Общее представление о хранилищах учетных записей

Службы федерации Active Directory тесно интегрированы с доменными службами Active Directory. Службы федерации Active Directory извлекают атрибуты пользователей и проверяют подлинность пользователей в доменных службах Active Directory. Службы федерации Active Directory также использует встроенную проверку подлинности Windows и токены безопасности, которые создаются доменными службами Active Directory.

Чтобы пользователь мог войти в доменные службы Active Directory, имя пользователя должно быть в формате имени участника-пользователя (пользователь@adatum.com) или в формате имени учетной записи диспетчера учетных записей безопасности (SAM) (adatum\пользователь).

Токены доступа создаются, когда пользователь входит в систему. Они содержат идентификаторы безопасности (ИД безопасности) для пользователя и всех групп, к которым принадлежит пользователь. Копия токена доступа назначается каждому процессу, запускаемому пользователем.

После того как пользователь вошел в систему и получил полномочия, ИД безопасности пользователя считываются из токена доступа. Затем ИД безопасности сопоставляются с утверждениями о группе организации.

Внимание!

Когда включается режим доверия Windows в службе федерации учетных записей, фактические ИД безопасности посылаются через Интернет в организацию партнера по ресурсам, что может быть связано с угрозой безопасности системы. Эти ИД безопасности упаковываются в SAML токены SAML служб федерации Active Directory. Поэтому включайте этот режим только тогда, когда используется схема федеративной веб-службы единого входа с доверием леса. Эта схема предназначена для установки защищенного обмена данными внутри организации.

Утверждения на электронную почту, утверждения на общие имена и настраиваемые утверждения могут быть извлечены из атрибутов объекта пользователя, которые определяются в доменных службах Active Directory, когда учетная запись службы федерации используется для выполнения LDAP-поиска объекта.

Учетная запись службы федерации должна иметь доступ к объекту пользователя. Если объект пользователя находится в домене, отличном от домена, в котором размещена учетная запись службы федерации, домен объекта должен иметь доверие доменов доменных служб Active Directory с доменом учетной записи службы федерации.

Не существует прямого способа определить, имеется ли какое-либо заданное имя пользователя в доменных службах Active Directory и во всех каталогах, которым доверяют (прямо или косвенно) доменные службы Active Directory. Доменные службы Active Directory возвращают принудительный сбой, только если попытка входа в систему неудачна в результате ограничений политики. К таким ошибкам, связанным с ограничениями политики, относятся в частности следующие:

• учетная запись отключена;
  
  
• срок действия пароля учетной записи истек;
  
  
• учетной записи не разрешен вход на данный компьютер;
  
  
• для учетной записи пользователя заданы ограничения на время подключения, не позволяющие в данный момент использовать ее для входа в систему.
  
  

В противном случае ошибки входа в хранилище учетных записей доменных служб Active Directory не принудительны, и выполняется попытка входа в следующее по приоритету хранилище учетных записей. Дополнительные сведения об ошибках входа в хранилища учетных записей см. в разделе Устранение неполадок в службах федерации Active Directory.

Службы Active Directory облегченного доступа к каталогам осуществляют хранение и извлечение данных для приложений, поддерживающих работу с каталогами, и не требуют соблюдения тех условий, которые обязательны для доменных служб Active Directory. Службы Active Directory облегченного доступа к каталогам предоставляют практически те же возможности, что и доменные службы Active Directory, но не нуждаются в развертывании доменов или контроллеров доменов. Подобно тому как службы федерации Active Directory используют сведения из хранилища учетных записей доменных служб Active Directory, службы федерации Active Directory могут также извлекать атрибуты пользователей и выполнять проверку подлинности пользователей с помощью служб Active Directory облегченного доступа к каталогам.

	Примечание
	Службы федерации Active Directory не могут проверить подлинность учетных записей служб Active Directory облегченного доступа к каталогам, если в имени учетной записи используются круглые скобки. Учетные записи, в имени пользователя которых есть открывающая круглая скобка, вызывают ошибку LDAP-поиска, так как LDAP-фильтр с такими именами недопустим.

Учетная запись службы федерации получает утверждения, которые используются для LDAP-поиска объекта. Дополнительные сведения см. в разделе Общее представление об утверждениях. Это двухшаговый процесс:

• Сначала для учетной записи службы федерации находят объект пользователя путем поиска объекта, настроенные атрибуты которого содержат предоставленное имя пользователя. Для защиты этой операции учетная запись службы федерации использует проверку подлинности по протоколу Kerberos или шифрование NTLM.
  
  

  	Примечание
  	Для этого процесса требуется, чтобы сервер служб Active Directory облегченного доступа к каталогам располагался в домене, доверяющем домену, членом которого является служба федерации.

• Затем учетные данные пользователя проверяются с помощью привязки протокола LDAP к найденному объекту пользователя с предоставленным паролем. Если протокол TLS/SSL настроен в политике доверия с учетом свойств хранилища учетных записей служб Active Directory облегченного доступа к каталогам, учетные данные пользователя защищены.
  
  

  	Важно!
  	Настоятельно рекомендуется, чтобы поток информации между сервером служб Active Directory облегченного доступа к каталогам и сервером федерации был защищен протоколом TLS/SSL или другими средствами, такими как службы безопасности протокола IP (IPsec).

Если запрос LDAP с предоставленным именем пользователя возвращает более одного объекта, это считается ошибкой проверки подлинности.

Учетная запись пользователя сначала ищется в хранилище учетных записей служб Active Directory облегченного доступа к каталогам, если оно настроено, а затем с этой целью настраиваются другие LDAP-хранилища. Если учетная запись пользователя находится в каком-либо из хранилищ, с его помощью выполняется принудительный вход пользователя, и для обработки запроса на вход пользователя другие хранилища учетных записей не вызываются.

Когда пользователь делает запрос на вход в доменные службы Active Directory или службы Active Directory облегченного доступа к каталогам через клиента служб федерации Active Directory, запрос немедленно передается в указанное хранилище учетных записей. Однако если универсальный код ресурса (URI) хранилища учетных записей не указан, то служба федерации проверяет каждое из хранилищ в порядке их приоритета для осуществления входа пользователя. Результат проверки подлинности возвращается, если:

• существует только одно настроенное хранилище и возвращены сведения о проверке учетных данных;
  
  
• в запросе на вход был указан URI-код хранилища и возвращены сведения о проверке учетных данных;
  
  
• результат проверки подлинности одним из хранилищ является принудительным;
  
  
• проверка подлинности одним из хранилищ является успешной.
  
  

Каждое хранилище учетных записей можно помечать как включенное или отключенное. Если хранилище учетных записей отключено, оно не участвует в каких-либо операциях, связанных с хранилищами учетных записей. Файлы «cookie» с утверждениями, создаваемые в хранилище учетных записей, которое в данный момент отключено, отвергаются или удаляются, и клиент направляется на страницу входа.