Služba AD FS (Active Directory Federation Services) používá úložiště účtů pro přihlášení uživatelů a extrakci deklarací zabezpečení pro tyto uživatele. Pro jednu službu Federation Service je možné nakonfigurovat několik úložišť účtů. Můžete také definovat jejich prioritu. Služba Federation Service komunikuje s úložišti účtů prostřednictvím protokolu LDAP (Lightweight Directory Access Protocol). Služba AD FS podporuje následující dvě úložiště účtů:

  • Služba AD DS (Active Directory Domain Services)

  • Služba AD LDS (Active Directory Lightweight Directory Services)

Služba AD FS pracuje s celopodnikovým nasazením služby AD DS nebo s instancemi služby AD LDS. Pokud služba AD FS pracuje se službou AD DS, může využít technologie silného ověřování ve službě AD DS, včetně protokolu Kerberos, digitálních certifikátů X.509 a čipových karet. Pokud služba AD FS pracuje se službou AD LDS, používá vazby LDAP jako prostředek pro ověřování uživatelů.

Úložiště účtů služby AD DS

Služba AD FS je úzce integrována se službou AD DS. Služba AD FS vyhledává atributy uživatelů a ověřuje uživatele oproti službě AD DS. Služba AD FS také používá Integrované ověřování systému Windows a tokeny zabezpečení, které vytvoří služba AD DS.

Pro přihlášení uživatele ke službě AD DS je nutné, aby uživatelské jméno bylo ve formátu hlavního názvu uživatele (UPN) (uzivatel@adatum.com) nebo ve formátu názvu účtu SAM (Security Accounts Manager) (adatum\uzivatel).

Tokeny přístupu jsou generovány při přihlášení uživatele. Obsahují identifikátory zabezpečení (SID) pro uživatele a všechny skupiny, ke kterým uživatel náleží. Kopie tokenu přístupu je přiřazena ke všem procesům, které uživatel spustí.

Po přihlášení uživatele a jeho zosobnění jsou identifikátory zabezpečení (SID) z tokenu přístupu načteny. Identifikátory zabezpečení jsou potom mapovány k deklaracím skupin organizace.

Upozornění

Pokud ve službě Federation Service poskytující účty povolíte možnost vztahu důvěryhodnosti systému Windows, odesíláte skutečné identifikátory zabezpečení organizaci partnera poskytujícího prostředky přes Internet, což může představovat riziko zabezpečení. Tyto identifikátory zabezpečení jsou součástí tokenu SAML (Security Assertion Markup Language) služby AD FS. Proto tuto možnost povolte pouze v případě, že používáte jednotné přihlášení (SSO) k federovanému webu s návrhem vztahu důvěryhodnosti doménové struktury. Tento návrh je určen pro navázání bezpečné komunikace v rámci jedné organizace.

Z atributů objektu uživatele definovaných ve službě AD DS lze extrahovat deklarace e-mailu, běžného názvu a vlastní deklarace, pokud se účet služby Federation Service používá k vyhledávání objektu pomocí protokolu LDAP.

Je nutné, aby byl účtu služby Federation Service udělen přístup k objektu uživatele. Pokud je objekt uživatele umístěn v doméně, která se liší od domény, kde je umístěn účet služby Federation Service, musí v první doméně platit vztah důvěryhodnosti služby AD DS s druhou doménou.

Neexistuje žádný přímý způsob určení, zda uživatelské jméno existuje ve službě AD DS a ve všech důvěryhodných adresářích (buď přímo nebo tranzitivně). Služba AD DS vrátí autoritativní chybu pouze v případě, že se přihlášení nezdaří v důsledku omezení zásad. Následuje několik příkladů chyb omezení zásad:

  • The account is disabled. (Účet byl zablokován.)

  • The account password has expired. (Doba platnosti hesla účtu vypršela.)

  • The account is not allowed to log on to this computer. (Účet nezískal povolení k přihlášení k tomuto počítači.)

  • The account has logon time restrictions and is not allowed to log on at this time. (U účtu byla nastavena omezení spojená s časem přihlášení. V tomto okamžiku není přihlášení účtu povoleno.)

