Podczas projektowania wdrożenia programu Active Directory Federation Services (AD FS) należy między innymi określić typ aplikacji federacyjnej, która będzie zabezpieczana przez Usługi domenowe w usłudze Active Directory (AD DS, Active Directory Domain Services). Federacja jest możliwa dla określonych typów aplikacji, które zostały opisane w poniższych sekcjach.

Aby dowiedzieć się więcej o udoskonalonej obsłudze aplikacji w tej wersji programu AD FS, zobacz artykuł dotyczący nowych funkcji programu AD FS w systemie Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684) (strona może zostać wyświetlona w języku angielskim).

Aplikacja obsługująca oświadczenia

Oświadczenia zawierają informacje dotyczące użytkowników (takie jak nazwa, tożsamość, klucz, grupa, przywilej lub możliwości) zrozumiałe dla obu partnerów w federacji usług AD FS. Służą one do autoryzacji w aplikacji.

Aplikacja obsługująca oświadczenia to aplikacja oparta na platformie Microsoft ASP.NET, w której jest używana biblioteka klas programu AD FS. Tego rodzaju aplikacja zapewnia pełną obsługę oświadczeń programu AD FS, umożliwiając bezpośrednie podejmowanie decyzji o autoryzacji. W aplikacjach obsługujących oświadczenia są akceptowane oświadczenia przesyłane przez usługę federacyjną w postaci tokenów zabezpieczających programu AD FS. Aby uzyskać więcej informacji o sposobie używania tokenów zabezpieczających i oświadczeń w usłudze federacyjnej, zobacz temat Opis usługi roli usługi federacyjnej.

Mapowanie oświadczeń polega na mapowaniu, usuwaniu lub filtrowaniu oświadczeń przychodzących lub przekazywaniu ich do oświadczeń wychodzących. Mapowanie oświadczeń nie odbywa się w przypadku oświadczeń wysyłanych do aplikacji. Zamiast tego do aplikacji są przesyłane jedynie oświadczenia organizacji określone przez administratora usługi federacyjnej partnera zasobów. Oświadczenia organizacji to pośrednie lub znormalizowane oświadczenia występujące w obszarze nazw organizacji. Aby uzyskać więcej informacji o oświadczeniach i ich mapowaniu, zobacz temat Opis oświadczeń.

Poniższa lista zawiera opis oświadczeń organizacji, które mogą być używane przez aplikacje obsługujące oświadczenia:

  • Oświadczenia tożsamości (główna nazwa użytkownika, adres e-mail, nazwa pospolita)

    Podczas konfigurowania aplikacji należy wskazać, które z tych oświadczeń tożsamości będzie do niej przesyłane. Mapowanie ani filtrowanie nie jest wykonywane.

  • Oświadczenia grupy

    Podczas konfigurowania aplikacji należy wskazać oświadczenia grupy organizacji, które będą do niej wysyłane. Oświadczenia grupy organizacji nieprzeznaczone do wysyłania do aplikacji będą odrzucane.

  • Oświadczenia niestandardowe

    Podczas konfigurowania aplikacji należy wskazać niestandardowe oświadczenia organizacji, które będą do niej wysyłane. Niestandardowe oświadczenia organizacji nieprzeznaczone do wysyłania do aplikacji będą odrzucane.

Autoryzacja obsługująca oświadczenia

Autoryzacja obsługująca oświadczenia składa się z modułu HTTP i obiektów umożliwiających wysyłanie zapytań dotyczących oświadczeń, które są przekazywane za pomocą tokenu zabezpieczającego programu AD FS. Autoryzacja obsługująca oświadczenia jest dostępna jedynie w przypadku aplikacji platformy Microsoft ASP.NET.

Moduł HTTP przetwarza komunikaty programu AD FS, stosując ustawienia konfiguracyjne zdefiniowane w pliku Web.config aplikacji sieci Web. Strony sieci Web wykonują zadania związane z uwierzytelnianiem i autoryzacją. Moduł HTTP obsługuje również uwierzytelnianie plików cookie i uzyskiwanie z nich oświadczeń.

Aplikacja używająca tokenu systemu Windows NT

Aplikacje używające tokenów systemu Windows NT to aplikacje usług Internet Information Services (IIS), które zostały napisane tak, aby korzystały z tradycyjnych macierzystych mechanizmów autoryzacji systemu Windows. Ten typ aplikacji nie jest przygotowany do przyjmowania oświadczeń programu AD FS.

Aplikacje używające tokenów systemu Windows NT mogą być używane wyłącznie przez użytkowników systemu Windows w obszarze lokalnym lub w dowolnym obszarze, który jest uznawany za zaufany przez obszar lokalny - to znaczy przez użytkowników, którzy mogą zalogować się na komputerze przy użyciu mechanizmów uwierzytelniania systemu Windows NT opartych na tokenach.

