Os Serviços de Federação do Active Directory (AD FS) usam terminologia de várias tecnologias diferentes, incluindo serviços de certificado, IIS, Serviços de Domínio Active Directory (AD DS), Active Directory Lightweight Directory Services (AD LDS) e Serviços da Web (WS-*). A tabela a seguir descreve estes termos.
Termo | Descrição |
---|---|
servidor de federação de conta |
O servidor de federação localizado na rede corporativa da organização do parceiro de conta. O servidor de federação da conta emite tokens de segurança para os usuários com base em autenticação do usuário. O servidor autentica um usuário, retira os atributos relevantes e informações de associação de grupo do armazenamento de conta e gera e assina um token de segurança para retornar ao usuário, seja para uso em sua própria organização ou envio para uma organização de parceiro. |
proxy do servidor de federação de conta |
O proxy do servidor de federação localizado na rede de perímetro da organização do parceiro de conta. O proxy do servidor de federação da conta coleta credenciais de autenticação de um cliente que se conecte à Internet (ou à rede de perímetro) e passa essas credenciais para o servidor de federação da conta. |
parceiro de conta |
Um parceiro de federação no qual o Serviço de Federação confia para fornecer tokens de segurança aos seus usuários (ou seja, os usuários na organização do parceiro de conta) para que eles possam acessar aplicativos baseados na Web no parceiro de recurso. |
AD FS (Serviços de Federação do Active Directory) |
Um componente do Windows Server 2003 R2, do Windows Server 2008 e Windows Server 2008 R2 que fornece tecnologias de SSO (logon único) da Web para autenticar um usuário em vários aplicativos Web durante uma única sessão online. O AD FS realiza isso com segurança compartilhando a identidade digital e a autorização pelos limites de segurança e da empresa. O AD FS oferece suporte ao protocolo WS-F PRP. |
Agente Web do AD FS |
Um serviço de função instalável do AD FS usado para criar um servidor Web habilitado para AD FS. O Agente Web do AD FS consome tokens de segurança de entrada e cookies de autenticação assinados por um servidor de federação válido, seja para permitir ou negar o acesso do usuário ao aplicativo protegido, ao considerar configurações de controle de acesso específicas do aplicativo. |
Servidor Web habilitado para AD FS |
Um servidor Web que executa o Windows Server 2003 R2, o Windows Server 2008 ou Windows Server 2008 R2, configurado com o software Agente Web do AD FS adequado, seja o agente de reconhecimento de declaração ou o agente baseado no token do Windows, necessário para autenticar e autorizar o acesso federado a aplicativos baseados na Web, hospedados localmente. |
declaração |
Uma instrução dada por um servidor (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) sobre um cliente. |
aplicativo de reconhecimento de declaração |
Um aplicativo do Microsoft ASP.NET que realiza autorização com base nas declarações presentes no token de segurança do AD FS. |
mapeamento de declaração |
O ato de mapear, remover, filtrar ou passar declarações entre vários conjuntos de declarações. |
página da Web de descoberta de parceiro de conta cliente |
A página da Web interage com o usuário para determinar a qual parceiro de conta o usuário pertence quando o AD FS não pode determinar automaticamente qual dos parceiros de conta deve autenticar o usuário. |
certificado de autenticação do cliente |
No AD FS, um certificado que os proxies do servidor de federação usam para autenticar um cliente no Serviço de Federação. |
página da Web de logoff de sessão cliente |
Quando o AD FS realiza uma operação de logoff, uma página da Web é iniciada para fornecer um feedback visual ao usuário para que ele saiba que o logoff ocorreu. |
página da Web de logon de sessão cliente |
Quando o AD FS coleta as credenciais do cliente, uma página da Web é iniciada para realizar a interação com o usuário. A página da Web de logon de sessão cliente pode usar uma lógica comercial para determinar os tipos de credenciais a serem coletadas. |
aplicativo federado |
Um aplicativo baseado na Web habilitado para AD FS, o que significa que os usuários federados podem acessá-lo. |
usuário federado |
