Microsoft Federation Gateway ist ein Identitätsdienst, der über das Internet ausgeführt wird und zwischen einer Organisation oder einem Unternehmen und dem externen Dienst, den die Organisation verwenden möchte, vermittelt. Das Gateway dient als Hub für viele der Verbindungen zwischen der Organisation und auf Windows Azure erstellten Anwendungen oder im Internet ausgeführten Microsoft-Anwendungen. Das Gateway verbindet Benutzer und andere Identitäten mit den Diensten, mit denen es arbeitet. Auf diese Weise braucht eine Organisation nur eine einzige Identitätsverbundbeziehung zu verwalten, um ihren Identitäten Zugriff auf alle Microsoft- und Microsoft-basierten Dienste, die sie verwenden möchten, zu ermöglichen.
Microsoft Federation Gateway stellt Anwendungen eine einfache, auf Standards basierende Methode zum Einrichten von Vertrauensstellungen zwischen verschiedenen Organisationen bereit, die SSL-Zertifikate als Nachweis für den Domänenbesitz verwenden. Da die Organisationen den Verbund nicht untereinander, sondern mit dem Gateway eingehen, können sie wesentlich einfacher Vertrauensstellungen mit mehreren Partnern eingehen, als wenn sie konventionelle 1-zu-1-Verbunde oder andere Vertrauensstellungen verwenden würden. Der Umfang des Verbunds lässt sich über Listen von Benutzern und Domänen, die für die Lizenzierung zugelassen bzw. gesperrt sind, und durch Festlegen der Domänen, die Veröffentlichungslizenzen erhalten, leicht steuern. Auf diese Weise wird garantiert, dass nur den gewünschten Organisationen Zugriff auf geschützte Informationen gewährt wird.
Eine Identitätsverbundbeziehung ist ein auf Standards basierendes Arrangement zwischen Organisationen, bei dem Ansprüche der einen Organisation weitergeleitet und von der anderen anerkannt werden. Durch diese Beziehung können Benutzer sich bei ihrem Identitätsanbieter - der Organisation, die ihr Identitätskonto verwaltet - anmelden und authentifizieren und ihre Authentifizierung an einen Verbundpartner weiterleiten lassen, ohne sich erneut anmelden zu müssen.
Microsoft Federation Gateway richtet Identitätsverbundbeziehungen basierend auf den Webdienstspezifikationen (WS-*), z. B. WS-Vertrauensstellung und WS-Sicherheit, ein, die gemeinsam die Interoperabilität vereinfachen und die Sicherheit verbessern. Durch Verwendung dieser Industriestandardprotokolle können Organisationen eine Identitätsverbundbeziehung einrichten, ohne identische Plattformen oder Infrastrukturen verwenden zu müssen.
Wenn zwei Organisationen eine Identitätsverbundbeziehung eingehen, kontrolliert der eine Partner (der Identitätsanbieter) seine eigenen Benutzerkonten, während der andere Partner (der Ressourcenanbieter) Zugriff auf seine Ressourcen gewährt und dabei der durch den Identitätsanbieter erfolgten Authentifizierung vertraut. Die Identität eines Benutzers ist als Auswahl von Ansprüchen definiert, d. h. Angaben, die ein Server über einen Benutzer macht. Beispiele für solche Ansprüche sind Benutzername, -gruppen oder -berechtigungen. Der Identitätsverbund ermöglicht die Freigabe dieser Identitätsansprüche.
Mit Microsoft Federation Gateway wird die Authentifizierung vom Identitätsanbieter unter Verwendung eines Standardformats, dem so genannten SAML (Security Assertion Markup Language), an das Gateway gesendet. Microsoft Federation Gateway konvertiert die Authentifizierungsinformationen dann in ein Diensttoken, das von Microsoft-Diensten verwendet werden kann.
Mit Microsoft Federation Gateway-Support in Windows Server® 2008 R2 kann AD RMS Token von Microsoft Federation Gateway zur Authentifizierung von Benutzern für die Zertifizierung und Lizenzierung akzeptieren. Microsoft Exchange Server 2010 nutzt diese Fähigkeit beispielsweise, indem durch AD RMS geschützte Nachrichten zwischen Organisationen ohne gemeinsame Active Directory-Domänendienste (AD DS)-Infrastruktur ausgetauscht werden können. Wenn die Exchange Server 2010-Infrastruktur für die Verwendung dieser Features konfiguriert wird, können Benutzer AD RMS-geschützte E-Mail-Nachrichten an Empfänger außerhalb der Organisation des Absenders senden, und diese Empfänger können die Nachrichten mit Exchange Server 2010 Outlook Web App oder Microsoft Outlook anzeigen. Absender können außerdem Empfängerorganisationen, die Exchange Server 2010 verwenden, Berechtigungen zum Entschlüsseln von Inhalten für Zwecke wie Journalerstellung und Schadsoftwareüberprüfung gewähren.
Weitere Informationen zum Bereitstellen von Microsoft Federation Gateway-Support in AD RMS finden Sie unter Prüfliste: Bereitstellen von AD RMS mit Microsoft Federation Gateway-Unterstützung.