AD FS (Active Directory Federation Services) använder terminologi från flera olika tekniker, t.ex. certifikatstjänster, IIS (Internet Information Services), AD DS (Active Directory Domain Services), AD LDS (Active Directory Lightweight Directory Services) och webbtjänster (WS-*). Följande tabell beskriver de här termerna.
| Term | Beskrivning |
|---|---|
|
kontofederationsserver |
Federationsservern som finns på kontopartnerorganisationens företagsnätverk. Kontofederationsservern utfärdar säkerhetstoken till användare baserat på användarautentisering. Servern autentiserar en användare och hämtar relevanta attribut och information om gruppmedlemskap från kontoarkivet. Därefter skapas och signeras en säkerhetstoken som returneras till användaren. Denna token ska sedan antingen användas i den egna organisationen eller skickas till en partnerorganisation. |
|
kontofederationsserverproxy |
Federationsserverproxyn som finns på kontopartnerorganisationens perimeternätverk. Kontofederationsserverproxyn samlar in autentiseringsuppgifter från en klient som loggar in via Internet (eller via perimeternätverket) och vidarebefordrar uppgifterna till kontofederationsservern. |
|
kontopartner |
En federationspartner som är betrodd av federationstjänsten att tillhandahålla säkerhetstoken till sina användare (d.v.s. användare i kontopartnerns organisation) så att de kan komma åt webbaserade program i resurspartnern. |
|
AD FS (Active Directory Federation Services) |
En komponent i Windows Server 2003 R2 och Windows Server 2008 och Windows Server 2008 R2 som tillhandahåller tekniker för enkel inloggning (SSO, Single-Sign-On) på webben för att autentisera en användare på flera webbprogram under en och samma session. AD FS uppnår detta genom säker delning av digital identitet och behörighetsrättigheter över säkerhets- och företagsgränser. AD FS stöder WS-F PRP (WS-Federation Passive Requestor Profile) |
|
AD FS Web Agent |
En installerbar AD FS-rolltjänst som används vid skapande av en AD FS-aktiverad webbserver. En AD FS Web Agent använder inkommande säkerhetstoken och autentiseringscookies som är signerade av en giltig federationsserver. Dessa används för att antingen bevilja eller neka en användare åtkomst till det skyddade programmet vilket görs utifrån de programspecifika inställningarna för åtkomstkontroll. |
|
AD FS-aktiverad webbserver |
En webbserver som kör Windows Server 2003 R2 eller Windows Server 2008 eller Windows Server 2008 R2 konfigurerat med lämplig AD FS Web Agent-programvara, antingen den anspråksmedvetna agenten eller den Windows-tokenbaserade agenten, som är nödvändig för autentisering och auktorisering av federerad åtkomst till webbaserade program som finns lokalt. |
|
anspråk |
En uppgift som en server lämnar (t.ex. namn, identitet, nyckel, grupp, privilegium eller kapacitet) om en klient. |
|
anspråksmedvetet program |
Ett Microsoft ASP.NET-program som utför auktorisering baserat på de anspråk som finns i en AD FS-säkerhetstoken. |
|
anspråksmappning |
Åtgärden att mappa, ta bort, filtrera eller vidarebefordra anspråk mellan olika anspråksuppsättningar. |
|
webbsida för identifiering av klientkontopartner |
Webbsida som interagerar med användaren för att avgöra vilken kontopartner användaren tillhör när inte AD FS automatiskt kan avgöra vilken kontopartner som ska autentisera användaren. |
|
certifikat för klientautentisering |
Ett certifikat i AD FS som en federationsserverproxy använder vid autentisering av en klient till federationstjänsten. |
|
webbsida för utloggning av klient |
En webbsida med visuell feedback till användaren om att utloggningen från AD FS har slutförts. |
|
webbsida för inloggning av klient |
En webbsida där AD FS samlar in en klients autentiseringsuppgifter via interaktion med användaren. Webbsidan för inloggning av klient kan använda nödvändig affärslogik för att bestämma vilken typ av autentiseringsuppgifter som ska samlas in. |
|
federerat program |
