Os Serviços de Federação do Active Directory (AD FS) usam terminologia de várias tecnologias diferentes, incluindo serviços de certificado, IIS, Serviços de Domínio Active Directory (AD DS), Active Directory Lightweight Directory Services (AD LDS) e Serviços da Web (WS-*). A tabela a seguir descreve estes termos.

Termo Descrição

servidor de federação de conta

O servidor de federação localizado na rede corporativa da organização do parceiro de conta. O servidor de federação da conta emite tokens de segurança para os usuários com base em autenticação do usuário. O servidor autentica um usuário, retira os atributos relevantes e informações de associação de grupo do armazenamento de conta e gera e assina um token de segurança para retornar ao usuário, seja para uso em sua própria organização ou envio para uma organização de parceiro.

proxy do servidor de federação de conta

O proxy do servidor de federação localizado na rede de perímetro da organização do parceiro de conta. O proxy do servidor de federação da conta coleta credenciais de autenticação de um cliente que se conecte à Internet (ou à rede de perímetro) e passa essas credenciais para o servidor de federação da conta.

parceiro de conta

Um parceiro de federação no qual o Serviço de Federação confia para fornecer tokens de segurança aos seus usuários (ou seja, os usuários na organização do parceiro de conta) para que eles possam acessar aplicativos baseados na Web no parceiro de recurso.

AD FS (Serviços de Federação do Active Directory)

Um componente do Windows Server 2003 R2, do Windows Server 2008 e Windows Server 2008 R2 que fornece tecnologias de SSO (logon único) da Web para autenticar um usuário em vários aplicativos Web durante uma única sessão online. O AD FS realiza isso com segurança compartilhando a identidade digital e a autorização pelos limites de segurança e da empresa. O AD FS oferece suporte ao protocolo WS-F PRP.

Agente Web do AD FS

Um serviço de função instalável do AD FS usado para criar um servidor Web habilitado para AD FS. O Agente Web do AD FS consome tokens de segurança de entrada e cookies de autenticação assinados por um servidor de federação válido, seja para permitir ou negar o acesso do usuário ao aplicativo protegido, ao considerar configurações de controle de acesso específicas do aplicativo.

Servidor Web habilitado para AD FS

Um servidor Web que executa o Windows Server 2003 R2, o Windows Server 2008 ou Windows Server 2008 R2, configurado com o software Agente Web do AD FS adequado, seja o agente de reconhecimento de declaração ou o agente baseado no token do Windows, necessário para autenticar e autorizar o acesso federado a aplicativos baseados na Web, hospedados localmente.

declaração

Uma instrução dada por um servidor (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) sobre um cliente.

aplicativo de reconhecimento de declaração

Um aplicativo do Microsoft ASP.NET que realiza autorização com base nas declarações presentes no token de segurança do AD FS.

mapeamento de declaração

O ato de mapear, remover, filtrar ou passar declarações entre vários conjuntos de declarações.

página da Web de descoberta de parceiro de conta cliente

A página da Web interage com o usuário para determinar a qual parceiro de conta o usuário pertence quando o AD FS não pode determinar automaticamente qual dos parceiros de conta deve autenticar o usuário.

certificado de autenticação do cliente

No AD FS, um certificado que os proxies do servidor de federação usam para autenticar um cliente no Serviço de Federação.

página da Web de logoff de sessão cliente

Quando o AD FS realiza uma operação de logoff, uma página da Web é iniciada para fornecer um feedback visual ao usuário para que ele saiba que o logoff ocorreu.

página da Web de logon de sessão cliente

Quando o AD FS coleta as credenciais do cliente, uma página da Web é iniciada para realizar a interação com o usuário. A página da Web de logon de sessão cliente pode usar uma lógica comercial para determinar os tipos de credenciais a serem coletadas.

aplicativo federado

Um aplicativo baseado na Web habilitado para AD FS, o que significa que os usuários federados podem acessá-lo.

usuário federado

Um usuário, cuja conta reside em uma organização de parceiro de conta, que pode acessar aplicativos federados que residem em uma organização de parceiro de recurso.

federação

Um par de realms ou domínios que estabeleceram uma confiança de federação.

