Az Összevonási szolgáltatás az Active Directory összevonási szolgáltatások (AD FS) egyik szerepkör-szolgáltatása, amely más AD FS-szerepkör-szolgáltatásoktól függetlenül telepíthető. Az Összevonási szolgáltatás biztonsági jogkivonatokat kezelő szolgáltatásként működik. Az Összevonási szolgáltatás szerepkör-szolgáltatás telepítésével az adott számítógép összevonási kiszolgálóvá válik, és az Active Directory összevonási szolgáltatások beépülő modul elérhető lesz a számítógép Felügyeleti eszközök menücsoportjában. További információ az AD FS beépülő modulról: Az Active Directory összevonási szolgáltatások beépülő modul használata.
Az Összevonási szolgáltatás az Active Directory tartományi szolgáltatások segítségével kérésre biztonsági jogkivonatokat bocsát ki. Ennek révén az Active Directory-tartományok és -erdők alkalmasak lesznek az alábbi funkciók betöltésére:
-
Identitásszolgáltatók lehetnek, így a megfelelő fiókpartnereknek és erőforráspartnereknek összevonási szolgáltatásokat nyújthatnak. Identitásszolgáltatóként az összevonási szolgáltatás az Active Directorybeli identitások számára lehetővé teszi az interneten keresztüli párbeszédet a kompatibilis szolgáltatók alkalmazásaival.
-
Szolgáltatók lehetnek, és összevonási kapcsolatot létesíthetnek a kompatibilis fiók- és erőforráspartnerekkel. Összevonás-szolgáltatóként az összevonási szolgáltatás engedélyezheti más szervezetek identitásainak a partnerek Windows- és ASP.NET-alapú alkalmazásaihoz való hozzáférést.
-
Biztonságijogkivonat-szolgáltatók lehetnek a WS-Federation Passive Requestor Profile (WS-F PRP) specifikációnak megfelelő alkalmazások számára.
Fiókpartnerként az összevonási szolgáltatás lehetővé teszi, hogy a felhasználók hozzáférhessenek a partnerszervezetek erőforrásaihoz. Az erőforráspartnertől érkező kérésekre válaszul az összevonási szolgáltatás az AD DS vagy az Active Directory Lightweight Directory-szolgáltatások (AD LDS) egy példányában tárolt információk alapján összegyűjti és ellenőrzi a felhasználók hitelesítő adatait. és a felhasználói fiók LDAP-attribútumain alapuló szervezeti jogcímekből készletet állít elő. A szervezeti jogcímeket leképezi az erőforráspartner megfelelő jogcímeire, majd az összevonási szolgáltatás jogkivonat-aláíró tanúsítványával aláírt biztonsági jogkivonatba csomagolja. A létrejött biztonsági jogkivonatot végül az erőforráspartner eredeti kérésére válaszul elküldi. Az erőforráspartner a jogkivonat alapján hozzáférést biztosít a felhasználónak.
Erőforráspartnerként az összevonási szolgáltatás ellenkező szerepkört tölt be. Amikor egy felhasználó megkísérel hozzáférni egy AD FS által védett alkalmazáshoz, az összevonási szolgáltatás meghatározza, hogy melyik fiókpartnernek kell hitelesíteni a felhasználót, és egy hitelesítési kérést küld a partnernek. Amikor a felhasználó a biztonsági jogkivonat birtokában visszatér, az összevonási szolgáltatás ellenőrzi, hogy a jogkivonatot a partner helyesen írta-e alá. Ha igen, a jogkivonatból kibontja a jogcímeket, amelyeket szervezeti jogcímekre képez le, és alkalmazza az érintett alkalmazásra vonatkozó szűrési házirendet. A szűrt szervezeti jogcímeket az összevonási szolgáltatás a jogkivonat-aláíró tanúsítványa által aláírt vagy a webalkalmazáshoz tartozó Kerberos-munkamenetkulccsal védett biztonsági jogkivonatba csomagolja. A létrejött biztonsági jogkivonatot a rendszer visszaküldi az eredeti alkalmazás URL-címére. Az alkalmazás a jogkivonat alapján hozzáférést biztosít a felhasználónak.
