Pokud plánujete spolupráci mezi organizacemi (na základě federace) pomocí služby AD FS (Active Directory Federation Services), nejdříve určete, zda vaše organizace bude hostovat webový prostředek, ke kterému budou mít přístup ostatní organizace v Internetu, nebo naopak. Toto rozhodnutí určuje způsob, jakým je nutné nasadit službu AD FS, a je zásadní pro plánování infrastruktury služby AD FS.

Pro návrhy federace, jako například jednotné přihlášování (SSO) k webu ve federaci a jednotné přihlášování (SSO) k webu ve federaci s důvěryhodností doménové struktury (ale nikoli návrh jednotného přihlášení k webu), používá služba AD FS termíny, jako například partner poskytující účty a partner poskytující prostředky, k usnadnění rozlišení organizace, která hostuje účty (partner poskytující účty) a organizace, která hostuje webové prostředky (partner poskytující prostředky). Termín federační vztah důvěryhodnosti je používán službou AD FS pro označení jednosměrného nepřenositelného vztahu vytvořeného mezi partnerem poskytujícím účty a partnerem poskytujícím prostředky.

Další informace o návrzích služby AD FS naleznete v tématu Principy návrhu federačních služeb.

V následujících částech jsou popsány některé pojmy související s partnery poskytujícími účty a partnery poskytujícími prostředky.

Partner poskytující účty

Partner poskytující účty představuje organizaci ve federačním vztahu důvěryhodnosti, která fyzicky ukládá uživatelské účty do úložiště služby AD DS (Active Directory Domain Services) nebo AD LDS (Active Directory Lightweight Directory Services). Partner poskytující účty zajišťuje shromažďování a ověřování pověření uživatelů, vytváření deklarací pro uživatele a zabalení deklarací do tokenů zabezpečení. Tyto tokeny mohou být poskytovány napříč federačním vztahem důvěryhodnosti pro přístup k webovým prostředkům, které jsou umístěny v organizaci partnera poskytujícího prostředky.

Jinými slovy, partner poskytující účty představuje organizaci, pro jejíž uživatele vystavuje strana účtů služby Federation Service tokeny zabezpečení. Služba Federation Service v organizaci partnera poskytujícího účty ověřuje místní uživatele a vytváří tokeny zabezpečení, které jsou používány partnerem poskytujícím prostředky při autorizačních rozhodnutích.

Ve vztahu ke službě AD DS je partner poskytující účty ve službě AD FS ekvivalentní jediné doménové struktuře služby AD DS, jejíž účty potřebují přístup k prostředkům fyzicky umístěným v jiné doménové struktuře. Účty v této ukázkové doménové struktuře mohou přistupovat k prostředkům v doménové struktuře prostředku, pouze pokud mezi dvěma doménovými strukturami existuje externí vztah důvěryhodnosti nebo vztah důvěryhodnosti doménových struktur a pokud prostředky, ke kterým se uživatelé snaží získat přístup, byly nastaveny pomocí příslušných autorizačních oprávnění.

Poznámka

Tato analogie je striktně určena pro zdůraznění podobnosti vztahu mezi účtem a partnerskými organizacemi ve službě AD FS a vztahu mezi doménovou strukturou účtu a doménovou strukturou prostředku ve službě AD DS. Externí vztahy důvěryhodnosti a vztahy důvěryhodnosti doménových struktur nejsou pro fungování služby AD FS vyžadovány.

Vytváření deklarací pro partnera poskytujícího prostředky

Deklarace je prohlášení, které server učiní o klientovi (například název, identita, klíč, skupina, oprávnění nebo možnosti). Partner poskytující účty vytváří deklarace, které využívá služba Federation Service partnera poskytujícího prostředky. Následující seznam popisuje různé typy deklarací, které mohou být konfigurovány pro partnera poskytujícího účty na straně federačního serveru poskytujícího prostředky:

  • Deklarace hlavního názvu uživatele (UPN)

    Při konfiguraci partnera poskytujícího účty můžete určit seznam domén a přípon hlavního názvu uživatele (UPN), které mohou být přijaty ze strany partnera poskytujícího účty. Jestliže je přijata identita typu hlavní název uživatele, jejíž součást domény není v seznamu, požadavek je odmítnut.

