Os Serviços de Federação do Active Directory (AD FS) utilizam terminologia de várias tecnologias diferentes, incluindo serviços de certificados, Serviços de Informação Internet (IIS), Serviços de Domínio do Active Directory (AD DS), Serviços LDS do Active Directory (AD LDS) e Serviços Web (WS-*). A tabela seguinte descreve estes termos.
| Termo | Descrição |
|---|---|
|
servidor de federação de conta |
Servidor de federação localizado na rede empresarial da organização parceira de conta. O servidor de federação de conta emite tokens de segurança a utilizadores com base na autenticação de utilizador. O servidor autentica um utilizador, obtém os atributos relevantes e informações de associações de grupo a partir do arquivo de contas, e gera e assina um token de segurança para devolver ao utilizador (a ser utilizado na própria organização ou enviado para uma organização parceira). |
|
proxy de servidor de federação de conta |
Proxy de servidor de federação localizado na rede de perímetro da organização parceira de conta. O proxy de servidor de federação de conta recolhe credenciais de autenticação a partir de um cliente que inicia sessão através da Internet (ou a partir da rede de perímetro) e transmite essas credenciais para o servidor de federação de conta. |
|
parceiro de conta |
Parceiro de federação considerado fidedigno pelo Serviço de Federação para fornecer tokens de segurança aos respectivos utilizadores (ou seja, utilizadores na organização parceira de conta), para que estes possam aceder a aplicações baseadas na Web no parceiro de recursos. |
|
Serviços de Federação do Active Directory (AD FS) |
Componente no Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2 que fornece tecnologias de início de sessão único (SSO) Web para autenticar um utilizador em várias aplicações Web ao longo da duração de uma única sessão online. Para tal, o AD FS partilha em segurança direitos de titularidade e identidade digital para além dos limites da empresa e de segurança. O AD FS suporta WS-F PRP (WS-Federation Passive Requestor Profile). |
|
Agente Web AD FS |
Serviço de função instalável de AD FS utilizado para criar um servidor Web preparado para AD FS. Um Agente Web AD FS consome cookies de autenticação e tokens de segurança de entrada assinados por um servidor de federação válido (para permitir ou recusar acesso de utilizador à aplicação protegida), tendo em consideração definições de controlo de acesso específicas da aplicação. |
|
Servidor Web preparado para AD FS |
Servidor Web a executar o Windows Server 2003 R2, Windows Server 2008 ou Windows Server 2008 R2 que está configurado com o software de Agente Web AD FS apropriado (o agente com suporte para afirmações ou o agente baseado em tokens do Windows) necessário para autenticar e autorizar acesso federado a aplicações baseadas na Web alojadas localmente. |
|
afirmação |
Declaração efectuada por um servidor (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) sobre um cliente. |
|
aplicação com suporte para afirmações |
Aplicação Microsoft ASP.NET que efectua autorizações com base nas afirmações presentes num token de segurança de AD FS. |
|
mapeamento de afirmações |
Acto de mapear, remover ou filtrar, ou transmitir afirmações entre vários conjuntos de afirmações. |
|
página Web de detecção de parceiros de conta de cliente |
Página Web que interage com o utilizador para determinar a que parceiro de conta o utilizador pertence quando o AD FS não consegue determinar automaticamente qual dos parceiros de conta deve autenticar o utilizador. |
|
certificado de autenticação de cliente |
No AD FS, trata-se de um certificado que os proxies de servidor de federação utilizam para autenticar um cliente perante o Serviço de Federação. |
|
página Web de fim de sessão de cliente |
Quando o AD FS executa uma operação de fim de sessão, trata-se de uma página Web que é apresentada para fornecer uma indicação visual ao utilizador de que foi terminada sessão. |
|
página Web de início de sessão de cliente |
Quando o AD FS recolhe credenciais de cliente, trata-se de uma página Web que é apresentada para efectuar a interacção de utilizador. A página Web de início de sessão de cliente pode utilizar qualquer lógica empresarial necessária para determinar o tipo de credenciais a recolher. |
|
aplicação federada |
Aplicação baseada na Web com suporte para AD FS, o que significa que utilizadores federados podem aceder à mesma. |