Ett webbaserat program som är AD FS-aktiverat vilket innebär att federerade användare har åtkomst till det. |
|
federerad användare |
En användare vars konto finns i en kontopartnerorganisation och som har åtkomst till federerade program som finns i en resurspartnerorganisation. |
|
federation |
Ett sfär- eller domänpar som har upprättat ett federationsförtroende. |
|
federationsserver |
En dator som kör Windows Server 2003 R2 eller Windows Server 2008 eller Windows Server 2008 R2 konfigurerad att vara värd för federationstjänstkomponenten i AD FS. Federationsservrar kan autentisera eller vidarebefordra begäranden från användarkonton i andra organisationer och från klienter som kan finnas var som helst på Internet. |
|
federationstjänstproxy |
En dator som kör Windows Server 2003 R2 eller Windows Server 2008 eller Windows Server 2008 R2 konfigurerad att vara värd för federationstjänstens proxykomponent i AD FS. En federationsserverproxy tillhandahåller mellanliggande proxytjänster mellan en klient på Internet och en federationsserver som finns bakom en brandvägg i ett företagsnätverk. |
|
Federationstjänst |
En installerbar rolltjänst i AD FS som används vid skapande av en federationsserver. När federationstjänsten är installerad tillhandahåller den token som svar på begäranden om säkerhetstoken. Flera federationsservrar kan konfigureras för att uppnå feltolerans och belastningsutjämning för en enskild federationstjänst. |
|
Proxyserver för federationstjänst |
En installerbar rolltjänst i AD FS som används vid skapande av en federationsserverproxy. När rolltjänsten för federationstjänstproxyn är installerad använder den protokollet WS-F PRP vid insamling av användarautentiseringsuppgifter från webbläsarklienter och webbprogram. Denna information skickas sedan till federationstjänsten för deras räkning. |
|
organisationsanspråk |
Anspråk i mellanliggande eller normaliserad form inom en organisations namnområde. |
|
passiv klient |
En HTTP-webbläsare (Hypertext Transfer Protocol) med brett stöd för HTTP och som kan använda cookies. AD FS i Windows Server 2003 R2 och Windows Server 2008 och Windows Server 2008 R2 stöder bara passiva klienter och följer WS-F PRP-specifikationen. |
|
resurskonto |
Ett enskilt säkerhetsobjekt, vanligen ett användarkonto, som har skapats i AD DS och som används vid mappning till en enskild federerad användare. Ett resurskonto krävs vid federering av Windows NT-tokenbaserade program eftersom den Windows-tokenbaserade agenten måste referera till ett säkerhetsobjekt i Active Directory i resurspartnerskogen för att kunna bygga åtkomsttoken för Windows NT och därigenom framtvinga åtkomstkontrollbehörigheter för programmet. |
|
resursfederationsserver |
Federationsservern i resurspartnerorganisationen. Resursfederationsservern utfärdar vanligtvis säkerhetstoken till användare baserat på en säkerhetstoken som utfärdas av en kontofederationsserver. Servern:
|
|
serverproxy för resursfederation |
Federationsserverproxyn som finns på resurspartnerorganisationens perimeternätverk. Serverproxyn för resursfederationen identifierar kontopartner för Internetklienter och vidarebefordrar inkommande säkerhetstoken till resursfederationsservern. |
|
resursgrupp |
En enskild säkerhetsgrupp som skapas i AD DS och som inkommande gruppanspråk (AD FS-gruppanspråk från kontopartnern) mappas till. När federerade användare har mappats till en resursgrupp kan AD FS-aktiverade webbservrar fatta auktoriseringsbeslut åt Windows NT-tokenbaserade program baserat på åtkomstbehörigheterna som har tilldelats resursgruppens SID (Security Identifier). |
|
resurspartner |
En federationspartner som betror federationstjänsten att utfärda anspråksbaserade säkerhetstoken för webbaserade program (d.v.s. program i resurspartnerorganisationen) som användare i kontopartnern kan komma åt. |
|
säkerhetstoken |
En kryptografiskt signerad dataenhet som uttrycker ett eller flera anspråk. I AD FS indikerar en signerad säkerhetstoken att federationsservern som utfärdar säkerhetstoken har verifierat den federerade användarens identitet. |