servidor de federação

Um computador que executa o Windows Server 2003 R2, o Windows Server 2008 ou Windows Server 2008 R2 e tenha sido configurado para hospedar o componente Serviço de Federação do AD FS. Os servidores de federação podem autenticar ou rotear solicitações de contas de usuário em outras organizações ou de clientes que podem estar localizados em qualquer lugar na Internet.

proxy de servidor de federação

Um computador que executa o Windows Server 2003 R2, o Windows Server 2008 ou Windows Server 2008 R2 e tenha sido configurado para hospedar o componente Proxy do Serviço de Federação do AD FS. Os proxies do servidor de federação fornecem serviços de proxy intermediários entre um cliente de Internet e um servidor de federação localizado atrás de um firewall em uma rede corporativa.

Serviço de Federação

Um serviço de função instalável do AD FS usado para criar um servidor de federação. Depois de instalado, o Serviço de Federação fornece tokens quando são solicitados tokens de segurança. Vários servidores de federação podem ser configurados para garantir a tolerância a falhas e o balanceamento de carga em um único Serviço de Federação.

Proxy de Serviço de Federação

Um serviço de função instalável do AD FS usado para criar um proxy do servidor de federação. Depois de instalado, o serviço de função Proxy do Serviço de Federação usa protocolos WS-F PRP para coletar informações de credenciais do usuário de clientes do navegador e aplicativos da Web e enviar essas informações para o Serviço de Federação em nome deles.

declarações da organização

Declarações em formato intermediário ou normalizado no namespace de uma organização.

cliente passivo

Um navegador HTTP, capaz de oferecer suporte a HTTP amplamente suportado, que pode usar cookies. O AD FS no Windows Server 2003 R2 , no Windows Server 2008 e Windows Server 2008 R2 só dá suporte a clientes passivos e adere à especificação WS-F PRP.

conta de recurso

Uma única entidade de segurança, geralmente uma conta de usuário, criada no AD DS e usada para mapear para um único usuário federado. Uma conta de recurso é necessária ao federar aplicativos baseados no token do Windows NT porque o agente baseado no token do Windows deve fazer referência a uma entidade de segurança do Active Directory na floresta do parceiro de recurso para criar o token de acesso do Windows NT, impondo, assim, permissões de controle de acesso no aplicativo.

servidor de federação de recurso

O servidor de federação na organização do parceiro de recurso. O servidor de federação do recurso geralmente emite tokens de segurança para usuários com base em um token de segurança emitido por um servidor de federação de conta. O servidor:

  • Recebe o token de segurança.

  • Verifica a assinatura.

  • Transforma as declarações organizacionais com base em sua diretiva de confiança.

  • Gera um novo token de segurança com base nas informações no token de segurança de entrada.

  • Assina o novo token para retornar ao usuário e, por fim, ao aplicativo Web.

proxy de servidor de federação de recurso

O proxy do servidor de federação localizado na rede de perímetro da organização do parceiro de recurso. O proxy do servidor de federação do recurso realiza descoberta de parceiro de conta para clientes de Internet e redireciona tokens de segurança de entrada para o servidor de federação do recurso.

grupo de recursos

Um único grupo de segurança, criado no AD DS, para o qual as declarações de grupo de entrada (declarações de grupo do AD FS do parceiro de conta) são mapeadas. Depois que os usuários federados tiverem sido mapeados para um grupo de recursos, os servidores Web habilitados para AD FS poderão tomar decisões de autorização para aplicativos baseados no token do Windows NT com base nas permissões de acesso atribuídas ao identificador de segurança do grupo de recursos.

parceiro de recurso

Um parceiro de federação que confia no Serviço de Federação para emitir tokens de segurança baseados em declarações para aplicativos baseados na Web (ou seja, aplicativos na organização do parceiro de recurso) que os usuários no parceiro de conta podem acessar.

token de segurança

Uma unidade de dados criptografada que expressa uma ou mais declarações. No AD FS, um token de segurança assinado indica que o servidor de federação que emite o token de segurança verificou com êxito a autenticidade do usuário federado.

serviço de token de segurança (STS)

