Active Directory Federasyon Hizmetleri (AD FS) Web Aracısı, AD FS rol hizmetlerinden bağımsız olarak yükleyebileceğiniz AD FS'nin bir rol hizmetidir. Bir bilgisayara AD FS Web Aracısı rol hizmetinin yüklenmesi, bu bilgisayarı AD FS özellikli bir Web sunucusu yapar.
AD FS özellikli Web sunucuları güvenlik belirteçlerini kullanır ve bir Web uygulamasına kullanıcı erişimine izin verir veya erişimi engeller. Bunu gerçekleştirmek için, AD FS özellikli Web sunucusunun, kullanıcıyı gerektiğinde Federasyon Hizmetleri'ne yönlendirebilmek için kaynak Federasyon Hizmetleri ile bir ilişkiye gereksinimi vardır.
AD FS Web Aracısı iki farklı tür uygulama için kullanılabilir:
-
Talep kullanan uygulamalar: AD FS güvenlik belirteci taleplerini sorgulamaya olanak veren yayımlanmış AD FS nesnelerine yazılan bir Microsoft ASP.NET uygulamasıdır. Uygulamalar, bu taleplere dayanarak yetkilendirme kararları alır.
-
Windows NT belirteci tabanlı uygulamalar: Windows tabanlı yetkilendirme mekanizmalarını kullanan bir uygulamadır. AD FS Web Aracısı, bir AD FS güvenlik belirtecinden özelliklerini alma düzeyinde Windows NT® erişim belirtecine dönüştürmeyi destekler.
AD FS özellikli Web sunucusu, çoklu oturum açma (SSO) işlemini kolaylaştırmak için tanımlama bilgileri gereken istemcilerde Köprü Metni Aktarım Protokolü (HTTP) tanımlama bilgilerini de depolar. AD FS Web Aracısı iki ayrı bileşenden oluşur:
-
AD FS Windows Belirteci Tabanlı Aracı Uzantısı
-
AD FS Web Aracısı Kimlik Doğrulama Hizmeti
AD FS Windows Belirteç Tabanlı Aracı Uzantısı
AD FS Windows Belirteci Tabanlı Aracı Uzantısı, Internet Information Services (IIS) metatabanındaki bilgileri yapılandırmak için kullanabildiğiniz bir Internet Sunucusu Uygulama Programı Arabirimi (ISAPI) uzantısıdır. IIS Yöneticisi'nde, AD FS güvenlik belirteçlerini ve tanımlama bilgilerini doğrulayan ilke ve sertifikaları yönetmek için Federasyon Hizmetleri URL'si ve AD FS Web Aracısı özellik sayfalarını kullanabilirsiniz.
Aşağıdaki tabloda verilen AD FS Web Aracısı özellikleri devredilebilir. ISAPI uzantısı WS-Federasyon Edilgen İstek Sahibi Profili (WS-F PRP) protokolünü destekleyecekse, bu özellikler bir IIS kaynağında gereklidir.
| Özellikler | Description |
|---|---|
|
Federasyon Hizmeti URL'si |
Federasyon Hizmetleri'nin Tekdüzen Kaynak Konum Belirleyicisi (URL). Güven bilgileri için sorgulanabileceğinden, bu URL gereklidir. |
|
Tanımlama bilgisi yolu |
Kimlik doğrulaması tanımlama bilgisi yazılırken belirtilen yol. |
|
Tanımlama bilgisi etki alanı |
Tanımlama bilgisinin geçerli olduğu etki alanı. |
|
Dönüş URL'si |
Federasyon Hizmetleri'den gelen belirtecin, Federasyon Hizmetleri'deki kimlik doğrulamasından sonra geri geldiği URL. Bu URL'nin belirtecin Hedef Kitle öğesi ile eşleşmesi gerekir. Hedef Kitle öğesinin denetlenmesi Windows hizmeti tarafından gerçekleştirilir. |
AD FS Web Aracısı Kimlik Doğrulama Hizmeti
AD FS Web Aracısı Kimlik Doğrulama Hizmeti, gelen belirteçleri ve tanımlama bilgilerini doğrular. Parola olmadan bir kullanıcı asıl adı (UPN) sağlayarak istemci için Windows belirteci almanıza olanak veren Service-for-User'ı (S4U) ya da AD FS kimlik doğrulama paketini kullanarak bir belirteç üretmek üzere Yerel Sistem olarak çalışır. Bununla birlikte, Yerel Sistem olarak çalışmak için IIS uygulama havuzu gerekmez.
AD FS Web Aracısı Kimlik Doğrulama Hizmeti, uzak yordam çağrısı (RPC) ile değil, yalnızca yerel uzak yordam çağrısı (LRPC) ile çağrılabilen arabirimlere sahiptir. AD FS güvenlik belirteci veya AD FS tanımlama bilgisi verilirse, bu hizmet bir özelliklerini alma Windows NT erişim belirteci döndürür.