Služba AD FS (Active Directory Federation Services) používá terminologii z několika různých technologií, včetně certifikačních služeb, internetové informační služby, služby AD DS (Active Directory Domain Services), služby AD LDS (Active Directory Lightweight Directory Services) a webových služeb (WS-*). Tyto termíny jsou popsány v následující tabulce.
Termín | Popis |
---|---|
Federační server účtů |
Federační server, který je umístěn v podnikové síti organizace partnera poskytujícího účty. Federační server účtů vydává uživatelům tokeny zabezpečení na základě ověření uživatele. Server ověřuje uživatele, vyhledává v úložišti účtů odpovídající atributy a informace o členství ve skupinách a generuje a podepisuje tokeny zabezpečení, které jsou vráceny uživateli pro použití v jeho vlastní organizaci nebo pro odeslání do partnerské organizace. |
Proxy federačního serveru účtů |
Proxy federačního serveru umístěné v hraniční síti organizace partnera poskytujícího účty. Proxy federačního serveru účtů shromažďuje pověření pro účely ověření od klienta, který se přihlašuje pomocí Internetu (nebo z hraniční sítě), a předává tato pověření na federační server účtů. |
Partner poskytující účty |
Federační partner, který je službou Federation Service považován za důvěryhodného pro zajištění tokenů zabezpečení pro uživatele (tj. pro uživatele v organizaci partnera poskytujícího účty), aby mohli získat přístup k webovým aplikacím partnera poskytujícího prostředky. |
Služba AD FS (Active Directory Federation Services) |
Komponenta v systému Windows Server 2003 R2, Windows Server 2008 a Windows Server 2008 R2, která poskytuje technologie jednotného přihlašování (SSO) k webu pro ověření uživatele v několika webových aplikacích během jedné relace online. Služba AD FS toto umožňuje pomocí bezpečného sdílení digitální identity a oprávnění přes hranice zabezpečení a rozlehlé sítě. Služba AD FS podporuje protokol WS-F PRP (WS-Federation Passive Requestor Profile). |
Webový agent služby AD FS |
Instalovatelná služba rolí služby AD FS, která se používá k vytvoření webového serveru s povolenou službou AD FS. Webový agent služby AD FS přijímá příchozí tokeny zabezpečení a soubory cookie ověření, které jsou podepsány platným federačním serverem, a povoluje nebo zamítá uživateli přístup k chráněným aplikacím, současně používá nastavení řízení přístupu specifická pro jednotlivé aplikace. |
Webový server s povolenou službou AD FS |
Webový server se systémem Windows Server 2003 R2, Windows Server 2008 nebo Windows Server 2008 R2, nakonfigurovaný s odpovídajícím softwarem webového agenta služby AD FS (buď agenta pracujícího s deklaracemi nebo agenta pracujícího s tokeny systému Windows), který je nutný pro ověření a autorizaci federovaného přístupu k místně hostovaným webovým aplikacím. |
Deklarace |
Prohlášení, které server učiní o klientovi (například jméno, identita, klíč, skupina, oprávnění nebo možnosti). |
Aplikace pracující s deklaracemi |
Aplikace s technologií Microsoft ASP.NET, které provádějí ověření na základě deklarací v tokenu zabezpečení služby AD FS. |
Mapování deklarací |
Akt mapování, odebrání nebo filtrace deklarací, nebo předávání deklarací mezi různými sady deklarací. |
Webová stránka pro vyhledání partnera poskytujícího klientské účty |
Webová stránka, která spolupracuje s uživatelem a určuje, ke kterému partnerovi poskytujícímu účty uživatel náleží, pokud služba AD FS nemůže automaticky zjistit, který z partnerů poskytujících účty by měl uživatele ověřit. |
Certifikát pro ověřování klientů |
Certifikát ve službě AD FS, který používají proxy federačního serveru k ověření klienta pro službu Federation Service. |
Webová stránka odhlášení klienta |
Pokud služba AD FS provede operaci odhlášení, zobrazí se webová stránka obsahující informace pro uživatele o provedeném odhlášení. |
Webová stránka přihlášení klienta |
Pokud služba AD FS shromáždí pověření klienta, zobrazí se webová stránka pro interakci s uživatelem. Webová stránka přihlášení klienta může pomocí potřebné obchodní logiky určit, jaký typ pověření je třeba získat. |
Federovaná aplikace |
Webová aplikace, ve které je povolena služba AD FS, což znamená, že k této aplikaci mohou získat přístup federovaní uživatelé. |
Federovaný uživatel |