Uwaga

W projektach dotyczących federacji oznacza to, że do uwierzytelniania przy użyciu tokenów systemu Windows NT mogą być wymagane konta zasobów lub grupy zasobów.

Token zabezpieczający programu AD FS, który jest wysyłany do agenta używającego tokenów systemu Windows NT, może zawierać dowolny z następujących typów oświadczeń:

  • Oświadczenie głównej nazwy użytkownika (UPN)

  • Oświadczenie adresu e-mail użytkownika

  • Oświadczenie grupy

  • Oświadczenie niestandardowe użytkownika

  • Oświadczenie głównej nazwy użytkownika, oświadczenie adresu e-mail, oświadczenie grupy lub oświadczenie niestandardowe zawierające identyfikatory zabezpieczeń (SID) dotyczące konta użytkownika. To rozwiązanie ma zastosowanie tylko wtedy, gdy jest włączona opcja Zaufanie systemu Windows.

Serwer sieci Web z włączonym programem AD FS generuje token dostępu poziomu personifikacji systemu Windows. Token dostępu poziomu personifikacji zawiera informacje o zabezpieczeniach dla procesu klienta, co umożliwia usłudze „personifikację” procesu klienta w operacjach zabezpieczeń.

Poniższy proces umożliwia określenie sposobu tworzenia tokenu systemu Windows NT w aplikacjach sieci Web używających tokenów systemu Windows NT.

  1. Jeśli token SAML zawiera w elemencie porady SAML identyfikatory SID, identyfikatory te są używane do wygenerowania tokenu systemu Windows NT.

  2. Jeśli token SAML nie zawiera identyfikatorów zabezpieczeń, ale zawiera oświadczenie tożsamości głównej nazwy użytkownika, do wygenerowania tokenu systemu Windows NT jest używane oświadczenie głównej nazwy użytkownika.

  3. Jeśli token SAML nie zawiera identyfikatorów SID i w oświadczeniu tożsamości adresu e-mail znajduje się oświadczenie tożsamości nazwy UPN, jest ono interpretowane jako nazwa UPN i używane do wygenerowania tokenu systemu Windows NT.

Ta procedura nie jest zależna od tego, czy w oświadczeniu tożsamości używanym do wygenerowania tokenu systemu Windows NT określono oświadczenie tożsamości głównej nazwy użytkownika czy oświadczenie tożsamości adresu e-mail, jeśli w usłudze federacyjnej utworzono wpis zasad zaufania dla danej aplikacji sieci Web.

Tradycyjna autoryzacja systemu Windows

Obsługa konwersji tokenu zabezpieczającego programu AD FS na token dostępu poziomu personifikacji systemu Windows wymaga kilku składników:

  • Rozszerzenie ISAPI: Ten składnik sprawdza pliki cookie programu AD FS, sprawdza tokeny zabezpieczające programu AD FS usługi federacyjnej, wykonuje odpowiednie przekierowania protokołów i zapisuje niezbędne pliki cookie, aby umożliwić działanie programu AD FS.

  • Pakiet uwierzytelniania programu AD FS: Pakiet uwierzytelniania programu AD FS generuje token dostępu poziomu personifikacji dla głównej nazwy użytkownika konta domeny. Pakiet wymaga od wywołującego posiadania przywileju Trust Computing Base (TCB).

  • Strony właściwości Adres URL usług federacyjnych i Agent sieci Web programu AD FS w przystawce Menedżer internetowych usług informacyjnych: Na tych stronach właściwości można administrować zasadami i certyfikatami weryfikującymi tokeny zabezpieczające i pliki cookie programu AD FS.

  • Usługa uwierzytelniania agenta sieci Web programu AD FS: Usługa uwierzytelniania agenta sieci Web programu AD FS jest uruchamiana na koncie System lokalny i generuje token przy użyciu usługi Service-for-User (S4U) lub pakietu uwierzytelniania programu AD FS. Pula aplikacji usług Internet Information Services (IIS) nie musi być jednak uruchamiana na koncie System lokalny. Usługa uwierzytelniania agenta sieci Web programu AD FS ma interfejsy, które można wywołać tylko przy użyciu lokalnego zdalnego wywołania procedury (LRPC, local remote procedure call), a nie zdalnego wywołania procedury (RPC, remote procedure call). Usługa zwraca token dostępu poziomu personifikacji systemu Windows NT po otrzymaniu tokenu zabezpieczającego programu AD FS lub pliku cookie programu AD FS.

  • Filtr ISAPI agenta sieci Web programu AD FS: Pewne tradycyjne aplikacje sieci Web usług IIS korzystają z filtru ISAPI, który może modyfikować dane przychodzące, takie jak adresy URL. W takim przypadku filtr ISAPI agenta sieci Web programu AD FS musi być włączony i ustawiony jako filtr o najwyższym priorytecie. Ten filtr nie jest włączony domyślnie.

Spis treści