Az Active Directory összevonási szolgáltatások (AD FS) támogatja azokat az összevont identitáskezelési módszereket (más néven összevonási modelleket), amelyek a Webszolgáltatás-összevonás (WS-F), a WS-Federation Passive Requestor Profile (WS-F PRP) és a WS-Federation Passive Requestor Interoperability Profile specifikációkon alapulnak. Az Active Directory összevonási megoldása segítséget nyújt a rendszergazdáknak az identitáskezelés összevonásával járó feladatok megoldásában, hiszen lehetővé teszi a szervezeteknek, hogy összevonási megbízhatósági kapcsolatokon keresztül biztonságosan megosszák a felhasználók identitásadatait. Az alábbi három összevonás-szolgáltatási modell azt szemlélteti, hogy miként használható az AD FS-kiszolgálói szerepkörök különböző kombinációja az identitások összevonására a szervezet igényeitől függően. Az egyes kiszolgálói szerepkörökről Az Active Directory összevonási szolgáltatások szerepkör-szolgáltatásainak ismertetése című témakör nyújt bővebb tájékoztatást.
Összevont webes egyszeri bejelentkezés
Az AD FS összevont webes egyszeri bejelentkezési (SSO) módszere olyan biztonságos adatforgalmat foglal magába, amely a teljes internetes útválasztási infrastruktúra mellett gyakran több tűzfalon, külső hálózaton és név-hozzárendelési kiszolgálón átnyúlik. Az összevont webes egyszeri bejelentkezési környezetben folytatott kommunikáció révén az egymással összevonási megbízhatósági kapcsolatban álló szervezetek hatékonyabban és biztonságosabban bonyolíthatják online tranzakcióikat.
Az alábbi ábrán két vállalat között létrehozott összevonási megbízhatósági kapcsolat látható. Ebben a modellben az összevonási kiszolgálók a Dejójáték felhasználói fiókjaival kezdeményezett hitelesítési kéréseket az online kiskereskedő hálózatában található webalkalmazásokhoz továbbítják.
Az összevonási kiszolgálók a partnerek hitelesítő adatai alapján hitelesítik a megbízható partnerektől érkező kéréseket. A kiszolgálók a hitelesítő adatokat biztonsági jogkivonatok formájában cserélik ki egymás között.
A nagyobb biztonság érdekében a kérések összevonási kiszolgálóproxykon keresztül továbbíthatók az internetről közvetlenül nem elérhető összevonási kiszolgálóknak.
Összevont webes egyszeri bejelentkezés erdőszintű megbízhatósággal
Az erdőszintű megbízhatóságra alapozott összevont webes egyszeri bejelentkezési modell két Active Directory-erdő meglétét feltételezi a szervezetben, miként az az alábbi ábrán látható. Az egyik erdő a szervezet szegélyhálózatában (a szegélyhálózat semleges övezet, extranet és szűrt alhálózat néven is ismert), a másik a belső hálózatban helyezkedik el. A két erdő között egyirányú erdőszintű megbízhatósági kapcsolat áll fenn: a szegélyhálózati erdő megbízhatónak minősíti a belső hálózatban lévő erdőt. Mindkét hálózatban működik összevonási kiszolgáló. Az összevonási megbízhatósági kapcsolat létrehozása után a belső erdőben definiált fiókok felhasználói az intranetes erdőből és az internetről egyaránt hozzáférhetnek a szegélyhálózatban üzemelő webalkalmazásokhoz.
Ebben a modellben külső felhasználók – például vásárlók – is elérhetik az adott webalkalmazást, ha hitelesítik magukat a szegélyhálózatban üzemelő, külső fiók-összevonási kiszolgálón. A külső felhasználók felhasználói fiókkal rendelkeznek a külső hálózat Active Directory-erdőjében. A belső felhasználók – például az alkalmazottak – szintén hozzáférhetnek a webalkalmazáshoz, ha hitelesítik magukat a belső hálózatban működő, belső fiók-összevonási kiszolgálón. A belső felhasználók a belső hálózat Active Directory-erdőjében rendelkeznek felhasználói fiókokkal.
Ha a webalkalmazás Windows NT-jogkivonatalapú alkalmazás, a webes alkalmazáskiszolgálón futó AD FS-webügynök fogadja a kérelmeket, és Windows NT rendszerű biztonsági jogkivonatokat állít elő, amelyek alapján a webalkalmazás az engedélyezési kérdésekben dönteni tud. Külső felhasználók esetében ez azért lehetséges, mert a Windows NT-jogkivonatalapú alkalmazást futtató, AD FS-t támogató webkiszolgáló a külső erdőben lévő tartományhoz kapcsolódik. Belső felhasználók esetében ezt a külső és a belső hálózat között fennálló erdőszintű megbízhatósági kapcsolat teszi lehetővé.
Ha a webalkalmazás jogcímbarát alkalmazás, a webalkalmazás-kiszolgálón futó AD FS-webügynöknek nem kell biztonsági Windows NT-jogkivonatokat létrehoznia a felhasználó számára. Ehelyett ekkor továbbengedi a beérkező jogcímeket, így lehetővé teszi, hogy az alkalmazás a fiók-összevonási kiszolgálótól kapott biztonsági jogkivonat tartalma alapján hozzon engedélyezési döntéseket. Ennek köszönhetően nem szükséges, hogy a jogcímbarát alkalmazásokat üzemeltető, AD FS-t támogató webkiszolgáló a tartomány tagja legyen, valamint a belső és külső erdők között sincs szükség megbízhatósági kapcsolatra.
Webes egyszeri bejelentkezés
Az Active Directory összevonási szolgáltatások egyszeri webes bejelentkezési modelljében a felhasználóknak csak egyszer kell hitelesíteniük magukat ahhoz, hogy több webalkalmazáshoz is hozzáférjenek. Ebben a környezetben minden felhasználó külső felhasználó, és nincsenek összevonási megbízhatósági kapcsolatok. Mivel az AD FS-t támogató webkiszolgálóknak egyrészt az internetről elérhetőeknek kell lenniük, másrészt az Active Directory-tartományba kell tartozniuk, két hálózathoz csatlakoznak, azaz többcíműek. Az egyik hálózat az internetes kapcsolatot biztosító szegélyhálózat, a másik pedig az Active Directory-erdőt üzemeltető védett hálózat, amely az internetről közvetlenül nem érhető el. Az összevonási kiszolgálóproxy szintén többcímű, hogy biztosíthassa a szükséges kapcsolatokat az összevonási kiszolgálóhoz és az internethez. Ebben a modellben az összevonási kiszolgálót fenyegető veszélyek jelentősen csökkenthetők, ha a kiszolgálót olyan hálózatban helyezik el, amely közvetlenül nem érhető el az internetről.