Uživatel, jehož účet je umístěn v organizaci partnera poskytujícího účty, který může získat přístup k federovaným aplikacím umístěným v organizaci partnera poskytujícího účty. |
Federace |
Dvojice sfér nebo domén, které vytvořily federační vztah důvěryhodnosti. |
Federační server |
Počítač se systémem Windows Server 2003 R2, Windows Server 2008 nebo Windows Server 2008 R2, který byl nakonfigurován pro hostování komponenty Federation Service služby AD FS. Federační servery mohou ověřit nebo směrovat požadavky od uživatelských účtů v jiných organizacích a od klientů, kteří mohou být umístěni kdekoli v Internetu. |
Proxy federačního serveru |
Počítač se systémem Windows Server 2003 R2, Windows Server 2008 nebo Windows Server 2008 R2, který byl nakonfigurován pro hostování komponenty FSP (Federation Service Proxy) služby AD FS. Proxy federačního serveru zajišťují zprostředkovatelské služby proxy mezi klientem v Internetu a federačním serverem, který je umístěn za bránou firewall v počítačové síti. |
Služba Federation Service |
Instalovatelná služba rolí služby AD FS, která se používá k vytvoření federačního serveru. Pokud je služba Federation Service nainstalována, zajišťuje tokeny podle požadavků na tokeny zabezpečení. Je možné nakonfigurovat několik federačních serverů, které zajišťují odolnost proti chybám a vyrovnávání zatížení sítě pro jednu službu Federation Service. |
Služba FSP (Federation Service Proxy) |
Instalovatelná služba rolí služby AD FS, která se používá k vytvoření proxy federačního serveru. Pokud je služba rolí FSP nainstalována, používá protokoly WS-F PRP ke shromáždění informací o pověření uživatele z klientů prohlížeče a webových aplikací a k odeslání těchto informací do služby Federation Service jejich jménem. |
Deklarace organizací |
Deklarace ve zprostředkující nebo normalizované formě v oboru názvů organizace. |
Pasivní klient |
Prohlížeč protokolu HTTP (Hypertext Transfer Protocol) umožňující využití často podporovaného protokolu HTTP, který může používat soubory cookie. Služba AD FS v systému Windows Server 2003 R2, Windows Server 2008 a Windows Server 2008 R2 podporuje pouze pasivní klienty a používá specifikaci WS-F PRP. |
Účet prostředku |
Jeden zaregistrovaný objekt zabezpečení, obvykle uživatelský účet, který je vytvořen ve službě AD FS a slouží k mapování k jednomu federovanému uživateli. Účet prostředku je požadován v případě vytvoření federace aplikací pracujících s tokeny systému Windows NT, protože agent pracující s tokeny systému Windows se musí odkazovat na zaregistrovaný objekt zabezpečení služby Active Directory v doménové struktuře partnera poskytujícího prostředky za účelem vytvoření tokenu přístupu systému Windows NT a vynucení oprávnění řízení přístupu k aplikaci. |
Federační server prostředků |
Federační server v organizaci partnera poskytujícího prostředky. Federační server prostředků obvykle vydává tokeny zabezpečení pro uživatele na základě tokenu zabezpečení vydaného federačním serverem účtů. Server:
|
Proxy federačního serveru prostředků |
Proxy federačního serveru umístěné v hraniční síti organizace partnera poskytujícího prostředky. Proxy federačního serveru prostředků provádí vyhledání partnera poskytujícího účty pro klienty v Internetu a směřuje příchozí tokeny zabezpečení na federační server prostředků. |
Skupina prostředků |
Jedna skupina zabezpečení, která je vytvořena ve službě AD DS a ke které jsou mapovány příchozí deklarace skupiny (deklarace skupiny služby AD FS od partnera poskytujícího účty). Po mapování federovaných uživatelům ke skupině prostředků mohou webové servery s povolenou službou AD FS provést ověřovací rozhodnutí pro aplikace pracující s tokeny systému Windows NT týkající se oprávnění přístupu přiřazených k identifikátoru zabezpečení (SID) skupiny prostředků. |
Partner poskytující prostředky |
Federační partner, který má vztah důvěryhodnosti se službou Federation Service vydávající tokeny zabezpečení založené na deklaracích pro webové aplikace (tj. aplikace v organizaci partnera poskytujícího prostředky), k nimž mohou získat přístup uživatelé v rámci partnera poskytujícího účty. |
Token zabezpečení |
Šifrovaně podepsaná datová jednotka, která vyjadřuje jednu nebo více deklarací. Ve službě AD FS označuje podepsaný token zabezpečení, že federační server, který vydal token zabezpečení, úspěšně ověřil pravost federovaného uživatele. |