|
säkerhetstokentjänst (STS, Security Token Service) |
En webbtjänst som utfärdar säkerhetstoken. En säkerhetstokentjänst gör kontroller baserade på bevis som är betrodda av tjänsten, åt alla som betror tjänsten (eller för specifika mottagare). För att kommunicera förtroende kräver en tjänst bevis, t.ex. en signatur som indikerar kännedom om en säkerhetstoken eller en uppsättning säkerhetstoken. En tjänst kan skapa token eller förlita sig på att en separat säkerhetstokentjänst utfärdar en säkerhetstoken med sina egna förtroendeuppgifter. Det här utgör grunden för förtroendeförmedling. I AD FS är federationstjänsten en säkerhetstokentjänst. |
|
certifikat för serverautentisering |
AD FS-aktiverade webbservrar, federationsservrar och federationsserverproxy använder certifikat för serverautentisering för att säkra trafik via webbtjänster vid kommunikation inom sin grupp men även för webbklienter. |
|
servergrupp |
En samling belastningsutjämnade federationsservrar, federationsserverproxy eller webbservrar i AD FS som är värdar för AD FS Web Agent. |
|
enkel inloggning (SSO, Single Sign-On) |
En optimering av autentiseringssekvensen som innebär att slutanvändaren inte behöver göra upprepade inloggningar. |
|
certifikat för tokensignering |
Ett X.509-certifikat vars associerade offentliga/privata nyckelpar används av federationsservrar vid digital signering av de säkerhetstoken som federationsservrarna producerar. |
|
URI (Uniform Resource Identifier) |
En kompakt teckensträng som identifierar en abstrakt eller fysisk resurs. URI:er beskrivs i RFC 2396 (Request For Comments) på sidan ( |
|
verifieringscertifikat |
Ett certifikat som representerar delen med den offentliga nyckeln i ett certifikat för tokensignering. Ett verifieringscertifikat lagras i förtroendeprincipen och används av federationsservern i en organisation då det ska verifieras att inkommande säkerhetstoken har utfärdats av giltiga federationsservrar i organisationens grupp och i andra organisationer. |
|
Webbtjänster (WS-*) |
Specifikationerna för en webbtjänstarkitektur som är baserad på industristandarder som SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) och UDDI (Universal Description, Discovery, and Integration). WS-* tillhandahåller en grund för att leverera kompletta, interoperabla affärslösningar för större företag, inklusive möjligheten att hantera federerad identitet och säkerhet. Webbtjänstmodellen är baserad på tanken att företagssystem skrivs på olika språk, med olika programmeringsmodeller och körs och används på många olika typer av enheter. Webbtjänster är ett sätt att bygga distribuerade system som kan ansluta till och interagera med varandra enkelt och effektivt via Internet, oavsett på vilket språk de är skrivna och på vilken plattform de körs. |
|
WS-Security (Web Services Security) |
En serie specifikationer som beskriver hur du kopplar signatur- och krypteringshuvuden till SOAP-meddelanden. Dessutom beskriver WS-Security hur du kopplar säkerhetstoken, inklusive binära säkerhetstoken som X.509-certifikat och Kerberos-biljetter, till meddelanden. I AD FS används WS-Security när Kerberos signerar säkerhetstoken. |
|
Windows NT-tokenbaserat program |
Ett Windows-program som förlitar sig på att en Windows NT-token utför auktorisering av användare. |
|
WS-Federation |
En specifikation som definierar en modell och en uppsättning meddelanden för förtroendeförmedling och federation av identitets- och autentiseringsinformation över olika förtroendesfärer. Specifikationen WS-Federation identifierar två källor av identitets- och autentiseringsbegäranden över förtroendesfärer:
|
|
WS-F PRP (WS-Federation Passive Requestor Profile) |
En implementering av specifikationen WS-Federation som föreslår ett standardprotokoll för hur passiva klienter (t.ex. webbläsare) använder federationens ramverk. Inom protokollet förväntas de som begär webbtjänster acceptera de nya säkerhetsmekanismerna och kunna interagera med webbtjänstproviders. |