Active Directory Federation Services (AD FS) använder följande tre typer av cookies:

  • Autentiseringscookies

  • Kontopartnercookies

  • Utloggningscookies

Autentiseringscookies

Såväl federationstjänsten som AD FS Web Agent kan utfärda autentiseringscookies. AD FS Web Agent använder den mottagna AD FS-säkerhetstoken som cookie-värde. Fördelen för den AD FS-aktiverade webbservern är att den inte behöver konfigureras med ett offentlig/privat-nyckelpar som kan signera och verifiera sina egna cookies. Federationstjänsten publicerar all information som är nödvändig för att validera dess token.

I federationstjänsten innehåller en säkerhetstoken i en cookie organisationens anspråk för klienten. Organisationsanspråk kan mappas till utgående anspråk för en viss resurs. AD FS Web Agent kan också autentisera och använda cookies som är utfärdade av federationstjänsten. Den AD FS-aktiverade webbservern tar emot en cookie när klienten kommer till den AD FS-aktiverade webbservern. Sedan kan AD FS Web Agent autentisera cookien och använda de anspråk som den innehåller. Mer information om hur federationstjänsten använder token, anspråk och autentiseringscookies finns i avsnittet Så här fungerar rolltjänsten Federationstjänst.

Autentiseringscookien underlättar enkel inloggning (SSO, Single Sign-On). När federationstjänsten har validerat klienten en gång skrivs autentiseringscookien till klienten. Federationstjänsten skapar och använder innehållet i autentiseringscookien och innehållet läses inte av federationsserverproxy. Ytterligare autentisering görs via cookien istället för genom upprepad insamling av klientens autentiseringsuppgifter. Mer information om federationsserverproxy finns i avsnittet Så här fungerar rolltjänsten Federationstjänstproxy.

Följande illustration visar innehållet i en autentiseringscookie och de rolltjänster i AD FS som använder autentiseringscookien. AD FS Web Agent innehåller både autentiseringstjänst för AD FS Web Agent och tillägget AD FS Windows Token-Based Agent.

Innehållet i autentiseringscookien

Autentiseringscookien är alltid en sessionscookie. Autentiseringscookien är signerad men inte krypterad, vilket är ett skäl till att användning av TLS/SSL (Transport Layer Security och Secure Sockets Layer) i AD FS är obligatorisk.

Kontopartnercookies

Kontopartnercookien underlättar enkel inloggning. När interaktivt kontopartnermedlemskap har identifierats skrivs cookien till klienten om kontopartnercookien har en giltig token. Vid ytterligare interaktion används informationen i cookien i stället för att kunden uppmanas att ange information om kontopartnermedlemskapet igen. Kontopartnercookien anges som ett resultat av identifieringen av kontopartnern. Mer information om identifiering av kontopartner finns i avsnittet Så här fungerar rolltjänsten Federationstjänst.

Kontopartnercookien är en långlivad, beständig cookie. Den är varken signerad eller krypterad.

Utloggningscookies

Utloggningscookien underlättar utloggning. När federationstjänsten utfärdar en token läggs dess resurspartner eller målserver till i utloggningscookien. När en begäran om utloggning tas emot skickar federationstjänsten eller proxyservern för federationstjänsten begäranden till alla tokenmålservrar om att rensa eventuella autentiseringsartefakter, t.ex. cachade cookies, som resurspartnern eller den AD FS-aktiverade webbservern kan ha skrivit till klienten. Om det rör sig om en resurspartner skickas en begäran om rensning till alla AD FS-aktiverade webbservrar som klienten har använt.

Utloggningscookien är alltid en sessionscookie. Den är varken signerad eller krypterad.


Innehåll