Web Agent i Active Directory Federation Services (AD FS) är en rolltjänst som kan installeras oberoende av andra AD FS-rolltjänster. Om du installerar AD FS-rolltjänsten Web Agent på en dator så innebär det att den datorn blir en AD FS-aktiverad webbserver.

AD FS-aktiverade webbservrar använder säkerhetstoken och tillåter eller nekar en användare åtkomst till ett webbprogram. Detta åstadkoms genom att den AD FS-aktiverade webbservern kräver en relation med en resursfederationstjänst för att kunna dirigera användaren till federationstjänsten vid behov.

AD FS Web Agent kan användas för två olika typer av program:

  • Anspråksmedvetna program: ett Microsoft ASP.NET-program som har skapats för publicerade AD FS-objekt som tillåter förfrågningar till anspråk för AD FS-säkerhetstoken. Programmet baserar auktorisering på de här anspråken.

  • Windows NT-tokenbaserade program: ett program som använder Windows-baserade auktoriseringsmetoder. AD FS Web Agent stöder konvertering från en AD FS-säkerhetstoken till en Windows NT®-åtkomsttoken på personifieringsnivå.

Den AD FS-aktiverade webbservern lagrar också HTTP-cookies (Hypertext Transfer Protocol) på klienter där cookies behövs för att underlätta enkel inloggning (SSO, Single Sign-On). AD FS Web Agent innehåller två separata komponenter:

  • Tillägg med Windows-tokenbaserad agent för AD FS

  • Autentiseringstjänst för AD FS Web Agent:

Tillägg för AD FS Windows-tokenbaserad agent

Tillägget med Windows-tokenbaserad agent för AD FS är ett ISAPI-tillägg (Internet Server Application Programming Interface) som du kan använda om du vill konfigurera information i IIS-metabasen (Internet Information Services). I IIS-hanteraren kan du använda egenskapssidorna URL för federationstjänster och AD FS Web Agent om du vill administrera principer och certifikat som verifierar AD FS-säkerhetstoken och cookies.

Egenskaperna för AD FS Web Agent i följande tabell är ärftliga. De här egenskaperna krävs på en IIS-resurs för att ISAPI-tillägget ska stödja protokollet WS-F PRP (WS-Federation Passive Requestor Profile).

Egenskaper Beskrivning

Federationstjänstens URL

URL (Uniform Resource Locator) till federationstjänsten. Denna URL krävs så att tjänsten kan tillfrågas om förtroendeinformation.

Cookie-sökväg

Den sökväg som anges när autentiserings-cookien skrivs.

Cookie-domän

Den domän där cookien är giltig

Retur-URL

Den URL som token från federationstjänsten återgår till efter autentisering vid federationstjänsten. Denna URL bör matcha tokenelementet Publik. Kontrollen mot elementet Publik utförs av Windows-tjänsten.

Autentiseringstjänst för AD FS Web Agent:

Autentiseringstjänsten för AD FS Web Agent validerar inkommande token och cookies. Tjänsten körs som lokalt system för att skapa en token med antingen S4U (Service-for-User), vilket innebär att du erhåller en Windows-token för klienten genom att ett UPN (User Principal Name) utan ett lösenord skickas med, eller med autentiseringspaketet i AD FS. Programpoolen i IIS (Internet Information Services) måste dock inte köras som lokalt system.

Autentiseringstjänsten för AD FS Web Agent har gränssnitt som bara kan anropas med LRPC (Local Remote Procedure Call) och inte med RPC (Remote Procedure Call). Den här tjänsten returnerar en Windows NT-åtkomsttoken på personifieringsnivå om den ges en AD FS-säkerhetstoken eller en AD FS-cookie.

Se även


Innehåll