Az Active Directory összevonási szolgáltatások (AD FS) terminológiája több különböző technológia– például a tanúsítványszolgáltatások, az Internet Information Services (IIS), az Active Directory tartományi szolgáltatások (AD DS), az Active Directory Lightweight Directory-szolgáltatások (AD LDS) és a webszolgáltatási (WS-*) szabványcsoport szakkifejezéseit tartalmazza. Az alábbi táblázat e szakkifejezések magyarázatát ismerteti.

Szakkifejezés Magyarázat

fiók-összevonási kiszolgáló

A fiókpartner-szervezet vállalati hálózatában működő összevonási kiszolgáló. A fiók-összevonási kiszolgáló biztonsági jogkivonatokat bocsát ki a felhasználóknak a felhasználói hitelesítés alapján. A kiszolgáló hitelesíti a felhasználót, beolvassa a megfelelő attribútumokat és csoporttagsággal kapcsolatos adatokat a fióktárolóból, majd a létrehozott és aláírt biztonsági jogkivonatot visszaküldi a felhasználónak, aki a saját szervezetében használja azt, vagy elküldi egy partnerszervezetnek.

fiók-összevonási kiszolgálóproxy

A fiókpartner-szervezet szegélyhálózatában működő összevonási kiszolgálóproxy. A fiók-összevonási kiszolgálóproxy összegyűjti az interneten (vagy a szegélyhálózaton) keresztül bejelentkező ügyfél hitelesítő adatait, és továbbítja a fiók-összevonási kiszolgálónak.

fiókpartner

Összevonási partner, amelyet az összevonási szolgáltatás megbízhatónak tart arra, hogy biztonsági jogkivonatokat bocsásson ki a felhasználóknak (azaz a fiókpartner-szervezet felhasználóinak) az erőforráspartnernél működő webalkalmazások eléréséhez.

Active Directory összevonási szolgáltatások (AD FS)

Összetevő a Windows Server 2003 R2, Windows Server 2008 és Windows Server 2008 R2 rendszerben, amely az egyszeri bejelentkezési (SSO) technológia révén biztosítja a felhasználóknak, hogy egy online munkamenet időtartamára több webalkalmazásba is bejelentkezhessenek. Ezt az AD FS a digitális identitások és jogcímek biztonsági és vállalati határokon átnyúló, biztonságos megosztásával teszi lehetővé. Az AD FS támogatja WS-Federation Passive Requestor Profile (WS-F PRP) specifikációt.

AD FS-webügynök

Az AD FS egyik telepíthető szerepkör-szolgáltatása, amellyel AD FS-t támogató webkiszolgálókat lehet létrehozni. Az AD FS-webügynök olyan bejövő biztonsági jogkivonatokat és hitelesítési cookie-kat dolgoz fel, amelyeket érvényes összevonási kiszolgáló írt alá, és az alkalmazásspecifikus hozzáférés-vezérlési beállítások figyelembe vételével engedélyezi vagy megtagadja a felhasználói hozzáférést a védett alkalmazáshoz.

AD FS-t támogató webkiszolgáló

Olyan Windows Server 2003 R2, Windows Server 2008 vagy Windows Server 2008 R2 rendszert működtető kiszolgáló, amelyen konfigurálva van a helyben működtetett webalkalmazások összevont elérésének hitelesítéséhez és engedélyezéséhez szükséges jogcímbarát vagy Windows-jogkivonatalapú AD FS-webügynök szoftver.

jogcím

A kiszolgáló által az ügyfélre vonatkozóan tett állítás (például név, identitás, kulcs, csoport, jogosultság vagy képesség).

jogcímbarát alkalmazás

Olyan Microsoft ASP.NET-alkalmazás, amely az engedélyezést az AD FS biztonsági jogkivonataiban lévő jogcímek alapján hajtja végre.

jogcímleképezés

A jogcímek társításának, eltávolításának, szűrésének és jogcímhalmazok közötti továbbításának művelete.

ügyfél fiókpartnerének felderítési weblapja

A felhasználó fiókpartnerének megadására szolgáló interaktív weblap, amelyre akkor van szükség, ha az Active Directory összevonási szolgáltatások nem tudja automatikusan megállapítani, hogy a felhasználót melyik fiókpartnernél hitelesítse.