Um usuário, cuja conta reside em uma organização de parceiro de conta, que pode acessar aplicativos federados que residem em uma organização de parceiro de recurso. |
federação |
Um par de realms ou domínios que estabeleceram uma confiança de federação. |
servidor de federação |
Um computador que executa o Windows Server 2003 R2, o Windows Server 2008 ou Windows Server 2008 R2 e tenha sido configurado para hospedar o componente Serviço de Federação do AD FS. Os servidores de federação podem autenticar ou rotear solicitações de contas de usuário em outras organizações ou de clientes que podem estar localizados em qualquer lugar na Internet. |
proxy de servidor de federação |
Um computador que executa o Windows Server 2003 R2, o Windows Server 2008 ou Windows Server 2008 R2 e tenha sido configurado para hospedar o componente Proxy do Serviço de Federação do AD FS. Os proxies do servidor de federação fornecem serviços de proxy intermediários entre um cliente de Internet e um servidor de federação localizado atrás de um firewall em uma rede corporativa. |
Serviço de Federação |
Um serviço de função instalável do AD FS usado para criar um servidor de federação. Depois de instalado, o Serviço de Federação fornece tokens quando são solicitados tokens de segurança. Vários servidores de federação podem ser configurados para garantir a tolerância a falhas e o balanceamento de carga em um único Serviço de Federação. |
Proxy de Serviço de Federação |
Um serviço de função instalável do AD FS usado para criar um proxy do servidor de federação. Depois de instalado, o serviço de função Proxy do Serviço de Federação usa protocolos WS-F PRP para coletar informações de credenciais do usuário de clientes do navegador e aplicativos da Web e enviar essas informações para o Serviço de Federação em nome deles. |
declarações da organização |
Declarações em formato intermediário ou normalizado no namespace de uma organização. |
cliente passivo |
Um navegador HTTP, capaz de oferecer suporte a HTTP amplamente suportado, que pode usar cookies. O AD FS no Windows Server 2003 R2 , no Windows Server 2008 e Windows Server 2008 R2 só dá suporte a clientes passivos e adere à especificação WS-F PRP. |
conta de recurso |
Uma única entidade de segurança, geralmente uma conta de usuário, criada no AD DS e usada para mapear para um único usuário federado. Uma conta de recurso é necessária ao federar aplicativos baseados no token do Windows NT porque o agente baseado no token do Windows deve fazer referência a uma entidade de segurança do Active Directory na floresta do parceiro de recurso para criar o token de acesso do Windows NT, impondo, assim, permissões de controle de acesso no aplicativo. |
servidor de federação de recurso |
O servidor de federação na organização do parceiro de recurso. O servidor de federação do recurso geralmente emite tokens de segurança para usuários com base em um token de segurança emitido por um servidor de federação de conta. O servidor:
|
proxy de servidor de federação de recurso |
O proxy do servidor de federação localizado na rede de perímetro da organização do parceiro de recurso. O proxy do servidor de federação do recurso realiza descoberta de parceiro de conta para clientes de Internet e redireciona tokens de segurança de entrada para o servidor de federação do recurso. |
grupo de recursos |
Um único grupo de segurança, criado no AD DS, para o qual as declarações de grupo de entrada (declarações de grupo do AD FS do parceiro de conta) são mapeadas. Depois que os usuários federados tiverem sido mapeados para um grupo de recursos, os servidores Web habilitados para AD FS poderão tomar decisões de autorização para aplicativos baseados no token do Windows NT com base nas permissões de acesso atribuídas ao identificador de segurança do grupo de recursos. |
parceiro de recurso |
Um parceiro de federação que confia no Serviço de Federação para emitir tokens de segurança baseados em declarações para aplicativos baseados na Web (ou seja, aplicativos na organização do parceiro de recurso) que os usuários no parceiro de conta podem acessar. |
token de segurança |
Uma unidade de dados criptografada que expressa uma ou mais declarações. No AD FS, um token de segurança assinado indica que o servidor de federação que emite o token de segurança verificou com êxito a autenticidade do usuário federado. |
