Služba Federation Service je služba rolí v rámci služby AD FS (Active Directory Federation Services), kterou lze nainstalovat nezávisle na ostatních službách rolí služby AD FS. Služba Federation Service pracuje jako služba tokenů zabezpečení. Při nainstalování služby rolí služby Federation Service v počítači se tento počítač stane federačním serverem. V tomto počítači bude také v nabídce Nástroje pro správu k dispozici modul snap-in Služba AD FS (Active Directory Federation Services). Další informace o modulu snap-in Služba AD FS naleznete v tématu Použití modulu snap-in Služba AD FS (Active Directory Federation Services).
Služba Federation Service je navržena tak, že používá službu AD FS k zajištění tokenů podle požadavků na tokeny zabezpečení. Na základě tohoto postupu mohou domény a doménové struktury služby Active Directory splňovat následující funkce:
-
Zprostředkovatelé identit, kteří mohou vytvořit federaci s kompatibilními partnery poskytujícími účty nebo prostředky. Služba Federation Service může jako zprostředkovatel identit poskytovat identity služby Active Directory v rámci Internetu a vytvářet interakce s aplikacemi u kompatibilních zprostředkovatelů služeb.
-
Zprostředkovatelé služeb, kteří mohou vytvořit federaci s kompatibilními partnery poskytujícími účty nebo prostředky. Služba Federation Service může jako zprostředkovatel služeb umožnit identitám z jiné organizace přístup k partnerským aplikacím systému Windows a technologie ASP.NET.
-
Zprostředkovatelé tokenů zabezpečení pro aplikace kompatibilní se specifikací WS-F PRP (WS-Federation Passive Requestor Profile).
Jako partner poskytující účty umožňuje služba Federation Service uživatelům získat přístup k prostředkům v organizaci partnera. Služba Federation Service reaguje na požadavek od partnera poskytujícího prostředky tak, že shromáždí a ověří pověření uživatele oproti službě AD DS nebo instanci služby AD LDS (Active Directory Lightweight Directory Services). Služba Federation Service umožňuje naplnit sadu deklarací organizace, které jsou založeny na atributech protokolu LDAP (Lightweight Directory Access Protocol) uživatelského účtu. Deklarace organizace jsou pak namapovány na odpovídající deklarace partnera poskytujícího prostředky a zabaleny do tokenu zabezpečení, který je podepsán podpisovým certifikátem tokenu služby Federation Service. Výsledný token zabezpečení je odeslán jako odpověď na původní požadavek partnera poskytujícího prostředky. Tento partner potom na základě tokenu umožní přístup danému uživateli.
Služba Federation Service ve funkci partnera poskytujícího prostředky splňuje opačnou roli. Pokud se uživatel pokusí získat přístup k aplikací chráněné službou AD FS, určí služba Federation Service, který partner poskytující účty by měl uživatele ověřit. Potom danému partnerovi odešle požadavek na ověření. V okamžiku, kdy je uživateli vrácen token zabezpečení, ověří služba Federation Service, zda byl tento token podepsán příslušným partnerem správně. Potom z tokenu extrahuje deklarace. Tyto deklarace jsou namapovány na deklarace organizace a jsou použity zásady filtrování pro konkrétní aplikaci. Filtrované deklarace organizace jsou zabaleny do tokenu zabezpečení, který je podepsán podpisovým certifikátem tokenů služby Federation Service nebo chráněn klíčem relace Kerberos pro webovou aplikaci. Výsledný token zabezpečení je odeslán zpět na adresu URL (Uniform Resource Locator) původní aplikace. Aplikace potom na základě tokenu umožní přístup danému uživateli.
Služba AD FS používá protokol WS-F PRP pro přenos deklarací v tokenech zabezpečení, které byly vydány službou Federation Service pro webovou aplikaci. Další informace o specifikaci WS-F PRP naleznete v tématu Zdroje informací pro službu AD FS.
Tyto deklarace jsou původně naplněny z úložišť účtů, a to buď úložišť účtů služby AD DS nebo AD LDS. Služba Federation Service vydává tokeny na základě předložených pověření. Po ověření pověření uživatele v úložišti účtů jsou deklarace pro uživatele generovány podle pravidel zásad důvěryhodnosti. Služba Federation Service mapuje příchozí deklarace do k odchozím deklaracím, které odpovídají příslušnému partnerovi poskytujícímu prostředky. Výsledná mapování deklarací jsou přidána do tokenu zabezpečení, který je vydán partnerovi poskytujícímu prostředky. Další informace o deklaracích naleznete v tématu Principy deklarací.
Po ověření tokenu službou Federation Service je vytvořen soubor cookie ověření, který je zapsán do prohlížeče klienta. Při každém ověření klienta používá služba Federation Service tento soubor cookie, takže klient nemusí zadávat pověření znovu. Tím je umožněno jednotné přihlášování (SSO). Další informace o souborech cookie naleznete v tématu Principy souborů cookie používaných službou AD FS.
Webové stránky služby Federation Service
Služba Federation Service poskytuje webovou stránku, na níž se uživateli zobrazí výzva k výběru příslušného partnera poskytujícího účty, který může uživatele ověřit. Služba Federation Service zároveň poskytuje webovou stránku, na níž se zobrazí výzva k zadání pověření uživatele, jako jsou například uživatelské jméno a heslo u ověření formulářů. K dispozici je také webová stránka, která podporuje integrované ověřování systému Windows.
Kromě webových stránek poskytuje služba Federation Service webovou službu Microsoft ASP.NET, která zpracovává požadavky klienta nebo proxy federačního serveru. Proxy federačního serveru je umístěn v hraniční síti. Funguje jako prostředník mezi klientem v Internetu a službou Federation Service v intranetu. Další informace o roli proxy federačního serveru naleznete v tématu Principy služby rolí FSP (Federation Service Proxy).
Služba Federation Service odpovídá na dva základní typy požadavků:
-
požadavky na vydání tokenů zabezpečení,
-
požadavky na načtení dat týkajících se zásad důvěryhodnosti.
Vyhledání partnera poskytujícího účty
Vyhledání partnera poskytujícího účty je proces, při kterém mohou uživatelé zadat, kterého partnera poskytujícího účty preferují pro ověření v případě, že je nakonfigurován více než jeden partner poskytující účty. Federační server nabízí tuto možnost výběru prohlížeči klienta ve formě rozevíracího seznamu, který obsahuje názvy partnerů poskytujících účty tak, jak jsou nakonfigurovány v zásadách důvěryhodnosti.
Jestliže partnera poskytujícího účty vyhledávat nechcete, můžete do řetězce dotazu pro prostředek, k němuž získáváte přístup, zadat parametr whr
. Například:
https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>
kde <accountpartner>
označuje sféru partnera poskytujícího účty pro klienta.
Pokud používáte parametr whr
, odebere server federace prostředku tento parametr a zapíše do prohlížeče klienta soubor cookie, takže toto nastavení je uchováno pro budoucí požadavky. Potom je požadavek zpracováván stejným způsobem, jako kdyby uvedený parametr nebyl zadán.