ügyfél-hitelesítési tanúsítvány

AD FS-tanúsítvány, amelyet az összevonási kiszolgálóproxyk az ügyfelek összevonási szolgáltatásban történő hitelesítésére használnak.

ügyfél-kijelentkezési weblap

Az Active Directory összevonási szolgáltatások által végrehajtott kijelentkezési művelet után a felhasználót a kijelentkezés megtörténtéről tájékoztató weblap.

ügyfél-bejelentkezési weblap

Felhasználói párbeszédre szolgáló weblap, amely akkor jelenik meg, amikor az Active Directory összevonási szolgáltatások az ügyféladatok összegyűjtését végzik. Az ügyfél bejelentkezési weblapja az összegyűjtendő hitelesítő adatok körének meghatározására tetszőleges üzleti logikát alkalmazhat.

összevont alkalmazások

AD FS-barát webalkalmazás, ami azt jelenti, hogy az összevont felhasználók elérhetik.

összevont felhasználó

Olyan felhasználó, akinek a fiókja fiókpartner-szervezetnél található, és aki erőforráspartner-szervezetnél működő összevont alkalmazásokhoz férhet hozzá.

összevonási partnerek

Egymással összevonási megbízhatósági kapcsolatban álló tartománypár.

összevonási kiszolgáló

Olyan Windows Server 2003 R2, Windows Server 2008 vagy Windows Server 2008 R2 rendszert működtető számítógép, amely az AD FS Összevonási szolgáltatás összetevőjének futtatására van beállítva. Az összevonási kiszolgálók a más szervezeteknél lévő felhasználói fiókokból és az internetes ügyfelektől érkező kéréseket engedélyezik vagy továbbítják.

összevonási kiszolgálóproxy

Olyan Windows Server 2003 R2, Windows Server 2008 vagy Windows Server 2008 R2 rendszert működtető számítógép, amely az AD FS szolgáltatás Összevonás-szolgáltatási proxy összetevőjének futtatására van beállítva. Az összevonási kiszolgálóproxyk közvetítő proxyszolgáltatásokat biztosítanak az internetes ügyfelek és a vállalati hálózat tűzfala mögött lévő összevonási kiszolgáló között.

Összevonási szolgáltatás

Az AD FS egyik telepíthető szerepkör-szolgáltatása, amellyel összevonási kiszolgálókat lehet létrehozni. Ha telepítve van, az Összevonási szolgáltatás kérésre biztonsági jogkivonatokat biztosít. Egy összevonási szolgáltatáshoz több összevonási kiszolgáló is beállítható hibatűrésre és terheléselosztásra.

Összevonás-szolgáltatási proxy

Az AD FS egyik telepíthető szerepkör-szolgáltatása, amellyel összevonási kiszolgálóproxykat lehet létrehozni. Ha telepítve van, az Összevonás-szolgáltatási proxy szerepkör-szolgáltatás a WS-F PRP protokollok használatával gyűjtik össze a felhasználóhitelesítési adatokat a webböngészőügyfelektől és webalkalmazásoktól, és azok helyett küldi el az összevonási szolgáltatásnak.

szervezeti jogcímek

Közbenső vagy normalizált formátumú jogcímek egy szervezet névterében.

passzív ügyfél

Olyan HTTP-böngésző, amely támogatja az elterjedt HTTP protokollt és a cookie-kat. Az AD FS a Windows Server 2003 R2, Windows Server 2008 és a Windows Server 2008 R2 rendszerben csak a passzív ügyfeleket támogatja, és megfelel a WS-F PRP szabványnak.

erőforrásfiók

Olyan különálló rendszerbiztonsági tag - rendszerint felhasználói fiók -, amely az AD DS szolgáltatásban hozható létre, és egy összevont felhasználó leképezésére szolgál. A Windows NT-jogkivonatalapú alkalmazások összevonásakor szükség van egy erőforrásfiókra, mivel a Windows-jogkivonatalapú ügynöknek egy, az erőforráspartner erdőjében lévő Active Directory-alapú rendszerbiztonsági tagra kell hivatkoznia a Windows NT-alapú hozzáférési jogkivonat létrehozásához, és ezáltal kötelezővé kell tennie az alkalmazás hozzáférés-vezérlési engedélyeit.

erőforrás-összevonási kiszolgáló

Az erőforráspartner szervezeténél működő összevonási kiszolgáló. Az erőforrás-összevonási kiszolgáló általában egy olyan biztonsági jogkivonat alapján bocsát ki biztonsági jogkivonatokat a felhasználóknak, amelyet fiók-összevonási kiszolgáló bocsátott ki. A kiszolgáló

  • megkapja a biztonsági jogkivonatot;

  • ellenőrzi az aláírást;

  • átalakítja a szervezeti jogcímeket a megbízhatósági házirendje alapján;

  • új biztonsági jogkivonatot hoz létre a bejövő biztonsági jogkivonat adatai alapján.

