O AD FS (Active Directory Federation Services) utiliza os seguintes três tipos de cookies:

  • Cookies de autenticação

  • Cookies de parceiro de conta

  • Cookies de fim de sessão

Cookies de autenticação

O Serviço de Federação e o Agente Web AD FS podem emitir cookies autenticação. O Agente Web AD FS aceita o token de segurança do AD FS recebido e utiliza esse token como valor do cookie. A vantagem para o servidor Web com capacidade para AD FS consiste em não ser necessário configurá-lo com um par de chaves públicas/privadas com capacidade para assinar e verificar os respectivos cookies. O Serviço de Federação publica todas as informações necessárias para validar os respectivos tokens.

No Serviço de Federação, o token de segurança num cookie mantém as afirmações da organização para o cliente. As afirmações da organização podem ser mapeadas para afirmações de saída de um determinado recurso. O Agente Web AD FS também pode autenticar e utilizar cookies emitidos pelo Serviço de Federação. O servidor Web com capacidade para AD FS recebe um cookie quando o cliente entra no servidor Web com capacidade para AD FS. Em seguida, o Agente Web AD FS pode autenticar este cookie e utilizar as afirmações que contém. Para mais informações sobre como o Serviço de Federação utiliza os tokens, afirmações e cookies de autenticação, consulte Noções sobre o Serviço de Função do Serviço de Federação.

O cookie de autenticação facilita o início de sessão único (SSO). Depois de o Serviço de Federação validar uma vez o cliente, o cookie de autenticação é escrito no cliente. O Serviço de Federação produz e consome o conteúdo do cookie de autenticação e este conteúdo não é lido pelos proxies de servidor de federação. A autenticação tem ainda lugar através do cookie em vez da colecção repetida de credenciais do cliente. Para mais informações sobre os proxies de servidor de federação, consulte Noções sobre o Serviço de Função do Proxy de Serviço de Federação.

A seguinte ilustração mostra o conteúdo de um cookie de autenticação e os serviços de função do AD FS que utilizam o cookie de autenticação. O Agente Web AD FS é constituído pelo Serviço de Autenticação do Agente Web AD FS e pela Extensão do Agente baseado em Tokens do Windows do AD FS.

Conteúdos da cookie de autenticação

O cookie de autenticação é sempre um cookie de sessão. O cookie de autenticação é assinado mas não encriptado, um motivo pelo qual a utilização do TLS/SSL (Transport Layer Security and Secure Sockets Layer) no AD FS é obrigatória.

Cookies de parceiro de conta

O cookie de parceiro de conta facilita o SSO. Após a identificação da associação do parceiro de conta interactiva ocorrer, se o cookie do parceiro de conta tiver um token válido, o cookie é escrito para o cliente. Outras interacções utilizam as informações existentes neste cookie em vez de solicitarem novamente informações sobre a associação do parceiro de conta ao cliente. O cookie do parceiro de conta é definido como resultado do processo de identificação do parceiro de conta. Para mais informações sobre a detecção de parceiros de conta, consulte Noções sobre o Serviço de Função do Serviço de Federação.

O cookie do parceiro de conta é um cookie persistente com um tempo de vida útil longo. Não está assinado, nem encriptado.

Cookies de fim de sessão

O cookie de fim de sessão facilita o fim de sessão. Sempre que o Serviço de Federação emite um token, o parceiro de recursos ou servidor de destino do token é adicionado ao cookie de fim de sessão. Quando recebe um pedido de fim de sessão, o Serviço de Federação ou Proxy de Serviço de Federação envia pedidos a cada um dos servidores de destino do token solicitando-lhes para limpar quaisquer artefactos de autenticação, tais como cookies em cache, que o parceiro de recursos ou servidor Web com capacidade para AD FS pode ter escrito ao cliente. No caso de um parceiro de recursos, envia um pedido de limpeza para quaisquer servidores Web com capacidade para AD FS que o cliente tenha utilizado.

O cookie de fim de sessão é sempre um cookie de sessão. Não está assinado, nem encriptado.


Sumário