Služba AD FS (Active Directory Federation Services) je funkce v operačním systému Windows Server® 2003 R2, Windows Server 2008 a Windows Server 2008 R2, která používá technologie jednotného přihlašování (SSO) k webu k ověření uživatele ve více souvisejících webových aplikacích po dobu existence jedné relace online. Služba AD FS toto umožňuje pomocí bezpečného sdílení digitální identity a oprávnění, neboli deklarací, přes hranice zabezpečení a rozlehlé sítě.

Funkce ve službě AD FS

V systému Windows Server 2008 a Windows Server 2008 R2 obsahuje služba AD FS nové funkce, které nebyly k dispozici v systému Windows Server 2003 R2. Další informace o těchto nových funkcích naleznete v článku Novinky ve službě AD FS v systému Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684 (Stránka může být v angličtině.)).

Následuje popis některých klíčových funkcí služby AD FS:

  • Federace a jednotné webové přihlášení (SSO)

    Pokud organizace používá službu AD DS (Active Directory Domain Services), může využívat výhody funkce jednotného přihlašování (SSO) pomocí integrovaného ověřování systému Windows v rámci hranic zabezpečení a rozlehlé sítě organizace. Služba AD FS rozšiřuje tuto funkci na internetové aplikace. To umožňuje zákazníkům, partnerům a dodavatelům přistupovat k webovým aplikacím organizace pomocí podobného a zjednodušeného uživatelského rozhraní s jednotným webovým přihlášením (SSO). Kromě toho je možné do mnoha organizací nasadit federační servery a usnadnit tak federované transakce B2B (business-to-business) mezi partnerskými organizacemi. Další informace o federaci služby AD FS naleznete v tématu Principy návrhu federačních služeb.

  • Spolupráce webových služeb (WS)-*

    Služba AD FS poskytuje řešení federované správy identit, které spolupracuje s dalšími produkty zabezpečení podporujícími architekturu webových služeb WS-*. Služba AD FS k tomuto účelu používá specifikaci federace služeb WS-*, označovanou jako WS-Federation. Specifikace WS-Federation umožňuje provést federaci prostředí, která nepoužívají model identit systému Microsoft® Windows®, s prostředími systému Windows. Další informace o specifikaci WS-* naleznete v tématu Zdroje informací pro službu AD FS.

  • Rozšiřitelná architektura

    Služba AD FS se vyznačuje rozšiřitelnou architekturou, která podporuje typ tokenu SAML (Security Assertion Markup Language) 1.1 a ověřování protokolem Kerberos (v situaci federovaného jednotného webového přihlášení s důvěryhodností doménové struktury). Služba AD FS může také provádět mapování deklarací – může například pomocí vlastní obchodní logiky měnit deklarace jako proměnné v požadavcích na přístup. Organizace mohou díky této rozšiřitelnosti upravit službu AD FS tak, aby fungovala společně s aktuální infrastrukturou zabezpečení a obchodními zásadami. Další informace o úpravách deklarací naleznete v tématu Principy deklarací.

Rozšíření služby AD DS v Internetu

Služba AD DS funguje v mnoha organizacích jako hlavní služba pro identifikaci a ověřování. Pomocí služeb Windows Server 2003 Active Directory a Windows Server 2008 a Windows Server 2008 R2 AD DS je možné vytvořit vztahy důvěryhodnosti doménové struktury mezi dvěma nebo více doménovými strukturami v systému Windows Server 2003, Windows Server 2008 nebo Windows Server 2008 R2 zajišťující přístup k prostředkům umístěným v různých obchodních jednotkách nebo organizacích. Další informace o vztazích důvěryhodnosti doménové struktury naleznete v článku Principy vztahů důvěryhodnosti domén a doménových struktur (https://go.microsoft.com/fwlink/?LinkId=35356 (Stránka může být v angličtině.)).

V určitých návrzích však nejsou vztahy důvěryhodnosti doménových struktur vhodným řešením. Například přístup mezi organizacemi může být třeba omezit pouze na malou podmnožinu jednotlivců, nikoli na všechny členy doménové struktury.

Pomocí služby AD FS mohou organizace rozšířit své stávající infrastruktury služby Active Directory a poskytnout přístup k prostředkům, které jsou na Internetu nabízeny důvěryhodnými partnery. Tito důvěryhodní partneři mohou zahrnout externí třetí strany nebo další oddělení či pobočky do stejné organizace.

Služba AD FS podporuje distribuované ověřování a autorizaci v síti Internet. Službu AD FS je možné integrovat do stávajícího řešení správy přístupů organizace nebo oddělení a převést deklarace používané v organizaci na deklarace, které jsou schváleny jako součást federace. Služba AD FS může vytvářet, zabezpečovat a ověřovat deklarace, které se přesouvají mezi organizacemi. Může také pomoci zajistit bezpečné transakce auditováním a monitorováním aktivit mezi organizacemi a odděleními.

Přehled informací o službě AD FS naleznete v následujících tématech:

Obsah