  • Aláírja és ezzel visszaküldi az új biztonsági jogkivonatot a felhasználónak, majd végül a webalkalmazásnak.

erőforrás-összevonási kiszolgálóproxy

Az erőforráspartner-szervezet szegélyhálózatában működő összevonási kiszolgálóproxy. Az erőforrás-összevonási kiszolgálóproxy fiókpartner-felderítéssel észleli az internetes ügyfeleket, és átirányítja a bejövő biztonsági jogkivonatokat az erőforrás összevonási kiszolgálójához.

erőforráscsoport

Az AD DS szolgáltatásban létrehozott különálló biztonsági csoport; a rendszer a bejövő csoportjogcímeket (a fiókpartnertől származó AD FS-csoportjogcímeket) erre a csoportra képezi le. Az összevont felhasználók erőforráscsoportra történő leképezése után az AD FS-t támogató webkiszolgálók a Windows NT-jogkivonatalapú engedélyezési döntéseket az erőforráscsoport biztonsági azonosítójához (SID) hozzárendelt hozzáférési engedélyek alapján hozhatják meg.

erőforráspartner

Olyan összevonási partner, amely megbízhatónak tartja az összevonási szolgáltatást jogcímalapú biztonsági jogkivonatok kibocsátására olyan webalkalmazásoknak (azaz az erőforráspartner-szervezetnél működő alkalmazásoknak), amelyet a fiókpartner felhasználói elérhetnek.

biztonsági jogkivonat

Jogcímet vagy jogcímeket reprezentáló, kriptográfiai aláírással rendelkező adategység. Az AD FS szolgáltatásban az aláírt biztonsági jogkivonat azt jelzi, hogy a biztonsági jogkivonatot kibocsátó összevonási kiszolgáló sikeresen ellenőrizte az összevont felhasználó hitelességét.

biztonságijogkivonat-szolgáltatás

Biztonsági jogkivonatokat kibocsátó webszolgáltatás. A biztonságijogkivonat-szolgáltatás az általa megbízhatónak ítélt tanúsító adatok alapján megerősítő nyilatkozatot bocsát ki mindazoknak, akik megbízhatónak ítélik (vagy a megadott címzetteknek). A megbízhatóság közvetítéséhez a szolgáltatásnak olyan bizonyítékra (például egy aláírásra) van szüksége, amelynek alapján meggyőződhet egy adott biztonsági jogkivonat vagy jogkivonatkészlet hitelességéről. A szolgáltatás vagy maga hoz létre jogkivonatokat, vagy más biztonságijogkivonat-szolgáltatást vesz igénybe, és annak a megbízhatósági nyilatkozata alapján bocsátja ki a biztonsági jogkivonatokat. Ez képezi az alapját a megbízhatóság közvetítésének. Az AD FS szolgáltatásban az összevonási szolgáltatás biztonságijogkivonat-szolgáltatás.

kiszolgálói hitelesítési tanúsítvány

Az AD FS-t támogató webkiszolgálók, összevonási kiszolgálók és összevonási kiszolgálóproxyk kiszolgálói hitelesítési tanúsítványokat használnak a webszolgáltatások adatforgalmának biztosítására az egymás közti vagy a webes ügyfelekkel folytatott kommunikációhoz.

kiszolgálófarm

Az Active Directory összevonási szolgáltatások kontextusában a terheléselosztás elvén működő összevonási kiszolgálók, összevonási kiszolgálóproxyk vagy AD FS-webügynököt futtató webkiszolgálók csoportja.

egyszeri bejelentkezés (SSO)

Optimalizált hitelesítési folyamat, amelynek révén a végfelhasználóknak nem kell ismételt bejelentkezéseket végrehajtaniuk.