Um serviço da Web que emite tokens de segurança. Um STS faz afirmações com base em evidências nas quais confie, para quem confie nelas (ou para destinatários específicos). Para comunicar confiança, um serviço precisa de provas, como uma assinatura para provar o conhecimento de um token de segurança ou um conjunto de tokens de segurança. O próprio serviço pode gerar tokens ou pode confiar em um STS separado para emitir um token de segurança com sua própria instrução de confiança. Isso constitui a base do agenciamento de confiança. No AD FS, o Serviço de Federação é um STS.

certificado de autenticação do servidor

Servidores Web habilitados para AD FS, servidores de federação e proxies de servidor de federação usam certificados de autenticação do servidor para proteger o tráfego dos serviços da Web para a comunicação entre eles mesmos ou com clientes da Web.

farm de servidores

No AD FS, uma coleção de servidores Web que hospedam o Agente Web do AD FS, de proxies de servidor de federação ou de servidores de federação de carga balanceada.

início de sessão universal (SSO)

Uma otimização da sequência de autenticação para eliminar a repetição de ações de logon realizadas por um usuário final.

certificado de autenticação de tokens

Um certificado X.509 cujo par de chaves pública/privada associado é usado por servidores de federação para assinar digitalmente todos os tokens de segurança que os servidores de federação produzem.

Uniform Resource Identifier (URI)

Uma sequência compacta de caracteres que identifica um recurso abstrato ou físico. Os URIs são explicados na RFC 2396 (https://go.microsoft.com/fwlink/?LinkId=48289). No AD FS, os URIs são usados para identificar exclusivamente parceiros e armazenamentos de conta.

certificado de verificação

Um certificado que representa a parte da chave pública de um certificado de autenticação de token. Um certificado de verificação é armazenado na diretiva de confiança e usado pelo servidor de federação em uma organização para verificar se os tokens de segurança de entrada foram emitidos por servidores de federação válidos no farm da organização e em outras organizações.

Serviços Web

(WS-*)

As especificações de uma arquitetura de serviços da Web que é baseada em padrões da indústria como SOAP (Simple Object Access Protocol); XML; WSDL (Web Service Description Language ) e UDDI (Universal Description, Discovery, and Integration). A WS-* fornece uma estrutura básica para entregar soluções empresariais completas e interoperáveis para toda a empresa, incluindo a capacidade de gerenciar segurança e identidade federada.

O modelo dos serviços da Web é baseado na ideia de que os sistemas empresariais são escritos em idiomas diferentes, com modelos de programação diferentes, que são executados em tipos diferentes de dispositivos e acessados a partir deles. Os serviços da Web são uma forma de criar sistemas distribuídos que podem se conectar e interagir um com o outro de forma fácil e eficiente na Internet, independentemente do idioma em que foram escritos e em qual plataforma são executados.

Web Services Security (WS-Security)

Uma série de especificações que descrevem como anexar cabeçalhos de assinatura e criptografia em mensagens SOAP. Além disso, a especificação WS-Security descreve como anexar tokens de segurança, incluindo tokens de segurança binários como certificados X.509 e permissões Kerberos, a mensagens. No AD FS, a especificação WS-Security é usada quando o Kerberos assina tokens de segurança.

Aplicativo baseado no token do Windows NT

Um aplicativo do Windows que depende de um token do Windows NT para realizar a autorização de usuários.

Web Services Federation

Uma especificação que define um modelo e um conjunto de mensagens para agenciar confiança e a federação de identidade e informações de autenticação em diferentes realms de confiança.

A especificação Web Services Federation identifica duas fontes de solicitações de autenticação e identidade em realms de confiança:

  • Solicitantes ativos, como aplicativos habilitados por SOAP

  • Solicitantes passivos, que são definidos como navegadores HTTP capazes de oferecer suporte a HTTP amplamente suportado, por exemplo, HTTP 1.1.

protocolo WS-F PRP

Uma implementação da especificação Web Services Federation que propõe um protocolo padrão para o modo como os clientes passivos (como navegadores da Web) aplicam a estrutura da federação. Neste protocolo, espera-se que os solicitantes de serviços da Web aceitem os novos mecanismos de segurança e sejam capazes de interagir com provedores de serviços da Web.

Consulte também


Sumário