Služba AD FS (Active Directory Federation Services) podporuje návrhy federovaných identit (také označovaných jako federační scénáře), které využívají specifikaci WS-Federation (Web Services Federation) a protokoly WS-F PRP (WS-Federation Passive Requestor Profile) a WS-Federation Passive Requestor Interoperability Profile. Řešení služby AD FS usnadňuje správcům vyřešit problémy se správou federovaných identit, protože umožňuje organizacím bezpečně sdílet informace o identitě uživatele ve vztahu důvěryhodnosti federace. Následující tři popisy návrhů nasazení znázorňují možnosti použití kombinace rolí serveru služby AD FS k federování identit v závislosti na potřebách organizace. Další informace o různých rolích serveru naleznete v kapitole Principy služeb rolí služby AD FS.
Jednotné přihlášování k webu ve federaci
Návrh jednotného přihlášování (SSO) k federovanému webu zahrnuje zabezpečenou komunikaci, která často začleňuje několik bran firewall, hraniční sítě a servery pro překlad adres IP kromě celé infrastruktury směrování v Internetu. Komunikace prostřednictvím prostředí s jednotným přihlášováním k webu ve federaci může pomoci při podpoře efektivnějších a bezpečnějších transakcí v režimu online mezi organizacemi, které jsou spojeny federačními vztahy důvěryhodnosti.
Jak je vidět na následujícím obrázku, mezi dvěma podniky je možné vytvořit federační vztah důvěryhodnosti. V tomto návrhu směrují federační servery požadavky na ověření od uživatelských účtů ve společnosti Tailspin Toys do webových aplikací, které jsou umístěny v síti společnosti Online Retailer.
Federační servery ověří požadavky od partnerů se vztahem důvěryhodnosti na základě jejich pověření. Výměna reprezentací pověření proběhne ve formě tokenů zabezpečení.
Chcete-li zvýšit úroveň zabezpečení, je možné použít proxy federačního serveru k přenesení požadavků na federační servery, které nejsou přímo přístupné z Internetu.
Jednotné přihlášování k webu ve federaci s důvěryhodností doménové struktury
Jednotné přihlášování k webu ve federaci s důvěryhodností doménové struktury zahrnuje dvě aktivní doménové struktury v jedné organizaci, jak je znázorněno na obrázku. Jedna z doménových struktur je umístěna v hraniční síti organizace (také známé jako demilitarizovaná zóna, extranet nebo chráněná podsíť). Druhá doménová struktura je umístěna v interní síti. Jednosměrná doménová struktura je vytvořena tak, aby doménová struktura v hraniční síti důvěřovala doménové struktuře v interní síti. Federační servery jsou instalovány v obou sítích. Je vytvořen federační vztah důvěryhodnosti tak, aby bylo možné pro přístup k webové aplikaci v hraniční síti využít účty v interní doménové struktuře bez ohledu na to, zda získávají přístup k serveru z doménové struktury intranetu nebo z Internetu.
V tomto návrhu mohou externí uživatelé, například zákazníci, získat přístup k webovým aplikacím prostřednictvím ověření na externím federačním serveru účtů, který je umístěn v hraniční síti. Externí uživatelé mají uživatelské účty v hraniční síti doménové struktury služby Active Directory. Interní uživatelé, jako jsou zaměstnanci, mohou také získat přístup k webové aplikaci ověřením na interním federačním serveru účtů, který je umístěn v interní síti. Interní uživatelé mají účty v interní doménové struktuře služby Active Directory.
Pokud webová aplikace pracuje s tokeny systému Windows NT, přeruší webový agent služby AD FS spuštěný na serveru webové aplikace požadavky a vytvoří tokeny zabezpečení systému Windows NT, které jsou nutné k tomu, aby webová aplikace mohla provést rozhodnutí o ověření. Pro externí uživatele je to možné, protože webový server se službou AD FS, který hostuje aplikaci pracující s tokeny systému Windows NT, je připojen k doméně v externí doménové struktuře. U interních uživatelů je to možné prostřednictvím vztahu důvěryhodnosti doménových struktur, které existují mezi hraniční a interní doménovou strukturou.
Pokud webová aplikace pracuje s deklaracemi, nemusí webový agent služby AD FS spuštěný na serveru webové aplikace vytvářet pro uživatele tokeny zabezpečení systému Windows NT. Webový agent služby AD FS může vystavit příchozí deklarace, což umožňuje, že aplikace provede rozhodnutí o ověření na základě obsahu tokenu zabezpečení, který je k dispozici na federačním serveru účtů. Výsledkem je, že pokud webový server služby AD FS používá aplikace pracující s deklaracemi, nemusí být připojen k doméně a není požadován vztah důvěryhodnosti mezi externí a interní doménovou strukturou.
Jednotné přihlášování k webu
V návrhu jednotného přihlášování k webu služby AD FS musí být uživatelé požadující přístupu k několika webovým aplikacím ověřeni pouze jednou. V tomto návrhu jsou všichni uživatelé externí a neexistuje žádný federační vztah důvěryhodnosti. Vzhledem k tomu, že webové servery se službou AD FS musí být přístupné z Internetu a také jsou připojeny do domény služby Active Directory, jsou připojeny do dvou sítí, to znamená, že jsou to servery s více adresami. První síť vede do Internetu (hraniční síť) a zajišťuje tak potřebnou dostupnost připojení. Druhá síť obsahuje doménovou strukturu služby Active Directory (chráněnou síť), která nemá přímý přístup z Internetu. Proxy federačního serveru má také více adres, aby mohl zajistit potřebnou dostupnost připojení k federačnímu serveru a Internetu. V tomto návrhu dochází při umístění federačního serveru do sítě, která není přímo přístupná z Internetu k významnému snížení rizika pro federační server.