  • Deklarace e-mailu

    Při konfiguraci partnera poskytujícího účty můžete určit seznam e-mailových domén a přípon, které mohou být přijaty ze strany partnera poskytujícího účty. Stejně jako u deklarace hlavního názvu uživatele (UPN), pokud je přijata identita typu e-mail, jejíž součást domény není v seznamu, je požadavek odmítnut.

  • Deklarace běžného názvu

    Při konfiguraci partnera poskytujícího účty můžete určit, zda mohou být ze strany partnera poskytujícího účty přijímány deklarace běžného názvu. Tento typ deklarace nemusí být namapován, pokud je povolen, je deklarace jednoduše předána.

  • Deklarace skupiny

    Při konfiguraci partnera poskytujícího účty můžete určit sadu příchozích deklarací skupiny, které mohou být přijaty ze strany partnera poskytujícího účty. Potom můžete každé možné příchozí skupině přiřadit deklaraci skupiny organizace. Pamatujte na to, že se tak vytvoří mapování skupiny. Jestliže je zaznamenána příchozí skupina bez mapování, je zahozena.

  • Vlastní deklarace

    Při konfiguraci partnera poskytujícího účty můžete určit sadu příchozích názvů vlastních deklarací, které jsou přijímány ze strany partnera poskytujícího účty. Potom lze každý možný příchozí název namapovat na vlastní deklaraci organizace. Pamatujte na to, že se tak vytvoří mapování názvu. Jestliže je zaznamenána příchozí vlastní deklarace bez mapování, je zahozena.

Partner poskytující prostředky

Partner poskytující prostředky je druhým organizačním partnerem ve federačním vztahu důvěryhodnosti. Partner poskytující prostředky je organizace, kde jsou umístěny webové servery s povolenou službou AD FS, které hostují jednu nebo několik webových aplikací (prostředků). Partner poskytující prostředky důvěřuje partnerovi poskytujícímu účty při ověřování uživatelů. Partner poskytující účty využívá při autorizačních rozhodnutích deklarace, které jsou zabaleny v tokenech zabezpečení přicházejících od uživatelů na straně partnera poskytujícího účty.

Jinými slovy, partner poskytující prostředky představuje organizaci, jejíž webové servery s povolenou službou AD FS jsou chráněny stranou prostředků služby Federation Service. Služba Federation Service na straně partnera poskytujícího prostředky používá tokeny zabezpečení, které jsou vytvářeny partnerem poskytujícím účty pro autorizační rozhodnutí webových serverů s povolenou službou AD FS umístěných na straně partnera poskytujícího prostředky.

Pokud má webový server s povolenou službou AD FS v organizaci partnera poskytujícího prostředky fungovat jako prostředek služby AD FS musí být na tomto serveru nainstalována komponenta webového agenta služby AD FS. Webové servery, které fungují jako prostředky AD FS, mohou hostovat aplikace pracující s deklaracemi nebo s tokeny systému Windows NT.

Poznámka

Pokud je na webovém serveru s povolenou službou AD FS hostována aplikace pracující s tokeny systému Windows NT, může být pro doménovou strukturu služby AD FS v organizaci partnera poskytujícího prostředky požadován účet prostředku.

Ve vztahu ke službě AD DS je partner poskytující prostředky ekvivalentní jediné doménové struktuře, jejíž prostředky jsou k dispozici prostřednictvím externího vztahu důvěryhodnosti doménových struktur pro účty, které jsou fyzicky uloženy v jiné doménové struktuře.

Poznámka

Tato analogie je striktně určena pro zdůraznění podobnosti vztahu mezi účtem a partnerskými organizacemi ve službě AD FS a vztahu mezi doménovou strukturou účtu a doménovou strukturou prostředku ve službě AD DS. Externí vztahy důvěryhodnosti a vztahy důvěryhodnosti doménových struktur nejsou pro fungování služby AD FS vyžadovány.