jogkivonat-aláíró tanúsítvány

Olyan X.509 szabványú tanúsítvány, amelynek egy nyilvános és egy titkos kulcsból álló hozzárendelt kulcspárját az összevonási kiszolgálók az általuk létrehozott biztonsági jogkivonatok digitális aláírására használják.

egységes erőforrás-azonosító (URI)

Absztrakt és fizikai erőforrások azonosítására szolgáló rövid karakterlánc. Az egységes erőforrás-azonosítók ismertetését a 2396-os RFC-dokumentum tartalmazza (https://go.microsoft.com/fwlink/?LinkId=48289) (előfordulhat, hogy a lap angol nyelven jelenik meg). Az Active Directory összevonási szolgáltatások az egységes erőforrás-azonosítókat a partnerek és a fióktárolók egyedi azonosítására használják.

ellenőrző tanúsítvány

A jogkivonat-aláíró tanúsítvány nyilvánoskulcsrésze. Az ellenőrző tanúsítványt a megbízhatósági házirend tárolja, és az összevonási kiszolgáló használja egy adott szervezetben annak ellenőrzésére, hogy a bejövő biztonsági jogkivonatokat érvényes összevonási kiszolgálók bocsátották-e ki a szervezet farmjában vagy más szervezetekben.

webszolgáltatások

(WS-*)

Az SOAP, az XML, a WSDL (Web Service Description Language), az UDDI (Universal Description, Discovery and Integration) és egyéb ipari szabványokra épülő webszolgáltatási architektúra specifikációi. A webszolgáltatási szabványok keretrendszert biztosítanak a vállalatok és partnereik közötti együttműködésre képes üzleti megoldások kialakításához – beleértve az összevont identitás- és biztonságkezelés lehetőségét is.

A webszolgáltatási modell azon az elven alapul, hogy a számos különböző típusú eszközön futtatott és használt vállalati rendszereket különböző programnyelveken, különböző programozási modellek követésével fejlesztik. A webszolgáltatások módot adnak olyan elosztott rendszerek kialakítására, amelyek az interneten keresztül egyszerűen és hatékonyan tudnak egymáshoz csatlakozni és párbeszédet folytatni, függetlenül attól, hogy milyen nyelven készültek, illetve milyen platformon futnak.

Webszolgáltatás-biztonság (WS-Security)

Az aláírási és titkosítási fejlécek SOAP-üzenetekhez történő csatolását leíró specifikációk összessége. A Webszolgáltatás-biztonság emellett a biztonsági jogkivonatok – például az olyan bináris biztonsági jogkivonatok, mint az X.509-es tanúsítványok és a Kerberos-jegyek – üzenetekhez történő csatolását is leírja. Az Active Directory összevonási szolgáltatások a Webszolgáltatás-biztonság specifikációt a biztonsági jogkivonatok Kerberos protokollal történő aláírásakor használják.

Windows NT-jogkivonatalapú alkalmazás

A felhasználók engedélyezéséhez Windows NT-jogkivonatokat használó Windows-alkalmazás.

Webszolgáltatás-összevonás (WS-F)

A megbízhatóság közvetítésének, valamint az identitási és hitelesítési adatok különböző megbízhatósági tartományok közötti összevonásának modelljét és üzenetkészletét definiáló szabvány.

A Webszolgáltatás-összevonás specifikáció a megbízhatósági tartományok között zajló identitás- és hitelesítési kérelmek két forrását különbözteti meg:

  • az egyik csoportba az aktív kérelmezők (például a SOAP protokollt támogató alkalmazások) tartoznak,

  • míg a másik csoportot a passzív kérelmezők, így a széles körű támogatottsággal rendelkező HTTP protokollokat, például a HTTP 1.1 protokollt támogató, HTTP-alapú böngészők alkotják.

WS-Federation Passive Requestor Profile (WS-F PRP)

A WS-F PRP a Webszolgáltatás-összevonás specifikáció egyik implementációja, amely az összevonási keretrendszer alkalmazására tett ajánlásokat fogalmaz meg a passzív ügyfelek (például a webböngészők) számára. A protokollt támogató webszolgáltatás-kérelmezőknek képesnek kell lenniük az új biztonsági mechanizmusok elfogadására, valamint a más webszolgáltatási szolgáltatókkal való együttműködésre.

Lásd még


Tartalom