|
utilizador federado |
Utilizador cuja conta reside numa organização parceira de conta, o qual pode aceder a aplicações federadas que residem numa organização parceira de recursos. |
|
federação |
Par de realms ou domínios que estabeleceram uma fidedignidade de federação. |
|
servidor de federação |
Computador a executar o Windows Server 2003 R2, Windows Server 2008 ou Windows Server 2008 R2 que foi configurado para alojar o componente Serviço de Federação do AD FS. Os servidores de federação podem autenticar ou encaminhar pedidos a partir de contas de utilizador noutras organizações e a partir de clientes em qualquer ponto da Internet. |
|
proxy de servidor de federação |
Computador a executar o Windows Server 2003 R2, Windows Server 2008 ou Windows Server 2008 R2 que foi configurado para alojar o componente Proxy de Serviço de Federação do AD FS. Os proxies de servidor de federação fornecem serviços intermediários de proxy entre um cliente Internet e um servidor de federação protegido por firewall numa rede empresarial. |
|
Serviço de Federação |
Serviço de função instalável de AD FS utilizado para criar um servidor de federação. Quando instalado, o Serviço de Federação fornece tokens em resposta a pedidos de tokens de segurança. É possível configurar vários servidores de federação, de modo a fornecer tolerância a falhas e balanceamento de carga para um único Serviço de Federação. |
|
Proxy de Serviço de Federação |
Serviço de função instalável de AD FS utilizado para criar um proxy de servidor de federação. Quando instalado, o serviço de função Proxy de Serviço de Federação utiliza protocolos WS-F PRP para recolher informações de credenciais de utilizador a partir de clientes de browser e aplicações Web e para enviar as informações para o Serviço de Federação em nome dos utilizadores. |
|
afirmações de organização |
Afirmações no formato intermédio ou normalizado no espaço de nomes de uma organização. |
|
cliente passivo |
Browser HTTP (Hypertext Transfer Protocol), com capacidade para HTTP amplamente suportado, que pode utilizar cookies. O AD FS no Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2 só suporta clientes passivos e está em conformidade com a especificação WS-F PRP. |
|
conta de recursos |
Principal de segurança único (normalmente, uma conta de utilizador) criado no AD DS e utilizado para mapear para um único utilizador federado. É necessária uma conta de recursos ao federar aplicações baseadas em tokens do Windows NT, porque o agente baseado em tokens do Windows tem de fazer referência a um principal de segurança do Active Directory na floresta do parceiro de recursos para criar o token de acesso do Windows NT e assim aplicar permissões de controlo de acesso na aplicação. |
|
servidor de federação de recursos |
Servidor de federação na organização parceira de recursos. Normalmente, o servidor de federação de recursos emite tokens de segurança a utilizadores com base num token de segurança emitido por um servidor de federação de conta. O servidor:
|
|
proxy de servidor de federação de recursos |
Proxy de servidor de federação localizado na rede de perímetro da organização parceira de recursos. O proxy de servidor de federação de recursos efectua detecções de parceiros de conta para clientes Internet e redirecciona tokens de segurança de entrada para o servidor de federação de recursos. |
|
grupo de recursos |
Grupo de segurança único criado no AD DS para o qual são mapeadas afirmações de grupo de entrada (afirmações de grupo de AD DS provenientes do parceiro de conta). Depois de utilizadores federados serem mapeados para um grupo de recursos, os servidores Web preparados para AD FS podem tomar decisões de autorização para aplicações baseadas em tokens do Windows NT com base nas permissões de acesso atribuídas ao identificador de segurança (SID) do grupo de recursos. |
|
parceiro de recursos |
Parceiro de federação que considera o Serviço de Federação fidedigno para emitir tokens de segurança baseados em afirmações para aplicações baseadas na Web (ou seja, aplicações na organização parceira de recursos) às quais os utilizadores no parceiro de conta podem aceder. |
|
token de segurança |
Unidade de dados assinada criptograficamente que expressa uma ou mais afirmações. No AD FS, um token de segurança assinado indica que o servidor de federação que emite o token de segurança verificou com êxito a autenticidade do utilizador federado. |