Služba tokenů zabezpečení (STS) |
Webová služba, která vystavuje tokeny zabezpečení. Služba STS vyjadřuje stanoviska na základě důkazu, kterému důvěřuje, vůči všem, pro které je důvěryhodná (nebo vůči určitým příjemcům). Za účelem navázání důvěryhodného vztahu požaduje služba důkaz, například podpis prokazující znalost tokenu zabezpečení nebo sady tokenů zabezpečení. Služba může sama generovat tokeny nebo se může spolehnout na samostatnou službu STS, která vystaví token zabezpečení s vlastním prohlášením o důvěryhodnosti. To je základem zprostředkování vztahu důvěryhodnosti. Ve službě AD FS představuje služba Federation Service službu STS. |
Ověřovací certifikát serverů |
Webové servery s povolenou službou AD FS, federační servery a proxy federačních serverů používají ověřovací certifikáty serverů k zabezpečení přenosu webových služeb zajišťujících komunikaci mezi servery navzájem a komunikaci s webovými klienty. |
Serverová farma |
Ve službě AD FS je to sada federační serverů s vyrovnanou zátěží, proxy federačních serverů nebo webových serverů, které hostují webového agenta služby AD FS. |
Jednotné přihlašování (SSO) |
Optimalizace posloupnosti ověřování, která umožňuje zbavit koncového uživatele nutnosti provádět opakovaně přihlašovací akce. |
Podpisový certifikát tokenu |
Certifikát X.509, jehož přidruženou dvojici veřejného a privátního klíče používají federační servery k digitálními podpisu všech tokenů zabezpečení, které federační servery vytvoří. |
Identifikátor URI (Uniform Resource Identifier) |
Kompaktní řetězec znaků, který identifikuje abstraktní nebo fyzický prostředek. Identifikátory URI jsou popsány v dokumentu RFC (Request for Comments) 2396 ( |
Ověřovací certifikát |
Certifikát, který představuje část veřejného klíče podpisového certifikátu tokenu. Ověřovací certifikát je uložen v zásadách důvěryhodnosti a používá jej federační server v jedné organizaci k ověření, zda příchozí tokeny zabezpečení byly vydány platnými federačními servery ve farmě organizace a v jiných organizacích. |
Webové služby (WS-*) |
Specifikace architektury webových služeb, která je založena na oborových standardech, jako je SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) a UDDI (Universal Description, Discovery, and Integration). Specifikace WS-* představuje základ úplných profesionálních řešení umožňujících spolupráci, která jsou určena pro rozlehlou síť a která mají schopnost spravovat federovanou identitu a zabezpečení. Model webových služeb je založen na myšlence, že systémy rozlehlých sítí se vytvářejí v různých jazycích a s různými modely programování, které se spouštějí a k nimž se přistupuje na mnoha různých typech zařízení. Webové služby jsou prostředkem pro vytváření distribuovaných systémů, které se mohou vzájemně snadno a efektivně připojovat v síti Internet a spolupracovat spolu bez ohledu na to, v jakém jazyku jsou napsány a na jaké platformě jsou spuštěny. |
Specifikace Web Services Security (WS-Security) |
Řada specifikací, která popisuje, jak připojovat podpisy a šifrovací hlavičky ke zprávám SOAP. Specifikace WS-Security dále popisuje, jak lze připojit tokeny zabezpečení, včetně binárních tokenů zabezpečení, například certifikáty X.509 a lístky protokolu Kerberos, ke zprávám. Ve službě AD FS se specifikace WS-Security používá v případě, když protokol Kerberos podepisuje tokeny zabezpečení. |
Aplikace pracující s tokeny systému Windows NT |
Aplikace systému Windows, která používá k autorizaci uživatelů tokeny systému Windows NT. |
Specifikace WS-Federation |
Specifikace definující model a sadu zpráv pro zprostředkování důvěryhodnosti, federace identit a informací o ověření v různých sférách důvěryhodnosti. Specifikace WS-Federation identifikuje dva zdroje identit a požadavků na ověření ve sférách důvěryhodnosti:
|
Protokol WS-F PRP (WS-Federation Passive Requestor Profile) |
Implementace specifikace WS-Federation, která navrhuje standardní protokol pro to, jak pasivní klienti (například webové prohlížeče) aplikují prostředí federace. V rámci tohoto protokolu se očekává, že žadatele webové služby přijmou nové mechanismy zabezpečení a budou spolupracovat se zprostředkovateli webových služeb. |