Microsoft Federation Gateway 是一種識別身分服務,此服務可透過網際網路執行,並做為組織或企業與組織要使用之外部服務的居中調節者。該閘道是做為中樞,以處理組織要與其建立連線的應用程式 (以 Windows Azure 建置) 或在網際網路上執行的 Microsoft 應用程式。此閘道可將使用者與其識別身分連接到所使用的服務,因此組織只需要管理單一識別身分同盟關係,就能讓使用者利用其識別身分存取使用者想使用的所有 Microsoft 服務與 Microsoft 架構的服務。

Microsoft Federation Gateway 提供簡單、標準的方法,讓應用程式使用 SSL 憑證來證明網域擁有權,以與不同組織建立信任關係。因為各組織是與閘道建立同盟關係,而非在彼此之間建立同盟關係,因此相較於傳統一對一同盟或其他信任關係,組織可與更多合作夥伴建立信任關係。透過建立允許/拒絕取得授權的使用者與網域清單,及指定可接收發佈之授權的網域,即可輕鬆控制同盟範圍。這樣可確保只有適當的組織可存取受保護的資訊。

「同盟識別身分關係」是多個組織之間的標準協議,在此協議中,來自一個組織的存取要求會被傳遞給另一個組織並識別。透過此關係,使用者可以登入並由其識別身分提供者 (管理其識別身分帳戶的組織) 進行驗證,接著識別身分提供者會將其驗證資訊傳遞給同盟合作夥伴,而不需要使用者再次登入。

Microsoft Federation Gateway 透過在 Web 服務 (WS-*) 規格 (例如,共同運作以簡化互通性並提高安全性的 WS-Trust 與 WS-Security) 建立同盟識別身分關係。透過使用這些業界標準通訊協定,組織之間可以建立同盟識別身分關係,而不需要彼此都使用相同的平台或基礎結構。

當兩個組織建立同盟識別身分關係時,一個合作夥伴 (識別身分提供者) 會控制它自己的使用者帳戶,而另一個合作夥伴 (資源提供者) 會依賴識別身分提供者所執行的驗證而授與對其資源的存取權。使用者的識別身分是定義為一組宣告,亦即伺服器對於使用者的陳述。使用者的名稱、群組或權限是此類宣告的範例。識別身分同盟可讓組織共用這些識別身分宣告。

透過 Microsoft Federation Gateway,來自識別身分提供者的驗證資訊會提供給閘道 (使用稱為「安全性聲明標記語言」(SAML) 的標準格式)。接著,Microsoft Federation Gateway 會將該驗證資訊轉換為可供 Microsoft 服務使用的服務權杖。

Windows Server® 2008 R2 中的「Microsoft Federation Gateway 支援」可讓 AD RMS 接受來自 Microsoft Federation Gateway 的權杖,以驗證使用者是否可取得憑證與授權。例如,Microsoft Exchange Server 2010 的設計可利用此功能,方式是讓受 AD RMS 保護的訊息可在未共用 Active Directory 網域服務 (AD DS) 基礎結構的組織之間傳送。當 Exchange Server 2010 基礎結構設定為使用這些功能時,使用者可以將受 AD RMS 保護的電子郵件訊息傳送給寄件者組織外部的收件者,而收件者可使用 Exchange Server 2010 Outlook Web App 或 Microsoft Outlook 來檢視訊息。此外,寄件者可以將權限授與使用 Exchange Server 2010 權限的收件者組織,以解密內容並執行諸如記錄或惡意程式碼掃描之類的處理。

如需有關如何在 AD RMS 部署「Microsoft Federation Gateway 支援」的詳細資訊,請參閱檢查清單:使用 Microsoft Federation Gateway 支援部署 AD RMS

其他參考資料

目錄