serviço de token de segurança (STS) |
Um serviço da Web que emite tokens de segurança. Um STS faz afirmações com base em evidências nas quais confie, para quem confie nelas (ou para destinatários específicos). Para comunicar confiança, um serviço precisa de provas, como uma assinatura para provar o conhecimento de um token de segurança ou um conjunto de tokens de segurança. O próprio serviço pode gerar tokens ou pode confiar em um STS separado para emitir um token de segurança com sua própria instrução de confiança. Isso constitui a base do agenciamento de confiança. No AD FS, o Serviço de Federação é um STS. |
certificado de autenticação do servidor |
Servidores Web habilitados para AD FS, servidores de federação e proxies de servidor de federação usam certificados de autenticação do servidor para proteger o tráfego dos serviços da Web para a comunicação entre eles mesmos ou com clientes da Web. |
farm de servidores |
No AD FS, uma coleção de servidores Web que hospedam o Agente Web do AD FS, de proxies de servidor de federação ou de servidores de federação de carga balanceada. |
início de sessão universal (SSO) |
Uma otimização da sequência de autenticação para eliminar a repetição de ações de logon realizadas por um usuário final. |
certificado de autenticação de tokens |
Um certificado X.509 cujo par de chaves pública/privada associado é usado por servidores de federação para assinar digitalmente todos os tokens de segurança que os servidores de federação produzem. |
Uniform Resource Identifier (URI) |
Uma sequência compacta de caracteres que identifica um recurso abstrato ou físico. Os URIs são explicados na RFC 2396 ( |
certificado de verificação |
Um certificado que representa a parte da chave pública de um certificado de autenticação de token. Um certificado de verificação é armazenado na diretiva de confiança e usado pelo servidor de federação em uma organização para verificar se os tokens de segurança de entrada foram emitidos por servidores de federação válidos no farm da organização e em outras organizações. |
Serviços Web (WS-*) |
As especificações de uma arquitetura de serviços da Web que é baseada em padrões da indústria como SOAP (Simple Object Access Protocol); XML; WSDL (Web Service Description Language ) e UDDI (Universal Description, Discovery, and Integration). A WS-* fornece uma estrutura básica para entregar soluções empresariais completas e interoperáveis para toda a empresa, incluindo a capacidade de gerenciar segurança e identidade federada. O modelo dos serviços da Web é baseado na ideia de que os sistemas empresariais são escritos em idiomas diferentes, com modelos de programação diferentes, que são executados em tipos diferentes de dispositivos e acessados a partir deles. Os serviços da Web são uma forma de criar sistemas distribuídos que podem se conectar e interagir um com o outro de forma fácil e eficiente na Internet, independentemente do idioma em que foram escritos e em qual plataforma são executados. |
Web Services Security (WS-Security) |
Uma série de especificações que descrevem como anexar cabeçalhos de assinatura e criptografia em mensagens SOAP. Além disso, a especificação WS-Security descreve como anexar tokens de segurança, incluindo tokens de segurança binários como certificados X.509 e permissões Kerberos, a mensagens. No AD FS, a especificação WS-Security é usada quando o Kerberos assina tokens de segurança. |
Aplicativo baseado no token do Windows NT |
Um aplicativo do Windows que depende de um token do Windows NT para realizar a autorização de usuários. |
Web Services Federation |
Uma especificação que define um modelo e um conjunto de mensagens para agenciar confiança e a federação de identidade e informações de autenticação em diferentes realms de confiança. A especificação Web Services Federation identifica duas fontes de solicitações de autenticação e identidade em realms de confiança:
|
protocolo WS-F PRP |
Uma implementação da especificação Web Services Federation que propõe um protocolo padrão para o modo como os clientes passivos (como navegadores da Web) aplicam a estrutura da federação. Neste protocolo, espera-se que os solicitantes de serviços da Web aceitem os novos mecanismos de segurança e sejam capazes de interagir com provedores de serviços da Web. |