Brána Microsoft Federation Gateway je služba identit, která běží v Internetu a provádí zprostředkování mezi organizací nebo firmou a externími službami, jež chce organizace používat. Brána funguje jako rozbočovač pro řadu spojení, které organizace vytváří s aplikacemi založenými na systému Windows Azure nebo s aplikací společnosti Microsoft spuštěnou v Internetu. Brána připojuje uživatele a jiné identity ke službám, s nimiž pracuje, takže organizace musí pouze spravovat jediný vztah federace identit, který jejím identitám umožní získat přístup ke všem požadovaným službám společnosti Microsoft a službám založeným na technologiích společnosti Microsoft.

Brána Microsoft Federation Gateway poskytuje aplikacím jednoduchou, standardní metodu vytvoření vztahu důvěryhodnosti mezi jednotlivými organizacemi, která používá certifikáty protokolu SSL k prokázání vlastnictví domény. Vzhledem k tomu, že organizace vytvářejí federaci s bránou, nikoli mezi sebou navzájem, je pro organizaci mnohem snadnější vytvořit vztahy důvěryhodnosti s více partnery, než by bylo možné při použití konvenční federace 1:1 nebo jiných vztahů důvěryhodnosti. Obor federace lze snadno řídit pomocí seznamů povolených či zakázaných uživatelů a domén pro licencování a určením domén, které mohou přijímat licence pro publikování. Tímto způsobem je zaručeno, že přístup ke chráněným informacím získají pouze příslušné organizace.

Vztah federovaných identit je standardní uspořádání mezi organizacemi, v němž jsou deklarace identit z jedné organizace předávány jiné organizaci, která je rozpozná. Prostřednictvím tohoto vztahu se uživatelé mohou přihlásit a mohou být ověřeni poskytovatelem identity, což je organizace, která spravuje jejich účet identity. Jejich ověření je potom předáno federovanému partnerovi, aniž by se museli opět přihlásit.

Brána Microsoft Federation Gateway vytváří vztahy federovaných identit na základě specifikací webových služeb (WS-*), jako jsou WS-Trust a WS-Security, jejichž společné fungování zjednodušuje vzájemnou spolupráci a zlepšuje zabezpečení. Pomocí těchto standardních protokolů mohou organizace vytvořit vztah federovaných identit, aniž by musely používat stejné platformy nebo infrastrukturu.

Pokud dvě organizace vytvoří vztah federovaných identit, bude jeden partner (poskytovatel identity) řídit vlastní uživatelské účty a druhý partner (poskytovatel prostředků) uděluje přístup ke svým prostředkům na základě skutečnosti, že důvěřuje ověření provedenému poskytovatelem identity. Identita uživatele je definována jako sada deklarací identity, tj. prohlášení, která učiní server o uživateli. Příkladem takových deklarací identity jsou jméno, skupiny nebo oprávnění uživatele. Federace identit umožňuje sdílení těchto deklarací identity.

Při použití brány Microsoft Federation Gateway je ověření od poskytovatele identity předáno bráně pomocí standardního formátu označovaného jako SAML (Security Assertion Markup Language). Brána Microsoft Federation Gateway potom převede informace o ověření na token služby, který mohou používat služby společnosti Microsoft.

Funkce Technická podpora služby Microsoft Federation Gateway v systému Windows Server® 2008 R2 umožňuje službě AD RMS přijímat tokeny od brány Microsoft Federation Gateway za účelem ověřování uživatelů pro certifikáty a licencování. Systém Microsoft Exchange Server 2010 může například využít výhody této funkce tak, že povolí odesílání zpráv chráněných službou AD RMS mezi organizacemi, které nesdílejí infrastrukturu služby Active Directory Domain Services (AD DS). Pokud je infrastruktura systému Exchange Server 2010 konfigurována tak, aby tyto funkce využívala, mohou uživatelé odesílat e-mailové zprávy chráněné službou AD RMS příjemcům mimo organizaci odesílatele. Tito příjemci pak mohou zprávy zobrazit pomocí aplikace Outlook Web App systému Exchange Server 2010 nebo aplikace Microsoft Outlook. Odesílatelé mohou také organizacím příjemců používajícím systém Exchange Server 2010 udělit oprávnění k dešifrování obsahu například pro účely zaznamenávání deníku nebo vyhledávání malwaru.

Další informace týkající se způsobu nasazení funkce Technická podpora služby Microsoft Federation Gateway ve službě AD RMS naleznete v tématu Kontrolní seznam: Nasazení služby AD RMS s podporou brány Microsoft Federation Gateway.

Obsah