Az AD FS a WS-F PRP protokoll segítségével továbbítja az összevonási szolgáltatás által a webalkalmazásnak kibocsátott biztonsági jogkivonatban lévő jogcímeket. További információ a WS-F PRP specifikációról: Az Active Directory összevonási szolgáltatásokkal kapcsolatos források.
A jogcímek előállítása kezdetben AD DS- vagy AD LDS-fióktárolókból történik. Az összevonási szolgáltatás a megadott hitelesítő adatok alapján bocsát ki biztonsági jogkivonatokat. Miután a fióktároló ellenőrizte a felhasználó hitelesítő adatait, a megbízhatósági házirend szabályai szerint a rendszer létrehozza a felhasználói jogcímeket. Az összevonási szolgáltatás leképezi a bejövő jogcímeket az erőforráspartnernek megfelelő kimenő jogcímekre, és az így létrejött jogcímleképezéseket hozzáadja az erőforráspartnernek kibocsátott biztonsági jogkivonathoz. További információ a jogcímekről: A jogcímek ismertetése.
A jogkivonat ellenőrzése után az összevonási szolgáltatás egy hitelesítési cookie-t hoz létre az ügyfélböngészőben. Minden olyan alkalommal, amikor az ügyfelet hitelesíteni kell, az összevonási szolgáltatás ezt a cookie-t használja, így az ügyfélnek nem kell ismét megadnia a hitelesítő adatokat. Ez lehetővé teszi az egyszeri bejelentkezést (SSO). További információ a cookie-król: Az Active Directory összevonási szolgáltatások által használt cookie-k ismertetése.
Az összevonási szolgáltatás weblapjai
Az összevonási szolgáltatás egy weblapot jelenít meg, amelyen a felhasználó kijelölheti azt a fiókpartnert, amelynél hitelesíteni szeretné magát. Egy másik weblap a hitelesítő adatok (például felhasználónév és jelszó) megadását kéri az űrlapalapú hitelesítéshez. Egy harmadik weblap az integrált Windows-hitelesítést támogatja.
A weblapokon keresztül az összevonási szolgáltatás egy Microsoft ASP.NET-alapú webszolgáltatás segítségével feldolgozza az ügyfelektől vagy az összevonási kiszolgálóproxytól érkező kéréseket. A proxy a szegélyhálózatban működik, és közvetítői szerepet tölt be az internetes ügyfél és az intraneten futó összevonási szolgáltatás között. Az összevonási kiszolgálóproxy szerepköréről a következő témakörben olvashat: Az Összevonás-szolgáltatási proxy nevű szerepkör-szolgáltatás ismertetése.
Két alapvető típusa van a kérelmeknek, amelyekre az összevonási szolgáltatás válaszol:
-
a biztonsági jogkivonatok kibocsátására vonatkozó kérések, és
-
a megbízhatósági házirendek adatainak beolvasására vonatkozó kérések
A fiókpartnerek felderítése
A fiókpartnerek felderítése az a folyamat, amelynek során a felhasználó megadhatja a hitelesítéshez előnyben részesített fiókpartnert, ha több fiókpartner van beállítva. Az összevonási kiszolgáló a választási lehetőséget az ügyfélböngészőben egy legördülő listával biztosítja, amely a fiókpartnerek megbízhatósági házirendben beállított nevét tartalmazza.
A fiókpartner-felderítés elkerülhető, ha az elérni kívánt erőforrás lekérdezési karakterlánca tartalmazza a whr
paramétert, például a következőképpen:
https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>
ahol a <accountpartner>
az ügyfél fiókpartneri tartománya.
A whr
paraméter használatakor az erőforrás-összevonási kiszolgáló eltávolítja a paramétert, és egy cookie-t ír az ügyfélböngészőbe, amely a további kérések alkalmával emlékeztet erre a beállításra. Ezután a kérés feldolgozása ugyanúgy történik, mintha a paraméter nem lett volna megadva.