Active Directory Federation Services (AD FS) 支援使用「Web 服務同盟 (WS-同盟)」、「WS-同盟被動式要求者設定檔 (WS-F PRP)」以及「WS-同盟被動式要求者互通性設定檔」規格的同盟識別設計 (也稱為同盟案例)。AD FS 方案可幫助系統管理員面對同盟識別管理方面的挑戰,方法是讓組織透過同盟信任安全地共用使用者的識別資訊。下列三個部署設計的說明將示範如何根據您的組織需求,對同盟識別使用 AD FS 伺服器角色的組合。如需各種伺服器角色的詳細資訊,請參閱了解 AD FS 角色服務。
同盟網頁 SSO
同盟網頁單一登入 (SSO) 設計牽涉到安全通訊,其中除了整個網際網路路由基礎結構,通常也涉及多個防火牆、周邊網路和名稱解析伺服器。在同盟網頁 SSO 環境上進行通訊,可在同盟信任關係所結合的組織之間更有效率且更安全地進行線上交易。
如下圖所示,同盟信任關係可建立於兩個企業之間。在此設計中,同盟伺服器會將驗證要求從 Tailspin Toys 中的使用者帳戶,路由到 Online Retailer 網路中的網頁應用程式。
同盟伺服器會根據夥伴的認證,來驗證信任夥伴的要求。認證的表示法會以安全性權杖的形式交換。
為了得到更好的安全性,可使用同盟伺服器 Proxy,將要求轉接到無法從網際網路直接存取的同盟伺服器。
含樹系信任的同盟網頁 SSO
如下圖所示,含樹系信任的同盟網頁 SSO 設計在單一的組織中包含兩個 Active Directory 樹系。其中一個樹系位於組織的周邊網路 (也稱為非軍事區域、外部網路或隔離的子網路)。其他樹系位於內部網路中。它會建立單向的樹系信任,讓周邊網路中的樹系信任內部網路的樹系。同盟伺服器會部署在兩個網路中。同盟信任會被建立,以便使用內部樹系中的帳戶來存取周邊網路中的網頁應用程式,不論帳戶從內部網路樹系或網際網路存取站台,都是如此。
在這個設計中,外部使用者 (例如客戶) 可存取網頁應用程式,方法是對周邊網路中的外部帳戶同盟伺服器進行驗證。外部使用者在周邊網路 Active Directory 樹系中擁有使用者帳戶。內部使用者 (例如員工) 也可以存取網頁應用程式,方法是對內部網路中的內部帳戶同盟伺服器進行驗證。內部使用者在內部 Active Directory 樹系中擁有帳戶。
如果網頁應用程式是 Windows NT 權杖型應用程式,則在網頁應用程式伺服器上執行的 AD FS 網路代理程式就會攔截要求,並建立網頁應用程式在進行授權決策時所需的 Windows NT 安全性權杖。若為外部使用者,這可能是因為裝載 Windows NT 權杖型應用程式之啟用 AD FS 的網頁伺服器已加入外部樹系的網域中。若為內部使用者,則會透過周邊樹系與內部樹系之間存在的樹系信任關係來啟用這個動作。
如果網頁應用程式是宣告感知應用程式,則網頁應用程式伺服器上執行的 AD FS 網路代理程式就不必為使用者建立 Windows NT 安全性權杖。AD FS 網路代理程式可公開發現的宣告,讓應用程式根據帳戶同盟伺服器所提供的安全性權杖內容來製作授權決策。因此,當它部署宣告感知應用程式時,啟用 AD FS 的網頁伺服器就不必加入網域中,也不需外部樹系到內部樹系的信任。
網頁 SSO
在 AD FS 網頁 SSO 設計中,使用者只須驗證一次,就能存取多個網頁應用程式。在這個設計中,所有使用者都是外部的,且不存在同盟信任。由於啟用 AD FS 的網頁伺服器必須能從網際網路存取,也必須加入 Active Directory 網域中,所以它們會連線到兩個網路;換言之,它們是多重主目錄的網頁伺服器。第一個網路是網際網路型 (周邊網路),可提供需要的連線。第二個網路包含 Active Directory 樹系 (受保護的網路),無法直接從網際網路存取。同盟伺服器 Proxy 也是多重主目錄的,可為同盟伺服器和網際網路提供必要的連線。在這個設計中,將同盟伺服器放在無法從網際網路直接存取的網路上,可大幅降低同盟伺服器的風險。
