Quando planeia uma colaboração entre organizações (baseada em federação) utilizando os Serviços de Federação do Active Directory (AD FS), deverá primeiro determinar se a organização alojará um recurso Web a ser acedido por outras organizações na Internet, ou vice-versa. Esta determinação afecta a forma como o AD FS é implementado, sendo fundamental no planeamento da infra-estrutura de AD FS.

Para estruturas de federação como o Início de Sessão Único (SSO) Web Federado e SSO Web Federado Com Fidedignidade de Floresta (mas não a estrutura SSO Web), o AD FS utiliza termos como "parceiro de conta" e "parceiro de recursos" para ajudar a diferenciar a organização que aloja as contas (o parceiro de conta) da organização que aloja os recursos baseados na Web (o parceiro de recursos). O termo "fidedignidade de federação" é utilizado no AD FS para caracterizar a relação unidireccional não transitória que é estabelecida entre o parceiro de conta e o parceiro de recursos.

Para mais informações sobre estruturas de AD FS, consulte Noções sobre Estruturas de Federação.

As secções que se seguem explicam alguns dos conceitos que estão relacionados com parceiros de conta e parceiros de recursos.

Parceiro de conta

Um parceiro de conta representa a organização na relação de fidedignidade de federação que armazena fisicamente contas de utilizador num arquivo dos Serviços de Domínio do Active Directory (AD DS) ou num arquivo dos Serviços LDS do Active Directory (AD LDS). O parceiro de conta é responsável pela recolha e autenticação das credenciais de um utilizador, criando afirmações para esse utilizador e empacotando as afirmações em tokens de segurança. Estes tokens podem ser apresentados em toda uma fidedignidade de federação para aceder a recursos baseados na Web localizados na organização parceira de recursos.

Por outras palavras, um parceiro de conta representa a organização para cujos utilizadores o Serviço de Federação do lado da conta emite tokens de segurança. O Serviço de Federação na organização parceira de conta autentica utilizadores locais e cria tokens de segurança que são utilizados pelo parceiro de recursos na tomada de decisões de autorização.

Em relação ao AD DS, o parceiro de conta no AD FS é conceptualmente equivalente a uma única floresta de AD DS cujas contas necessitem de aceder a recursos localizados fisicamente noutra floresta. As contas deste exemplo de floresta só podem aceder a recursos na floresta de recursos quando existe uma relação de fidedignidade externa ou de fidedignidade de floresta entre as duas florestas e quando os recursos aos quais os utilizadores estão a tentar aceder foram definidos com as permissões de autorização adequadas.

Nota

Esta analogia serve apenas para realçar como a relação entre as organizações parceiras e de conta no AD FS é semelhante, em conceito, à relação entre uma floresta de contas e uma floresta de recursos no AD DS. As fidedignidades externas e as fidedignidades de floresta não são necessárias para o funcionamento do AD FS.

Produzir afirmações destinadas ao parceiro de recursos

Uma afirmação é uma declaração efectuada por um servidor (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) sobre um cliente. Um parceiro de conta produz afirmações que o Serviço de Federação do parceiro de recursos consome. A lista seguinte descreve os diferentes tipos de afirmações que podem ser configurados no parceiro de conta no lado do servidor de federação de recursos:

  • Afirmação de UPN

    Ao configurar o parceiro de conta, é possível especificar uma lista de domínios e sufixos de nome principal de utilizador (UPN) que possam ser aceites a partir do parceiro de conta. Se for recebida uma identidade de UPN cuja parte de domínio não conste da lista, o pedido é rejeitado.

  • Afirmação de correio electrónico

    Ao configurar o parceiro de conta, é possível especificar uma lista de domínios e sufixos de correio electrónico que possam ser aceites a partir do parceiro de conta. Tal como com a afirmação de UPN, se for recebida uma identidade de correio electrónico cuja parte de domínio não conste da lista, o pedido é rejeitado.

  • Afirmação de nome comum

    Ao configurar o parceiro de conta, é possível especificar se afirmações de nome comum podem ser recebidas a partir do parceiro de conta. Este tipo de afirmação não pode ser mapeado; é simplesmente transmitido se estiver activado.

  • Afirmações de grupo

    Ao configurar o parceiro de conta, é possível especificar um conjunto de afirmações de grupo de entrada que possam ser aceites a partir do parceiro. Em seguida, poderá associar cada grupo de entrada possível a uma afirmação de grupo de organizações. Tenha em atenção que tal cria um mapeamento de grupos. Se for encontrado um grupo de entrada sem mapeamento, o mesmo é eliminado.

  • Afirmações personalizadas

    Ao configurar o parceiro de conta, é possível especificar um conjunto de nomes de entrada de afirmações personalizadas que possam ser aceites a partir do parceiro. Em seguida, poderá mapear cada nome de entrada possível para uma afirmação personalizada de organização. Tenha em atenção que tal cria um mapeamento de nomes. Se for encontrada uma afirmação personalizada de entrada sem mapeamento, a mesma é eliminada.