Využívání deklarací, které pocházejí od partnera poskytujícího účty

Partner poskytující prostředky využívá deklarace, které jsou vytvářeny a zabaleny do tokenů zabezpečení službou Federation Service partnera poskytujícího účty. Následující seznam popisuje způsob, jakým mohou být deklarace odesílány partnerovi poskytujícímu prostředky.

  • Deklarace hlavního názvu uživatele (UPN)

    Při konfiguraci partnera poskytujícího prostředky můžete určit, zda má být deklarace hlavního názvu uživatele (UPN) odeslána partnerovi poskytujícímu prostředky. Dále můžete určit mapování přípon tak, aby jakákoli přípona byla namapována na určenou odchozí příponu. Například přípony v názvu adresa@prodej.example.com lze namapovat na adresa@example.com. Pamatujte, že může být určena pouze jedna odchozí přípona.

  • Deklarace e-mailu

    Při konfiguraci partnera poskytujícího prostředky můžete určit, zda má být e-mailová deklarace odeslána partnerovi poskytujícímu prostředky. Dále můžete určit mapování přípon tak, aby jakákoli přípona byla namapována na určenou příponu. Například přípony v názvu adresa2@prodej.example.com lze namapovat na adresa2@example.com. Pamatujte, že může být určena pouze jedna odchozí přípona.

  • Deklarace běžného názvu

    Při konfiguraci partnera poskytujícího prostředky můžete určit, zda mohou být deklarace běžného názvu odeslány partnerovi poskytujícímu prostředky. Tento typ deklarace nemusí být namapován, pokud je povolen, je deklarace jednoduše předána partnerovi poskytujícímu prostředky.

  • Deklarace skupiny

    Při konfiguraci partnera poskytujícího prostředky můžete určit sadu odchozích deklarací skupiny, které budou přijaty ze strany partnera poskytujícího prostředky. Potom můžete každé možné odchozí deklaraci skupiny přiřadit deklarace skupiny organizace. Pamatujte na to, že se tak vytvoří sada mapování skupin. Deklarace skupiny organizace, které neodpovídají odchozí deklaraci skupiny, nejsou vytvořeny.

  • Vlastní deklarace

    Při konfiguraci partnera poskytujícího prostředky můžete určit sadu odchozích vlastních deklarací, které jsou přijímány ze strany partnera poskytujícího prostředky. Každou možnou odchozí vlastní deklaraci můžete namapovat na vlastní deklaraci organizace. Pamatujte na to, že se tak vytvoří sada mapování názvů. Vlastní deklarace organizace, které neodpovídají odchozí vlastní deklaraci, nejsou vytvořeny.

Rozšířené osobní údaje identity

Možnost Rozšířené osobní údaje identity je volitelné nastavení, které můžete nakonfigurovat na straně partnera poskytujícího prostředky v zásadách důvěryhodnosti. Jestliže je možnost Rozšířené osobní údaje identity povolena, toto nastavení vyhledává část uživatelského jména odchozích deklarací hlavního názvu uživatele (UPN) a e-mailových deklarací. Nahrazuje běžný název náhodnou hodnotou.

Účelem této funkce je zabránit:

  • Partnerovi poskytujícímu prostředky vztahovat deklarace identity na identifikovatelné osobní údaje uživatele.

  • Tajné dohodě mezi partnery týkající se vztahování deklarace identity na identifikovatelné osobní údaje uživatele. Toto nastavení vytvoří pro partnera jedinečný algoritmus hash tak, aby hodnoty deklarace identity byly rozdílné napříč různými sférami důvěryhodnosti vztahu partnerů, ale aby byly konzistentní napříč relacemi jednoho partnera.

  • Jednoduchým slovníkovým útokům proti algoritmu hash obohacením hodnoty uživatele daty ze zásad důvěryhodnosti - daty, která nejsou známa partnerům poskytujícím prostředky.


Obsah