При планировании совместной работы нескольких организаций (на основе федерации) с использованием служб федерации Active Directory сначала определяют, будет ли в организации размещаться веб-ресурс, обеспечивающий доступ к другим организациям через Интернет или доступный для них. Это решение влияет на порядок развертывания служб федерации Active Directory и является определяющим в планировании инфраструктуры служб федерации Active Directory.

Для схем федерации, таких как федеративная веб-служба единого входа и федеративная веб-служба единого входа с доверием леса (но не схема веб-службы единого входа), службами федерации Active Directory используются термины «партнер по учетным записям» и «партнер по ресурсам». Эти термины помогают отличать организацию, в которой размещаются учетные записи (партнер по учетным записям), от организации, в которой размещаются веб-ресурсы (партнер по ресурсам). Термин «доверие федерации» используется в службах федерации Active Directory для характеристики однонаправленного нетранзитивного отношения, которое устанавливается между партнером по учетным записям и партнером по ресурсам.

Дополнительные сведения о схемах служб федерации Active Directory см. в разделе Общее представление о схемах федерации.

В приведенных далее разделах объясняются некоторые понятия, касающиеся партнеров по учетным записям и партнеров по ресурсам.

Партнер по учетным записям

Партнер по учетным записям представляет в доверии федерации ту организацию, в которой учетные записи физически хранятся в хранилище доменных служб Active Directory или в хранилище служб Active Directory облегченного доступа к каталогам. Партнер по учетным записям отвечает за сбор и проверку подлинности учетных данных пользователя, формирование утверждений для этого пользователя и за упаковку утверждений в токены безопасности. Затем эти токены могут представляться в пределах доверия федерации для доступа к веб-ресурсам, которые находятся в организации партнера по ресурсам.

Иными словами, партнер по учетным записям представляет организацию, для пользователей которой часть службы федерации, занимающаяся учетными записями, выдает токены безопасности. Служба федерации в организации партнера по учетным записям проверяет подлинность локальных пользователей и создает токены безопасности, которые используются партнером по ресурсам при выполнении авторизации.

По отношению к доменным службам Active Directory партнер по учетным записям в службах федерации Active Directory концептуально эквивалентен одиночному лесу доменных служб Active Directory, учетным записям которого требуется доступ к ресурсам, физически размещенным в другом лесу. Учетные записи в этом примере леса могут получать доступ к ресурсам в лесу ресурсов, только когда между двумя лесами существует отношение внешнего доверия или доверия лесов, а ресурсы, к которым пользователи пытаются получить доступ, настроены с надлежащими разрешениями авторизации.

Примечание

Данная аналогия служит исключительно для того, чтобы подчеркнуть концептуальное сходство отношения между партнерскими организациями по учетным записям и ресурсам в службах федерации Active Directory с отношением между лесом учетных записей и лесом ресурсов в доменных службах Active Directory. Для функционирования служб федерации Active Directory не требуются внешние доверия и доверия лесов.

Создание утверждений, поступающих партнеру по ресурсам

Утверждение - это заявление (например, имя, удостоверение, ключ, группа, привилегия или возможность), которое создается сервером о клиенте. Партнер по учетным записям создает утверждения, которые потребляются службой федерации партнера по ресурсам. В приводимом ниже списке описываются различные типы утверждений, которые могут настраиваться у партнера по учетным записям на стороне сервера федерации ресурсов.

  • Утверждение на имя участника-пользователя

    При настройке партнера по учетным записям можно задать список доменов и суффиксов имен участников-пользователей, которые могут приниматься от партнера по учетным записям. Если получено идентификационное утверждение на имя участника-пользователя, доменная часть которого отсутствует в списке, запрос отклоняется.

  • Утверждение на электронную почту

    При настройке партнера по учетным записям можно задать список доменов и суффиксов электронной почты, которые могут приниматься от партнера по учетным записям. Как и в случае утверждения на имя участника-пользователя, если получено идентификационное утверждение на электронную почту, доменная часть которого отсутствует в списке, запрос отклоняется.

  • Утверждение на общее имя

    При настройке партнера по учетным записям можно указывать, будут ли приниматься от партнера по учетным записям утверждения на общее имя. Утверждения данного типа могут не сопоставляться; если данный тип утверждений включен, они просто пропускаются.

  • Утверждения о группе

    При настройке партнера по учетным записям можно задать набор входящих утверждений о группах, которые могут приниматься от партнера. Затем можно связать каждую возможную входящую группу с утверждением организации о группе. Обратите внимание, что при этом создается сопоставление групп. Если встречается входящая группа, не имеющая сопоставления, она отбрасывается.

  • Настраиваемые утверждения

    При настройке партнера по учетным записям можно задать набор входящих имен настраиваемых утверждений, которые будут приниматься от партнера. Затем можно сопоставить каждое возможное входящее имя с настраиваемым утверждением организации. Обратите внимание, что при этом создается сопоставление имен. Если встречается входящее настраиваемое утверждение, не имеющее сопоставления, оно отбрасывается.

