O Microsoft Federation Gateway é um serviço de identidade que é executado na Internet e que funciona como intermediário entre uma organização ou empresa e os serviços externos que a organização pretende utilizar. O gateway funciona como um concentrador para muitas das ligações que a organização pretende efectuar com aplicações incorporadas no Windows Azure ou com uma aplicação da Microsoft em execução na Internet. O gateway liga utilizadores e outras identidades aos serviços com os quais trabalha, de modo a que uma organização necessite apenas de gerir uma única relação de federação de identidades para permitir às respectivas identidades aceder a todos serviços Microsoft e baseados na Microsoft, que pretenda utilizar.
O Microsoft Federation Gateway fornece aplicações com um método simples baseado em normas, para estabelecer fidedignidade entre organizações independentes, que utiliza certificados SSL para comprovar a propriedade de domínios. Uma vez que as organizações estabelecem federações com o gateway em vez de entre si, torna-se muito mais fácil para uma organização estabelecer relações de fidedignidade com vários parceiros do que é possível quando é utilizada a federação personalizada convencional ou outras relações de fidedignidade. O âmbito da federação pode ser facilmente controlado criando listas de permissões ou de negações de utilizadores e domínios para licenciamento e especificando os domínios que podem receber licenças de publicação. Deste modo, assegura-se que apenas é concedido acesso a informações protegidas às organizações apropriadas.
Uma relação de identidade federada é uma disposição baseada em normas entre organizações em que as afirmações de uma organização são transmitidas e reconhecidas pela outra. Apesar desta relação, os utilizadores podem iniciar sessão e serem autenticados pelo respectivo fornecedor de identidade (a organização que gere a respectiva conta de identidade) e posteriormente a respectiva autenticação ser transmitida a um parceiro federado sem ser necessário voltar a iniciar sessão.
O Microsoft Federation Gateway estabelece relações de identidade federada criando especificações no serviço Web (WS-*), tais como WS-Trust e WS-Security, que funcionam em conjunto para simplificar a interoperabilidade e melhorar a segurança. Através da utilização destes protocolos normalizados da indústria, as organizações podem estabelecer uma relação de identidade federada sem ser necessário a utilização de plataformas ou infra-estruturas idênticas.
Quando duas organizações estabelecem uma relação de identidade federada, um parceiro (o fornecedor de identidade) controla as suas próprias contas de utilizador, ao passo que o outro parceiro (o fornecedor de recursos) concede acesso aos respectivos recursos com base na autenticação efectuada pelo fornecedor de identidade. A identidade de um utilizador é definida como um conjunto de afirmações, ou seja, declarações efectuadas por um servidor sobre um utilizador. Entre alguns exemplos de afirmações encontram-se o nome de utilizador, grupos ou permissões. A federação de identidades permite a partilha destas afirmações de identidade.
Com o Microsoft Federation Gateway, a autenticação do fornecedor de identidade é fornecida ao gateway utilizando um formato de norma denominado SAML (Security Assertion Markup Language). Em seguida, o Microsoft Federation Gateway converte as informações de autenticação num token de serviço que pode ser utilizado pelos serviços da Microsoft.
O Suporte do Microsoft Federation Gateway no Windows Server® 2008 R2 permite ao AD RMS aceitar tokens do Microsoft Federation Gateway para autenticar utilizadores para certificação e licenciamento. Por exemplo, o Microsoft Exchange Server 2010 foi concebido para tirar partido desta capacidade, permitindo que as mensagens protegidas pelo AD RMS sejam enviadas entre organizações que não partilhem uma infra-estrutura de Serviços do domínio Active Directory (AD DS). Quando a infra-estrutura do Exchange Server 2010 estiver configurada para tirar partido destas funcionalidades, os utilizadores poderão enviar mensagens de correio electrónico protegidas por AD RMS para destinatários fora a organização do remetente que poderão visualizar as mensagens utilizando o Exchange Server 2010 Outlook Web App ou o Microsoft Outlook. Além disso, os remetentes podem conceder permissões a organizações destinatárias que utilizem a permissão do Exchange Server 2010 para desencriptar conteúdo para fins de registo no diário e detecção de software maligno.
Para mais informações sobre como implementar o Suporte do Microsoft Federation Gateway no AD RMS, consulte a Lista de Verificação: Implementar o AD RMS no Suporte do Microsoft Federation Gateway.