Usługi Active Directory Federation Services (AD FS) to funkcja systemów operacyjnych Windows Server® 2003 R2, Windows Server 2008 i Windows Server 2008 R2, która udostępnia technologie rejestracji jednokrotnej (SSO, single-sign-on) w sieci Web, dzięki czemu użytkownik może być uwierzytelniany w wielu aplikacjach sieci Web podczas jednej sesji w trybie online. W tym celu program AD FS obsługuje bezpieczne udostępnianie tożsamości cyfrowej i praw użytkowników (oświadczeń) w różnych systemach zabezpieczeń i różnych przedsiębiorstwach.

Funkcje programu AD FS

W systemach Windows Server 2008 i Windows Server 2008 R2 usługi AD FS zawierają nowe funkcje, które nie były dostępne w systemie Windows Server 2003 R2. Aby dowiedzieć się więcej o tych funkcjach, zobacz artykuł dotyczący nowych funkcji programu AD FS w systemie Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684) (strona może zostać wyświetlona w języku angielskim).

Poniżej przedstawiono kilka najważniejszych funkcji programu AD FS:

  • Federacja i rejestracja jednokrotna w sieci Web

    Organizacje używające usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) mogą korzystać z zalet funkcji rejestracji jednokrotnej (dzięki zintegrowanemu uwierzytelnianiu systemu Windows) wewnątrz obszaru zabezpieczeń organizacji lub w obrębie przedsiębiorstwa. Program AD FS rozszerza zakres działania tej funkcji na aplikacje udostępniane w Internecie. Dzięki temu klienci, partnerzy i dostawcy mogą uzyskiwać dostęp do aplikacji sieci Web organizacji za pomocą usprawnionego procesu rejestracji jednokrotnej w sieci Web. Co więcej, wdrożenie serwerów federacyjnych w wielu organizacjach pozwala korzystać z transakcji federacyjnych typu B2B (business-to-business) między organizacjami partnerskimi. Aby uzyskać więcej informacji o federacji w programie AD FS, zobacz temat Opis projektów federacji.

  • Współdziałanie w ramach architektury usług sieci Web (WS)-*

    Program AD FS udostępnia federacyjne rozwiązanie do zarządzania tożsamością, które może współpracować z innymi produktami z zakresu zabezpieczeń obsługującymi architekturę usług sieci Web (WS-*). W programie AD FS jest w tym celu stosowana federacyjna specyfikacja usług WS-* o nazwie Usługi federacyjne w sieci Web (WS-Federation). Standard WS-Federation umożliwia tworzenie federacji między środowiskami systemu Windows a środowiskami, w których model tożsamości systemu Microsoft® Windows® nie jest stosowany. Aby uzyskać więcej informacji o specyfikacjach usług WS-*, zobacz temat Zasoby dotyczące usług AD FS.

  • Rozszerzalna architektura

    Program AD FS udostępnia rozszerzalną architekturę obsługującą tokeny typu SAML (Security Assertion Markup Language) w wersji 1.1 oraz uwierzytelnianie Kerberos (w przypadku projektu federacyjnej usługi rejestracji jednokrotnej w sieci Web z zaufaniem lasu). Program AD FS umożliwia również wykonywanie mapowania oświadczeń (na przykład modyfikowanie oświadczeń za pomocą niestandardowych procedur biznesowych stosowanych jako zmienna w żądaniach dostępu). Ta rozszerzalność architektury pozwala modyfikować program AD FS w celu umożliwienia jego współdziałania z istniejącą infrastrukturą zabezpieczeń i zasadami biznesowymi organizacji. Aby uzyskać więcej informacji o modyfikowaniu oświadczeń, zobacz temat Opis oświadczeń.

Rozszerzanie zakresu działania usług AD DS na Internet

W wielu organizacjach usługi AD DS są podstawowymi usługami do obsługi tożsamości i uwierzytelniania. Usługa Active Directory dostępna w systemie Windows Server 2003 oraz usługi domenowe w usłudze AD dostępne w systemach Windows Server 2008 i Windows Server 2008 R2 pozwalają utworzyć relację zaufania lasu między dwoma lub więcej lasami systemu Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2, zapewniając dostęp do zasobów znajdujących się w różnych jednostkach biznesowych lub organizacjach. Aby uzyskać więcej informacji o relacjach zaufania lasów, zobacz artykuł dotyczący sposobu działania relacji zaufania lasów i domen (https://go.microsoft.com/fwlink/?LinkId=35356) (strona może zostać wyświetlona w języku angielskim).

Istnieją przypadki, w których stosowanie relacji zaufania lasu nie jest właściwym rozwiązaniem. Na przykład możliwość uzyskania dostępu między różnymi organizacjami powinna być dostępna jedynie dla kilku wybranych osób, nie zaś dla wszystkich elementów członkowskich lasu.

Używając programu AD FS, organizacje mogą rozszerzać istniejącą infrastrukturę usługi Active Directory w celu zapewnienia dostępu do zasobów oferowanych przez zaufanych partnerów za pośrednictwem Internetu. Partnerzy ci mogą w ramach tej samej organizacji uwzględniać podmioty zewnętrzne oraz inne oddziały i przedstawicielstwa.

Program AD FS obsługuje rozproszone uwierzytelnianie i autoryzację za pośrednictwem Internetu. Program AD FS może zostać zintegrowany z używanym w organizacji lub w dziale systemem zarządzania dostępem w celu tłumaczenia używanych w organizacji oświadczeń na oświadczenia organizacji uzgadniane w ramach federacji. Za pomocą programu AD FS można tworzyć, zabezpieczać i weryfikować oświadczenia przekazywane między organizacjami. Można też wykonywać inspekcje komunikacji między organizacjami i działami oraz monitorować ją w celu zapewnienia bezpieczeństwa transakcji.

Aby uzyskać więcej informacji o programie AD FS, zobacz następujące tematy:

Spis treści