|
serviço de tokens de segurança (STS) |
Serviço Web que emite tokens de segurança. Um STS efectua asserções, com base nas provas em que confia, para quem o considerar fidedigno (ou para destinatários específicos). Para comunicar fidedignidade, um serviço requer provas como, por exemplo, uma assinatura para provar conhecimento de um token de segurança ou um conjunto de tokens de segurança. Um serviço pode, ele próprio, gerar tokens, ou confiar num STS em separado para emitir um token de segurança com uma declaração de fidedignidade própria. Tal forma a base da mediação de fidedignidade. No AD FS, o Serviço de Federação é um STS. |
|
certificados de autenticação de servidor |
Os servidores Web preparados para AD FS, os servidores de federação e os proxies de servidor de federação utilizam certificados de autenticação de servidor para proteger tráfego de serviços Web para comunicação entre os próprios servidores e com clientes Web. |
|
farm de servidores |
No ADFS, trata-se de uma colecção de servidores de federação com balanceamento de carga, proxies de servidor de federação ou servidores Web que alojam o Agente Web AD FS. |
|
início de sessão único (SSO) |
Optimização da sequência de autenticação para remover o esforço adicional provocado por acções de início de sessão repetidas por parte de um utilizador final. |
|
certificado de assinatura de tokens |
Certificado X.509 cujo par de chaves pública/privada associado é utilizado por servidores de federação para assinar digitalmente todos os tokens de segurança produzidos pelos servidores de federação. |
|
URI (Uniform Resource Identifier) |
Cadeia compacta de caracteres que identifica um recurso abstracto ou recurso físico. Os URI são explicados no RFC (Request for Comments) 2396 ( |
|
certificado de verificação |
Certificado que representa a parte de chave pública de um certificado de assinatura de tokens. Um certificado de verificação é armazenado na política de fidedignidade e utilizado pelo servidor de federação de uma organização para verificar se os tokens de segurança de entrada foram emitidos por servidores de federação válidos no farm da organização e noutras organizações. |
|
Serviços Web (WS-*) |
Especificações para uma Arquitectura de Serviços Web baseadas em normas da indústria, tais como o protocolo SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) e UDDI (Universal Description, Discovery and Integration). WS-* fornece a base para fornecer soluções empresariais completas e interoperacionais para a empresa alargada, incluindo a capacidade de gerir segurança e identidades federadas. O modelo de serviços Web baseia-se na ideia de que os sistemas empresariais são escritos em linguagens diferentes, com modelos de programação diferentes, e que são executados e acedidos a partir de muitos tipos de dispositivos diferentes. Os serviços Web são uma forma de criar sistemas distribuídos que podem ligar e interagir entre si fácil e eficazmente na Internet, independentemente da linguagem em que estão escritos ou da plataforma na qual são executados. |
|
WS-Security (Web Services Security) |
Série de especificações que descreve como anexar cabeçalhos de encriptação e assinatura a mensagens SOAP. Além disso, WS-Security descreve como anexar tokens de segurança, incluindo tokens de segurança binários (tais como certificados X.509 e permissões Kerberos) a mensagens. No AD FS, WS-Security é utilizado quando o protocolo Kerberos assina tokens de segurança. |
|
aplicação baseada em tokens do Windows NT |
Aplicação do Windows que confia num token do Windows NT para efectuar autorizações de utilizadores. |
|
WS-Federation |
Especificação que define um modelo e um conjunto de mensagens para fidedignidade de mediação e a federação de informações de identidade e autenticação em diferentes realms de fidedignidade. A especificação WS-Federation identifica duas origens de pedidos de identidade e autenticação em realms de fidedignidade:
|
|
WS-F PRP (WS-Federation Passive Requestor Profile) |
Implementação da especificação WS-Federation que propõe um protocolo padrão para a forma como clientes passivos (tais como browsers) aplicam a estrutura de federação. Nos termos deste protocolo, os solicitadores de serviços Web devem aceitar os novos mecanismos de segurança e serem capazes de interagir com fornecedores de serviços Web. |