Program Microsoft Federation Gateway stanowi usługę tożsamości, która działa za pośrednictwem Internetu i służy do obsługi komunikacji między organizacją lub firmą i usługami zewnętrznymi, które mają być używane w organizacji. Ta brama pełni funkcję koncentratora dla wielu połączeń nawiązywanych przez organizację z aplikacjami bazującymi na platformie Windows Azure lub z aplikacjami firmy Microsoft udostępnianymi w Internecie. Przy użyciu tej bramy użytkownicy i inne tożsamości mogą nawiązywać połączenia z obsługiwanymi usługami, dzięki czemu organizacja musi zarządzać tylko jedną relacją federacyjną (tożsamością), która udostępnia tożsamościom w organizacji wszystkie potrzebne usługi firmy Microsoft i usługi działające na podstawie rozwiązań firmy Microsoft.
Program Microsoft Federation Gateway zapewnia aplikacjom prostą i opartą na standardach metodę ustanawiania relacji zaufania między oddzielnymi organizacjami, w której do potwierdzania własności domeny używane są certyfikaty SSL. Ponieważ w organizacjach tworzone są federacje z bramą, a nie bezpośrednie federacje między organizacjami, ustanowienie relacji zaufania z wieloma partnerami jest znacznie łatwiejsze niż w przypadku konwencjonalnych metod federacji bezpośredniej lub innych relacji zaufania. Zakres federacji można łatwo kontrolować przez tworzenie list dozwolonych lub zablokowanych użytkowników i domen na potrzeby licencjonowania oraz przez określanie domen uprawnionych do otrzymywania licencji publikowania. W ten sposób można zagwarantować, że tylko odpowiednie organizacje uzyskają dostęp do chronionych informacji.
Relacja tożsamości federacyjnej to oparta na standardach umowa między organizacjami, według której oświadczenia z jednej organizacji są przekazywane do drugiej i przez nią uznawane. Dzięki tej relacji użytkownicy mogą zalogować się i uzyskać uwierzytelnienie od swojego dostawcy tożsamości — organizacji zarządzającej ich kontami tożsamości. Następnie to uwierzytelnienie zostaje przekazane do partnera federacyjnego bez konieczności ponownego logowania się.
Program Microsoft Federation Gateway ustanawia relacje tożsamości federacyjnych na podstawie specyfikacji usług sieci Web (WS-*), takich jak WS-Trust i WS-Security, które współpracują w celu uproszczenia metod współdziałania i zwiększania bezpieczeństwa. Przy użyciu tych standardowych protokołów organizacje mogą ustanawiać między sobą relacje tożsamości federacyjnych bez konieczności używania takich samych platform lub infrastruktur.
Gdy dwie organizacje ustanowiły relację tożsamości federacyjnej, jeden partner (dostawca tożsamości) kontroluje własne konta użytkowników, natomiast drugi partner (dostawca zasobów) udziela dostępu do swoich zasobów na podstawie uwierzytelniania obsługiwanego przez dostawcę tożsamości. Tożsamość użytkownika jest definiowana jako zestaw oświadczeń serwera na temat użytkownika. Przykłady takich oświadczeń obejmują nazwę użytkownika, grupy i uprawnienia. Federacja tożsamości umożliwia udostępnianie takich oświadczeń dotyczących tożsamości.
W programie Microsoft Federation Gateway informacje uwierzytelniania od dostawcy tożsamości są dostarczane do bramy przy użyciu standardowego formatu SAML (Security Assertion Markup Language). Następnie program Microsoft Federation Gateway konwertuje te informacje uwierzytelniania na token usługi, który jest obsługiwany przez usługi firmy Microsoft.
Składnik Obsługa programu Microsoft Federation Gateway w systemie Windows Server® 2008 R2 umożliwia składnikowi Usługi AD RMS akceptowanie tokenów od programu Microsoft Federation Gateway w celu uwierzytelniania użytkowników na potrzeby certyfikowania i licencjonowania. Ta funkcja jest obsługiwana na przykład w programie Microsoft Exchange Server 2010, który umożliwia wysyłanie między organizacjami wiadomości chronionych przy użyciu składnika Usługi AD RMS, nawet jeśli te organizacje nie współużytkują infrastruktury Usługi domenowe Active Directory (AD DS). Skonfigurowanie infrastruktury programu Exchange Server 2010 do obsługi tych funkcji umożliwia użytkownikom wysyłanie wiadomości e-mail chronionych przy użyciu składnika Usługi AD RMS do adresatów poza organizacją nadawcy, którzy mogą je wyświetlać za pomocą programów Exchange Server 2010 Outlook Web App i Microsoft Outlook. Ponadto nadawcy mogą udzielać organizacjom adresatów, w których używane są uprawnienia programu Exchange Server 2010, uprawnień do odszyfrowywania zawartości, na przykład na potrzeby rejestrowania w dzienniku lub skanowania w poszukiwaniu złośliwego oprogramowania.
Aby uzyskać więcej informacji o sposobach wdrażania składnika Obsługa programu Microsoft Federation Gateway w składniku Usługi AD RMS, zobacz Lista kontrolna: wdrażanie usług AD RMS z funkcją obsługi programu Microsoft Federation Gateway.