Microsoft 联合身份验证网关是一种在 Internet 上运行并在组织(或企业)及其要使用的外部服务之间起中介作用的标识服务。当组织希望与 Windows Azure 上的应用程序或与在 Internet 上运行的 Microsoft 应用程序进行多个连接时,该网关可作为这些连接的中枢。该网关可将用户和其他标识连接到其使用的服务,因此,组织只需管理单个标识关系即可让其标识能够访问它们希望使用的所有 Microsoft 和基于 Microsoft 的服务。
对于在使用 SSL 证书证明域所有权的单独组织之间建立信任,Microsoft 联合身份验证网关 为应用程序提供了一个基于标准的简单方法。由于组织与网关联合(而非相互联合),因此,相比于使用传统的一对一联合或其他信任关系,组织可以更轻松地与更多合作伙伴建立信任关系。可以通过创建用户和域的授权允许或拒绝列表,以及指定可接收发布许可证的域,来轻松地控制联合的范围。这可保证只有合适的组织才被授予受保护信息的访问权限。
联合标识关系是组织之间的一种基于标准的安排,在该关系中,声明从一个组织传递到另一个组织并被识别。通过此关系,用户可以登录到其标识提供方(管理其标识帐户的组织)并经过身份验证,然后将其身份验证传递到联合合作伙伴,而无需再次登录。
Microsoft 联合身份验证网关 可通过在 Web 服务 (WS-*) 上构建一些规范(如 WS-Trust 和 WS-Security)来建立联合标识关系,以简化互操作性并增强安全性。通过使用这些行业标准协议,组织之间可建立一个联合标识关系,而无需使用完全相同的平台或基础结构。
当两个组织建立了一个联合标识关系时,一个合作伙伴(标识提供方)控制其自身帐户,同时另一个合作伙伴(资源提供方)通过依赖由标识提供方执行的身份验证来授予其资源的访问权限。用户的标识定义为一个声明集,即服务器做出的有关用户的声明。这些声明包括用户的名称、组或权限。标识联合可实现这些标识声明的共享。
通过 Microsoft 联合身份验证网关,来自标识提供方的身份验证将使用一种称为安全声明标记语言 (SAML) 的标准格式提供给网关。接着,Microsoft 联合身份验证网关 将身份验证信息转换为可由 Microsoft 服务使用的服务令牌。
Windows Server® 2008 R2 中的 Microsoft 联合身份验证网关支持 使 AD RMS 能够接受来自 Microsoft 联合身份验证网关 的令牌,以对用户进行认证和授权的身份验证。例如,Microsoft Exchange Server 2010 的设计主旨正是使用此功能 - 使受 AD RMS 保护的消息在未共享 Active Directory 域服务 (AD DS) 基础结构的组织之间发送。当 Exchange Server 2010 基础结构配置为使用这些功能时,用户可以将受 AD RMS 保护的电子邮件发送至发件人组织以外的收件人,以便收件人可使用 Exchange Server 2010 Outlook Web App 或 Microsoft Outlook 查看邮件。而且,发件人可将授予使用 Exchange Server 2010 的权限接收组织出于日记和恶意软件扫描等目的而对内容进行解密的权限。
有关如何在 AD RMS 上部署 Microsoft 联合身份验证网关支持 的详细信息,请参阅清单:部署具有 Microsoft 联合身份验证网关支持的 AD RMS