Služba AD FS (Active Directory Federation Services) může fungovat pouze v případě, že servery se systémem Windows Server 2008 nebo Windows Server 2008 R2 jsou nakonfigurovány s odpovídající službou rolí AD FS. Služby rolí AD FS jsou jednotlivé komponenty služby AD FS, které nainstalujete na serverech se systémem Windows Server 2008 nebor Windows Server 2008 R2. Pomocí Průvodce přidáním služeb rolí můžete nainstalovat následující služby rolí AD FS:

  • služba Federation Service,

  • služba FSP (Federation Service Proxy),

  • agent pracující s deklaracemi,

  • agent pracující s tokeny systému Windows.

V závislosti na prostředí ve vaší organizaci je nutné nasadit specifické role serveru služby AD FS. V následující části jsou popsány role serveru spojené s jednotlivými službami rolí AD FS, které můžete použít k vytvoření řešení správy federovaných identit služby AD FS.

Federační servery

Federační servery hostují službu rolí Federation Service služby AD FS. Tyto servery směrují požadavky na ověření z uživatelských účtů v jiných organizacích (v návrzích jednotného přihlášování k webu (SSO) ve federaci) nebo z klientů, kteří mohou být umístěni kdekoli v Internetu (v návrhu jednotného přihlášení k webu). Další informace o různých návrzích služby AD FS naleznete v tématu Principy návrhu federačních služeb.

Federační servery také hostují službu tokenů zabezpečení (STS), která vydává tokeny založené na pověřeních (například uživatelské jméno a heslo), jež jsou jí předložena. Po ověření pověření (přihlášením uživatele) jsou deklarace pro uživatele shromážděny prostřednictvím prozkoumání atributů, které jsou pro uživatele uloženy v službách AD DS (Active Directory Domain Services) a AD LDS (Active Directory Lightweight Directory Services).

Další informace o federačních serverech naleznete v tématu Principy služby rolí služby Federation Service.

Proxy federačního serveru

Proxy federačního serveru hostují službu rolí FSP (Federation Service Proxy) služby AD FS. Proxy federačního serveru je možné použít v hraniční síti organizace (také známá jako demilitarizovaná zóna, extranet nebo chráněná podsíť) k předávání požadavků federačním serverům, které nejsou přístupné z Internetu.

Poznámka

Ačkoli můžete nasadit samostatné servery pro hostování služby rolí FSP (Federation Service Proxy), není nutné nasadit samostatný server jako proxy federačního serveru v doménové struktuře intranetu partnera poskytujícího účty nebo prostředky. Federační server provádí tuto roli automaticky.

Další informace o proxy federačního serveru naleznete v tématu Principy služby rolí FSP (Federation Service Proxy).

Webové servery s povolenou službou AD FS

Webové servery, které hostují službu rolí webového agenta služby AD FS pracující s deklaracemi nebo tokeny systému Windows, se označují jako webové servery s povolenou službou AD FS. Tyto servery zajišťují zabezpečený přístup k webovým aplikacím, které jsou hostovány na webových serverech. Webový agent služby AD FS spravuje tokeny zabezpečení a soubory cookie ověření, které jsou odeslány na webový server s povolenou službou AD FS. Webový server s povolenou službou AD FS vyžaduje vztah se službou Federation Service, aby všechny tokeny ověření pocházely ze služby Federation Service.

Další informace o webových serverech s povolenou službou ADFS naleznete v tématu Principy služby rolí webového agenta služby AD FS.


Obsah