Parceiro de recursos

Um parceiro de recursos é o segundo parceiro organizacional na relação de fidedignidade de federação. Um parceiro de recursos é a organização onde residem os servidores Web preparados para AD FS que alojam uma ou mais aplicações baseadas na Web (os recursos). O parceiro de recursos confia no parceiro de conta para autenticar utilizadores. Por conseguinte, para tomar decisões de autorização, o parceiro de recursos consome as afirmações empacotadas em tokens de segurança provenientes de utilizadores no parceiro de conta.

Por outras palavras, um parceiro de recursos representa a organização cujos servidores Web preparados para AD FS estão protegidos pelo Serviço de Federação do lado do recurso. O Serviço de Federação no parceiro de recursos utiliza os tokens de segurança produzidos pelo parceiro de conta para tomar decisões de autorização para servidores Web preparados para AD FS localizados no parceiro de recursos.

Para funcionar como recurso de AD FS, um servidor Web preparado para AD FS na organização parceira de recursos tem de ter o componente Agente Web AD FS do AD FS instalado. Os servidores Web que funcionam como recurso de AD FS podem alojar aplicações com suporte para afirmações ou aplicações baseadas em tokens do Windows NT.

Nota

Se a aplicação alojada no servidor Web preparado para AD FS for uma aplicação baseada em tokens do Windows NT, poderá ser necessária uma conta de recursos para a floresta de AD DS na organização parceira de recursos.

Em relação ao AD DS, o parceiro de recursos é conceptualmente equivalente a uma única floresta cujos recursos são disponibilizados através de uma relação de fidedignidade externa ou de fidedignidade de floresta com contas armazenadas fisicamente noutra floresta.

Nota

Esta analogia serve apenas para realçar como a relação entre contas e organizações parceiras no AD FS é semelhante, em conceito, à relação entre uma floresta de contas e uma floresta de recursos no AD DS. As fidedignidades externas e as fidedignidades de floresta não são necessárias para o funcionamento do AD FS.

Consumir afirmações provenientes do parceiro de conta

Um parceiro de recursos consome afirmações que o Serviço de Federação do parceiro de conta produz e empacota em tokens de segurança. A lista seguinte descreve como as afirmações podem ser enviadas para o parceiro de recursos:

  • Afirmação de UPN

    Ao configurar o parceiro de recursos, é possível especificar se uma afirmação de UPN deve ser enviada para o parceiro de recursos. Também é possível especificar um mapeamento de sufixos, para que qualquer sufixo seja mapeado para um sufixo de saída especificado. Por exemplo, julianp@sales.tailspintoys.com pode ser mapeado para julianp@tailspintoys.com. Tenha em atenção que só é possível especificar um sufixo de saída.

  • Afirmação de correio electrónico

    Ao configurar o parceiro de recursos, é possível especificar se uma afirmação de correio electrónico deve ser enviada para o parceiro de recursos. Também é possível especificar um mapeamento de sufixos, para que qualquer sufixo seja mapeado para um sufixo especificado. Por exemplo, vernettep@sales.tailspintoys.com pode ser mapeado para vernettep@tailspintoys.com. Tenha em atenção que só é possível especificar um sufixo de saída.

  • Afirmação de nome comum

    Ao configurar o parceiro de recursos, é possível especificar se podem ser enviadas afirmações de nome comum para o parceiro de recursos. Este tipo de afirmação não pode ser mapeado; é simplesmente transmitido para o parceiro de recursos, se estiver activado.

  • Afirmações de grupo

    Ao configurar o parceiro de recursos, é possível especificar um conjunto de afirmações de grupo de saída que serão aceites pelo parceiro de recursos. Em seguida, poderá associar cada afirmação de grupo de saída possível a afirmações de grupo de organizações. Tenha em atenção que tal cria um conjunto de mapeamentos de grupos. As afirmações de grupo de organizações que não correspondam a uma afirmação de grupo de saída não são criadas.

  • Afirmações personalizadas

    Ao configurar o parceiro de recursos, é possível especificar um conjunto de afirmações personalizadas de saída que são aceites pelo parceiro de recursos. É possível mapear cada afirmação personalizada de saída possível para uma afirmação personalizada de organização. Tenha em atenção que tal cria um conjunto de mapeamentos de nomes. As afirmações personalizadas de organização que não correspondam a uma afirmação personalizada de saída não são criadas.

Privacidade de identidade melhorada

Privacidade de identidade melhorada é uma definição opcional que pode ser configurada num parceiro de recursos na política de fidedignidade. Se a opção Privacidade de identidade melhorada estiver activada, esta definição efectua hashes na parte de nome de utilizador de afirmações de correio electrónico e afirmações de UPN de saída. Tal substitui o nome comum por um valor aleatório.

O objectivo desta funcionalidade é impedir:

  • Que o parceiro de recursos correlacione afirmações de identidade com informações identificativas de utilizador.

  • Conluio entre parceiros na correlação de afirmações de identidade com informações identificativas de utilizador. Esta definição cria um hash exclusivo por parceiro, para que os valores de afirmação de identidade sejam diferentes em diferentes parceiros de realm de fidedignidade, mas consistentes em sessões para um único parceiro.

  • Ataques simples de dicionário contra o hash, mediante "salting" do valor de utilizador com dados que se encontram na política de fidedignidade (os dados não são conhecidos pelos parceiros de recursos).


Sumário