Партнер по ресурсам

Партнер по ресурсам является вторым организационным партнером в доверии федерации. Партнером по ресурсам является организация, в которой находятся веб-серверы с поддержкой служб федерации Active Directory, содержащие одно или несколько веб-приложений (ресурсов). Партнер по ресурсам доверяет проверку подлинности пользователей партнеру по учетным записям. Поэтому для проведения авторизации партнер по ресурсам потребляет утверждения, которые упаковываются в токены безопасности, поступающие от пользователей через партнера по учетным записям.

Иными словами, партнер по ресурсам представляет организацию, в которой веб-серверы с поддержкой служб федерации Active Directory защищаются частью службы федерации, отвечающей за работу с ресурсами. Служба федерации партнера по ресурсам использует токены безопасности, которые создаются партнером по учетным записям с целью выполнения авторизации для веб-серверов с поддержкой служб федерации Active Directory, находящихся у партнера по ресурсам.

Чтобы функционировать в качестве ресурса служб федерации Active Directory, веб-сервер с поддержкой служб федерации Active Directory в организации партнера по ресурсам должен иметь компонент веб-агента служб федерации Active Directory установленных служб федерации Active Directory. На веб-серверах, функционирующих как ресурс служб федерации Active Directory, могут размещаться приложения, поддерживающие утверждения, или приложения, использующие токены Windows NT.

Примечание

Если приложение, размещенное на веб-сервере с поддержкой служб федерации Active Directory, является приложением, использующим токены Windows NT, в организации партнера по ресурсам для леса доменных служб Active Directory может потребоваться учетная запись ресурса.

По отношению к доменным службам Active Directory партнер по ресурсам концептуально эквивалентен одиночному лесу, чьи ресурсы становятся доступны через отношение внешнего доверия или доверия леса для учетных записей, которые физически хранятся в другом лесу.

Примечание

Данная аналогия служит исключительно для того, чтобы подчеркнуть концептуальное сходство отношения между партнерскими организациями по учетным записям и ресурсам в службах федерации Active Directory с отношением между лесом учетных записей и лесом ресурсов в доменных службах Active Directory. Для функционирования служб федерации Active Directory не требуются внешние доверия и доверия лесов.

Потребление утверждений, поступающих от партнера по учетным записям

Партнер по ресурсам потребляет утверждения, которые создаются и упаковываются в токены безопасности службой федерации партнера по учетным записям. В приведенном ниже списке описываются способы отправки утверждений партнеру по ресурсам.

  • Утверждение на UPN-имя

    При настройке партнера по ресурсам можно указать, будут ли утверждения на имя участника-пользователя отправляться партнеру по ресурсам. Можно также задать сопоставление суффиксов, чтобы любой суффикс отображался на заданный исходящий суффикс. Например, julianp@sales.tailspintoys.com может отображаться на julianp@tailspintoys.com. Обратите внимание, что допускается задавать только один исходящий суффикс.

  • Утверждение на электронную почту

    При настройке партнера по ресурсам можно указать, будут ли утверждения на электронную почту отправляться партнеру по ресурсам. Можно также задать сопоставление суффиксов, чтобы любой суффикс отображался на заданный суффикс. Например, vernettep@sales.tailspintoys.com может отображаться на vernettep@tailspintoys.com. Обратите внимание, что допускается задавать только один исходящий суффикс.

  • Утверждение на общее имя

    При настройке партнера по ресурсам можно указывать, будут ли отправляться партнеру по ресурсам утверждения на общее имя. Утверждения данного типа могут не сопоставляться; если данный тип утверждений включен, они просто пропускаются к партнеру по ресурсам.

  • Утверждения о группе

    При настройке партнера по ресурсам можно задать набор исходящих утверждений о группах, которые будут приниматься партнером по ресурсам. Затем каждое возможное исходящее утверждение о группе можно связать с утверждениями организации о группе. Обратите внимание, что при этом создается набор сопоставлений групп. Утверждения организации о группах, которые не соответствуют исходящему утверждению о группе, не создаются.

  • Настраиваемые утверждения

    При настройке партнера по ресурсам можно задать набор исходящих настраиваемых утверждений, которые будут приниматься партнером по ресурсам. Каждое возможное исходящее настраиваемое утверждение можно отобразить на настраиваемое утверждение организации. Обратите внимание, что при этом создается набор сопоставлений имен. Настраиваемые утверждения организации, которые не соответствуют исходящему настраиваемому утверждению, не создаются.

Усиленная конфиденциальность идентификации

Усиленная конфиденциальность идентификации является необязательным параметром, который можно настроить у партнера по ресурсам в политике доверия. Если функция Усиленная конфиденциальность идентификации включена, данный параметр хэширует относящуюся к имени пользователя часть исходящих утверждений на имя участника-пользователя и утверждений на электронную почту. Данная функция заменяет общее имя случайным значением.

Назначение этой функции заключается в предотвращении перечисляемых ниже действий.

  • Сопоставление партнером по ресурсам идентификационных утверждений с личными данными пользователей.

  • Тайное соглашение между партнерами о сопоставлении идентификационных утверждений с личными данными пользователей. Эта настройка создает уникальный хэш для каждого партнера, так что значения идентификационных утверждений отличаются для разных партнеров области доверия, но согласованы по сеансам работы для одиночного партнера.

  • Простые словарные атаки на хэш путем добавления случайной строки к данным, находящимся в политике доверия, т. е. данным, которые не известны партнерам по ресурсам.

Содержание