En del i designen av din AD FS-distribution (Active Directory Federation Services) är att identifiera den typ av federerat program som du vill ska vara säkrat med AD DS. För att ett program ska vara federerat måste det vara minst en av programtyperna som beskrivs i följande avsnitt.

Om du vill lära dig mer om förbättrat programstöd i den här AD FS-versionen går du till avsnittet Vad är nytt i AD FS i Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684). Sidan kan vara på engelska.

Anspråksmedvetna program

Anspråk är uppgifter (t.ex. namn, identitet, nyckel, grupp, privilegium och funktion) som anges om användare och som förstås av båda parter i en AD FS-federation som används för auktorisering i ett program.

Ett anspråksmedvetet program är ett Microsoft ASP.NET-program som är skrivet med hjälp av klassbiblioteket i AD FS. Den här typen av program har kapacitet att använda AD FS-anspråk för att utföra auktorisering direkt. Ett anspråksmedvetet program accepterar anspråk som federationstjänsten skickar i AD FS-säkerhetstoken. Mer information om hur federationstjänsten använder säkerhetstoken och anspråk finns i Så här fungerar rolltjänsten Federationstjänst.

Anspråksmappning innebär mappning, borttagning, filtrering eller överföring av inkommande anspråk till utgående anspråk. Anspråksmappning utförs inte när anspråk skickas till ett program. I stället skickas bara de organisationsanspråk som anges av federationstjänstens administratör i resurspartnern till programmet. (Organisationsanspråk är anspråk i mellanliggande eller normaliserad form inom en organisations namnområde.) Mer information om anspråk och anspråksmappning finns i avsnittet Så här fungerar anspråk.

I följande lista beskrivs de organisationsanspråk som anspråksmedvetna program kan använda:

  • Identitetsanspråk (UPN, e-post, eget namn)

    När du konfigurerar programmet anger du vilket av dessa identitetsanspråk som ska skickas till programmet. Ingen mappning eller filtrering utförs.

  • Gruppanspråk

    När du konfigurerar programmet anger du vilka av organisationens gruppanspråk som ska skickas till programmet. Organisationsgruppanspråk som inte är utsedda att skickas till programmet ignoreras.

  • Anpassade anspråk

    När du konfigurerar programmet anger du vilka av organisationens anpassade anspråk som ska skickas till programmet. Anpassade organisationsanspråk som inte är avsedda att skickas till programmet ignoreras.

Anspråksmedveten auktorisering

Anspråksmedveten auktorisering består av en HTTP-modul (Hypertext Transfer Protocol) och objekt för att fråga anspråken som finns i AD FS-säkerhetstoken. Anspråksmedveten auktorisering stöds bara för Microsoft ASP.NET-program.

HTTP-modulen behandlar AD FS-protokollmeddelanden baserat på konfigurationsinställningar i webbprogrammets Web.config-fil. Webbsidorna utför autentisering- och auktoriseringsåtgärder. HTTP-modulen autentiserar också cookies och erhåller anspråk från cookies.

Windows NT-tokenbaserat program

Ett Windows NT-tokenbaserat program är ett IIS-program (Internet Information Services) som har skapats för att använda traditionella enhetliga auktoriseringsmekanismer avsedda för Windows. Den här programtypen är inte förberedd för att använda AD FS-anspråk.

Windows NT-tokenbaserade program kan användas av Windows-användare från den lokala sfären eller någon annan sfär som är betrodd av den lokala sfären, d.v.s. bara användare som kan logga in på datorn med Windows NT-tokenbaserade autentiseringsmekanismer.

OBS

Det innebär att resurskonton eller resursgrupper eventuellt krävs för Windows NT-tokenbaserad autentisering i en federationsdesign.

AD FS säkerhetstoken som skickas till den Windows NT-tokenbaserade agenten kan innehålla någon av följande anspråkstyper:

  • Ett UPN-anspråk (User Principal Name) för användaren

  • Ett e-postanspråk för användaren

  • Ett gruppanspråk

  • Ett anpassat anspråk för användaren

  • Ett UPN-, e-post-, grupp- eller anpassat anspråk som innehåller användarkontots säkerhets-ID:n (SID, Security Identifiers). (Används bara när alternativet Windows-förtroende är aktiverat.)

Den AD FS-aktiverade webbservern skapar en åtkomsttoken på personifieringsnivå för Windows. En åtkomsttoken på personifieringsnivå samlar in säkerhetsinformation för en klientprocess vilket gör det möjligt för en tjänst att personifiera klientprocessen när säkerhetsåtgärder utförs.

För Windows NT-tokenbaserade webbprogram fastställer följande processordning hur en Windows NT-token skapas:

  1. Om SAML-token (Security Assertion Markup Language) innehåller SID i Advice-elementet för SAML används dessa SID till att skapa Windows NT-token.

  2. Om SAML-token inte innehåller SID utan i stället innehåller ett UPN-identitetsanspråk används UPN-anspråket för att skapa Windows NT-token.

  3. Om SAML-token inte innehåller några SID och det finns ett UPN-identitetsanspråk i e-postidentitetsanspråket tolkas det som ett UPN och det används då till att skapa Windows NT-token.

Det här beteendet är oberoende av om UPN- eller e-postidentitetsanspråket har angetts som det identitetsanspråk som används för att skapa Windows NT-token när webbprogrammets förtroendeprincippost skapades i federationstjänsten.

Traditionell Windows-baserad auktorisering

Stöd för konvertering av en AD FS-säkerhetstoken till en åtkomsttoken för Windows NT på personifieringsnivå kräver ett antal komponenter:

  • Tillägget ISAPI (Internet Server Application Programming Interface): Den här komponenten söker efter AD FS-cookies och AD FS-säkerhetstoken från federationstjänsten, utför lämpliga vidarebefordringar av protokoll och skriver de cookies som krävs för att AD FS ska fungera.

  • Autentiseringspaket för AD FS: Autentiseringspaketet för AD FS skapar en åtkomsttoken på personifieringsnivå utifrån ett domänkontos UPN. Paketet kräver att anroparen har TCB-privilegier (Trusted Computing Base).

  • Egenskapssidorna för AD FS Web Agent och URL för federationstjänster i snapin-modulen för IIS-hanteraren: Från egenskapssidorna kan du administrera principer och certifikat som används vid verifiering av AD FS-säkerhetstoken och cookies.

  • Autentiseringstjänst för AD FS Web Agent: Autentiseringstjänsten för AD FS Web Agent körs som ett lokalt system för att skapa en token med antingen S4U (Service-for-User) eller autentiseringspaketet för AD FS. Programpoolen i IIS (Internet Information Services) måste dock inte köras som ett lokalt system. Autentiseringstjänsten för AD FS Web Agent har gränssnitt som bara kan anropas med LRPC (Local Remote Procedure Call) och inte med RPC (Remote Procedure Call). Tjänsten returnerar en åtkomsttoken på personifieringsnivå för Windows NT om den ges en AD FS-säkerhetstoken eller AD FS-cookie.

  • ISAPI-filter för AD FS Web Agent: Vissa traditionella IIS-webbprogram använder ett ISAPI-filter som kan modifiera inkommande data, t.ex. URL-adresser (Uniform Resource Locator). Om så skulle vara fallet måste ISAPI-filtret för AD FS Web Agent vara aktiverat och konfigurerat som ett filter med högsta prioritet. Filtret är som standard inte aktiverat.


Innehåll