O AD FS (Serviços de Federação do Active Directory) usa os repositórios de conta para fazer logon de usuários e extrair declarações de segurança para eles. É possível configurar vários repositórios de conta para um único Serviço de Federação. Também é possível definir sua prioridade. O Serviço de Federação usa o LDAP para se comunicar com os repositórios de conta. O AD FS oferece suporte aos dois repositórios de conta a seguir:

  • Serviços de Domínio Active Directory (AD DS)

  • Serviços AD LDS

O AD FS funciona com implantações empresariais do AD DS ou instâncias do AD LDS. Quando utilizado com o AD DS, o AD FS pode tirar proveito das poderosas tecnologias de autenticação no AD DS, incluindo Kerberos, certificados digitais X.509 e cartões inteligentes. Quando utilizado com o AD LDS, o AD FS usa ligação LDAP como forma de autenticação de usuários.

Repositórios de conta do AD DS

O AD FS é totalmente integrado ao AD DS. O AD FS recupera atributos de usuário e autentica os usuários no AD DS. O AD FS também usa a Autenticação Integrada do Windows e tokens de segurança criados pelo AD DS.

Para que um usuário faça logon no AD DS, o nome de usuário deve estar no formato UPN (usuário@adatum.com) ou no formato de nome de conta SAM (adatum\usuário).

Os tokens de acesso são gerados quando um usuário efetua logon. Eles contêm os identificadores de segurança (SIDs) para o usuário e quaisquer grupos aos quais o usuário pertença. Uma cópia do token de acesso é atribuída a cada processo que o usuário iniciar.

Depois que o usuário faz logon e se identifica, os SIDs do usuário são enumerados a partir do token de acesso. Os SIDs são então mapeados para as declarações do grupo da organização.

Cuidado

Ao habilitar a opção de confiança do Windows no Serviço de Federação da conta, você está enviando SIDs reais para a organização do parceiro de recursos pela Internet, o que pode ser um risco à segurança. Esses SIDs são incluídos no token SAML (Security Assertion Markup Language) do AD FS. Portanto, habilite esta opção somente quando estiver usando o design do SSO da Web Federado com Confiança de Floresta. Este design estabelece uma comunicação segura dentro da mesma organização.

Declarações de email, declarações de nome comum e declarações personalizadas podem ser extraídas de atributos de objeto de usuário que são definidos no AD DS quando a conta do Serviço de Federação é usada para realizar uma pesquisa LDAP de um objeto.

A conta do Serviço de Federação deve ter acesso ao objeto de usuário. Se o objeto de usuário estiver em um domínio diferente do domínio no qual a conta do Serviço de Federação está localizada, o primeiro domínio deve ter uma confiança de domínio do AD DS para o último domínio.

Não há uma maneira direta de determinar se um nome de usuário específico existe no AD DS e em todos os diretórios que ele confia (seja direta ou temporariamente). O AD DS retorna uma falha autoritativa somente se a tentativa de logon falhar como resultado de restrições de diretiva. Alguns exemplos de falhas de restrições de diretiva incluem os seguintes:

  • A conta está desabilitada.

  • A senha da conta expirou.

  • A conta não tem permissão para efetuar logon neste computador.

  • A conta tem restrições de tempo de logon e não tem permissão para efetuar logon neste momento.

Do contrário, as falhas de logon no repositório de conta do AD DS são sempre não-autoritativas e as próximas tentativas são feitas em ordem de prioridade. Para obter mais informações sobre falhas de logon no repositório de conta, consulte Solução de problemas do AD FS.

Repositórios de conta do AD LDS

O AD LDS fornece armazenamento de dados e recuperação para aplicativos habilitados por diretório, sem as dependências que o AD DS requer. O AD LDS oferece grande parte da mesma funcionalidade que o AD DS, mas não requer a implantação de domínios ou controladores de domínio. Similar à forma como o AD FS usa as informações de repositório de conta do AD DS, o AD FS também pode recuperar atributos do usuário e autenticar usuários com o AD LDS.

Observação

O AD FS não pode autenticar contas do AD LDS que usem parênteses como parte do nome da conta. As contas que possuam parênteses abertos no nome do usuário geram uma falha de pesquisa LDAP, pois o nome de usuário forma um filtro LDAP inválido.

A conta do Serviço de Federação obtém as declarações usadas para realizar uma pesquisa LDAP para o objeto. Para obter mais informações, consulte Noções básicas sobre declarações. É um processo de duas etapas:

  • Primeiro, a conta do Serviço de Federação localiza o objeto através de uma pesquisa pelo objeto cujo atributo configurado é igual ao nome de usuário fornecido. A conta do Serviço de Federação usa criptografia NTLM ou autenticação Kerberos para proteger esta comunicação.

    Observação

    Este processo requer que o servidor AD LDS tenha ingressado em um domínio que confie no domínio do qual o Serviço de Federação é membro.

  • Em seguida, as credenciais de usuário são validadas através de uma ligação LDAP ao objeto de usuário encontrado com a senha fornecida. Se TLS/SSL estiverem configuradas para as propriedades do repositório de conta do AD LDS na diretiva de confiança, as credenciais do usuário estarão protegidas.

    Importante

    É altamente recomendável que o tráfego entre o servidor do AD LDS e o servidor de federação seja protegido por TLS/SSL ou outro meio, como IPsec.

Se mais de um objeto for retornado da consulta LDAP com o nome de usuário fornecido, isso é considerado falha de autenticação.

A conta de usuário é pesquisada primeiro no repositório de conta do AD LDS se ele estiver configurado e, em seguida, os outros repositórios do LDAP são configurados nesta ordem. Se um dos repositórios localizar a conta de usuário, ele faz um logon autoritativo do usuário e nenhum outro repositório de conta é chamado para processar a solicitação de logon do usuário.

Determinando a ordem de prioridade de solicitações de logon do usuário

Quando um usuário faz uma solicitação de logon para o AD DS ou o AD LDS através de um cliente do AD FS, a solicitação passa imediatamente para o repositório de conta especificado. Entretanto, se o URI (Uniform Resource Identifier) do repositório de conta não for especificado, o Serviço de Federação tenta cada repositório em ordem de prioridade para fazer logon do usuário. O resultado da autenticação será retornado se:

  • Houver apenas um repositório configurado e as informações de verificação das credenciais forem retornadas.

  • O URI do repositório tiver sido especificado na solicitação do logon e as informações de verificação das credenciais forem retornadas.

  • O resultado de autenticação de um dos repositórios for autoritativo.

  • A autenticação de um dos repositórios for bem-sucedida.

Desabilitando repositórios de conta

Você pode marcar cada repositório de conta como habilitado ou desabilitado. Se um repositório de conta estiver desabilitado, ele não participará de operações relacionas a repositório de conta. Os cookies com declarações originadas de um repositório de conta que esteja desabilitado no momento são descartados ou excluídos e o cliente é direcionado para a página de logon.

Sumário