V opačném případě jsou chyby přihlášení k úložišti účtů služby AD DS vždy neautoritativní a je učiněn pokus o přihlášení k dalšímu účtu podle stanovených priorit. Další informace o chybách přihlášení k úložišti účtů naleznete v tématu Poradce při potížích se službou AD FS.

Úložiště účtů služby AD LDS

Služba AD LDS nabízí úložiště účtů a vyhledávání aplikací s povolenými adresáři bez závislostí, které požaduje služba AD DS. Služba AD LDS zajišťuje v podstatě podobné funkce jako služba AD DS, nevyžaduje však nasazení domén ani řadičů domén. Služba AD FS umožňuje také vyhledání atributů uživatelů a ověřování uživatelů pomocí služby AD LDS podobným způsobem jako služba AD FS používá informace v úložišti účtů služby AD DS.

Poznámka

Služba AD FS nemůže ověřit účty služby AD LDS, které používají jako součást názvu účtu závorky. Účty, které obsahují otevřené závorky v uživatelském jménu, způsobují chybu vyhledávání protokolu LDAP, protože uživatelské jméno vytváří neplatný filtr LDAP.

Účet služby Federation Service získává deklarace, které se používají k vyhledávání objektu pomocí protokolu LDAP. Další informace naleznete v tématu Principy deklarací. Proces se skládá ze dvou kroků:

  • Služba Federation Service nejdříve vyhledá objekt uživatele pomocí vyhledávání objektu, jehož nakonfigurovaný atribut je shodný s dodaným uživatelským jménem. Účet služby Federation Service používá k ochraně této komunikace ověřování pomocí protokolu Kerberos nebo šifrování NTLM.

    Poznámka

    Tento proces vyžaduje, aby byl server služby AD LDS připojen k doméně, která má vztah důvěryhodnosti s doménou, jejímž členem je služba Federation Service.

  • Dále je ověřeno pověření uživatele prostřednictvím vazby LDAP k nalezenému objektu uživatele s dodaným heslem. Pokud jsou protokoly TLS/SSL (Transport Layer Security a Secure Sockets Layer) v zásadách důvěryhodnosti nakonfigurovány pro vlastnosti úložiště účtů služby AD LDS, je pověření uživatele chráněno.

    Důležité informace

    Důrazně doporučujeme, aby přenos mezi serverem služby AD LDS a federačním serverem byl chráněn protokolem TLS/SSL nebo jiným způsobem, například protokolem IPsec (Internet Protocol security).

Jestliže dotaz LDAP vrátí více než jeden objekt se zadaným uživatelským jménem, bude se jednat o chybu ověřování.

Nejdříve je vyhledán uživatelský účet v úložišti účtů služby AD LDS, pokud je nakonfigurováno, a potom jsou v tomto pořadí nakonfigurovány ostatní úložiště LDAP. Pokud je v některém úložišti uživatelský účet vyhledán, je provedeno autoritativní přihlášení uživatele a žádná další úložiště nejsou pro zpracování požadavku na přihlášení uživatele volána.

Určení pořadí priorit požadavků na přihlášení uživatelů

Pokud uživatel zadá požadavek na přihlášení ke službě AD DS nebo AD LDS prostřednictvím klienta AD FS, je požadavek neprodleně předán do zadaného úložiště účtů. Pokud však není zadán identifikátor URI (Uniform Resource Identifier) úložiště účtů, pokusí se služba Federation Service uživatele přihlásit pomocí jednotlivých úložišť v zadaném pořadí priorit. Výsledek ověřování je vrácen v následujících případech:

  • Je nakonfigurováno pouze jedno úložiště a jsou vráceny informace o ověření pověření.

  • Identifikátor URI úložiště byl zadán v požadavku na přihlášení a jsou vráceny informace o ověření pověření.

  • Výsledek ověření v jednom z úložišť je autoritativní.

  • Ověření v jednom z úložišť bylo úspěšné.

Zakázání úložišť účtů

Jednotlivá úložiště účtů je možné označit jako povolená nebo zakázaná. Pokud je úložiště účtů zakázáno, neúčastní se žádných operací spojených s úložišti účtů. Soubory cookie s deklaracemi, které pocházejí z aktuálně zakázaného úložiště účtů, jsou zahozeny nebo odstraněny a klient je přesměrován na stránku přihlášení.

Obsah