważ nazwa użytkownika będzie traktowana jako niepoprawny filtr LDAP.

Konto usługi federacyjnej uzyskuje oświadczenia, które są używane do wyszukiwania obiektu za pomocą protokołu LDAP. Aby uzyskać więcej informacji, zobacz temat Opis oświadczeń. Ten proces składa się z dwóch etapów:

  • Najpierw konto usługi federacyjnej znajduje obiekt użytkownika przez wyszukanie obiektu, którego skonfigurowany atrybut jest zgodny z podaną nazwą użytkownika. Komunikacja z kontem usługi federacyjnej jest zabezpieczana przy użyciu protokołu Kerberos lub szyfrowania NTLM.

    Uwaga

    Ten proces wymaga przyłączenia serwera usług LDS w usłudze AD do domeny połączonej relacją zaufania z domeną, której członkiem jest usługa federacyjna.

  • Następnie poświadczenia użytkownika są sprawdzane przez utworzenie powiązania przy użyciu protokołu LDAP ze znalezionym obiektem użytkownika za pomocą podanego hasła. Jeśli we właściwościach magazynu kont usług LDS w usłudze AD w zasadach zaufania skonfigurowano protokoły Transport Layer Security i Secure Sockets Layer (TLS/SSL), poświadczenia użytkownika są chronione.

    Ważne

    Stanowczo zaleca się zabezpieczenie komunikacji między serwerem usług LDS w usłudze AD i serwerem federacyjnym za pomocą protokołów TSL/SSL lub innych metod, takich jak protokół IPsec.

Jeśli zapytanie LDAP z podaną nazwą użytkownika zwróci więcej niż jeden obiekt, uznaje się, że wystąpiło niepowodzenie uwierzytelniania.

Konto użytkownika jest najpierw wyszukiwane w magazynie kont usług LDS w usłudze AD (jeśli został skonfigurowany), po czym pozostałe magazyny LDAP są konfigurowane w danej kolejności. Jeśli konto użytkownika zostanie znalezione w jednym z magazynów, użytkownik zostanie autorytatywnie zalogowany za pomocą tego magazynu i żaden z pozostałych magazynów nie będzie wywoływany w celu przetworzenia żądania logowania użytkownika.

Ustalanie kolejności priorytetów żądań logowania użytkownika

Gdy żądanie logowania zostanie zgłoszone do usług domenowych w usłudze AD lub usług LDS w usłudze AD przy użyciu klienta programu AD FS, jest ono natychmiast przekazywane do określonego magazynu kont. Jeśli jednak nie został podany identyfikator URI (Uniform Resource Identifier) magazynu kont, w celu zalogowania użytkownika są sprawdzane kolejno wszystkie magazyny kont zgodnie z kolejnością priorytetów. Wynik uwierzytelniania jest zwracany, jeśli:

  • Skonfigurowano tylko jeden magazyn i jest zwracana informacja o sprawdzeniu poświadczeń.

  • W żądaniu logowania określono identyfikator URI magazynu i jest zwracana informacja o sprawdzeniu poświadczeń.

  • Wynik uwierzytelniania za pomocą jednego z magazynów jest autorytatywny.

  • Uwierzytelnianie za pomocą jednego z magazynów zakończyło się powodzeniem.

Wyłączanie magazynów kont

Każdy magazyn kont można oznaczyć jako włączony lub wyłączony. Jeśli magazyn kont jest wyłączony, nie bierze on udziału w żadnych operacjach związanych z magazynami kont. Pliki cookie z oświadczeniami pochodzącymi z wyłączonego magazynu kont są odrzucane lub usuwane, a klient jest przekierowywany na stronę logowania.


Spis treści