Ha szervezetközi (összevonáson alapuló) együttműködési lehetőséget kíván kialakítani az Active Directory összevonási szolgáltatások (AD FS) segítségével, először azt kell meghatároznia, hogy a szervezet szolgáltassa-e az interneten más szervezetek számára elérhető webes erőforrásokat, vagy fordítva. Ez a döntés hatással van az Active Directory összevonási szolgáltatások telepítésének módjára, illetve alapvető jelentőségű az összevonás-szolgáltatási infrastruktúra kialakítására vonatkozóan.
Az összevont webes egyszeri bejelentkezéshez és az erdőszintű megbízhatósággal kiegészített összevont webes egyszeri bejelentkezéshez hasonló összevonási modellekben (a webes egyszeri bejelentkezés modelljével ellentétben) az Active Directory összevonási szolgáltatások a „fiókpartner” és az „erőforráspartner” fogalommal különbözteti meg a fiókokat tároló szervezetet (a fiókpartnert) a webalapú erőforrásokat működtető szervezettől (az erőforráspartnertől). A fiókpartner és az erőforráspartner közötti egyirányú, nem tranzitív kapcsolatot összevonási megbízhatósági kapcsolatnak nevezik.
Az Active Directory összevonási szolgáltatások modelljeivel kapcsolatban további információkat a következő témakörben talál: Az összevonási tervek ismertetése.
Az alábbi szakaszokban a fiók- és az erőforráspartnerekkel kapcsolatos legfontosabb fogalmak áttekintése található.
Fiókpartner
A fiókpartner az a szervezet az összevonási megbízhatósági kapcsolatban, amely fizikailag tárolja a felhasználói fiókokat az Active Directory tartományi szolgáltatások (AD DS) vagy az Active Directory Lightweight Directory-szolgáltatások (AD LDS) valamely tárolójában. A fiókpartner feladata a felhasználók hitelesítési adatainak összegyűjtése, a felhasználók hitelesítése, a felhasználók jogcímeinek előállítása, illetve a jogcímek biztonsági jogkivonatokba helyezése. Ezek a jogkivonatok az összevonási megbízhatósági kapcsolatokon keresztül lehetővé teszik az erőforráspartnernél üzemelő webes erőforrások elérését.
Másképp fogalmazva tehát a fiókpartner az a szervezet, amelynek felhasználói számára az összevonási szolgáltatás fiókoldali összetevője biztonsági jogkivonatokat bocsát ki. A fiókpartner összevonási szolgáltatása hitelesíti a helyi felhasználókat, és állítja elő azokat a biztonsági jogkivonatokat, amelyek alapján az erőforráspartner az engedélyezési kérdésekben dönthet.
Az Active Directory tartományi szolgáltatásokkal összehasonlítva az Active Directory összevonási szolgáltatásoknál a fiókpartner fogalmilag egyetlen Active Directory-erdőnek felel meg, és az ebben definiált fiókoknak fizikailag más erdőben található erőforrásokhoz kell hozzáférniük. A példabeli erdő fiókjai csak akkor férhetnek hozzá az erőforráserdőben található erőforrásokhoz, ha külső vagy erdőszintű megbízhatósági kapcsolat áll fenn a két erdő között, és a felhasználók által elérni kívánt erőforrásokhoz be vannak állítva a megfelelő jogosultságok.
Megjegyzés | |
Ez a párhuzam csupán azt szemlélteti, hogy az Active Directory összevonási szolgáltatások fiók- és partnerszervezetei közötti kapcsolat fogalmilag hasonló az Active Directory tartományi szolgáltatásokban lévő fiókerdők és erőforráserdők közötti kapcsolathoz. Az Active Directory összevonási szolgáltatások működéséhez nem szükséges külső vagy erdőszintű megbízhatósági kapcsolat. |
Az erőforráspartner jogcímeinek létrehozása
A jogcím egy, az ügyfélre vonatkozó, kiszolgáló által megállapított tulajdonság (például név, identitás, kulcs, csoport, jogosultság vagy képesség). A fiókpartner által létrehozott jogcímeket az összevonási szolgáltatás erőforráspartnere használja fel. Az alábbi lista az erőforrás-összevonási kiszolgáló oldalán lévő fiókpartneren konfigurálható különféle jogcímek ismertetését tartalmazza:
-
Egyszerű felhasználónévi jogcím
A fiókpartner konfigurálásakor megadhatók azok az egyszerű felhasználónév-tartományok és -utótagok, amelyek a fiókpartnertől elfogadhatók. Ha olyan egyszerű felhasználónév érkezik, amely a listán nem szereplő tartományt tartalmaz, a kérelmet a partner elutasítja.
-
E-mail jogcím
A fiókpartner konfigurálásakor megadhatók a fiókpartnertől elfogadható e-mailek tartományai és utótagjai. Az egyszerű felhasználónévi jogcímekhez hasonlóan, amennyiben olyan e-mail érkezik, amely a listán nem szereplő tartományt tartalmaz, a kérelmet a partner elutasítja.
-
Köznapi névi jogcím
A fiókpartner konfigurálásakor megadható, hogy fogadhatók-e köznapi névi jogcímek a fiókpartnertől. Ez a jogcímtípus nem képezhető le, így engedélyezése esetén egyszerű átadás történik.
-
Csoportjogcímek
A fiókpartner konfigurálásakor megadhatók azok a bejövő csoportjogcímek, amelyek a partnertől elfogadhatók. Ezt követően az egyes lehetséges bejövő csoportok szervezeti csoportjogcímekhez rendelhetők. Ezzel csoportleképezés jön létre. Ha valamelyik bejövő csoport nem rendelkezik leképezéssel, a partner elveti azt.
-
Egyéni jogcímek
A fiókpartner konfigurálásakor megadhatók azok a bejövő egyéni jogcímnevek, amelyek a partnertől elfogadhatók. Ezt követően az egyes lehetséges bejövő nevek szervezeti csoportjogcímekhez rendelhetők. Ezzel névleképezés jön létre. Ha valamelyik egyéni jogcím nem rendelkezik leképezéssel, a partner elveti azt.
Erőforráspartner
Az erőforráspartner az összevonási megbízhatósági kapcsolatban részt vevő másik szervezeti partner, vagyis az a fél, amelynél a webalkalmazásokat (az erőforrásokat) futtató,. AD FS-t támogató webkiszolgálók elhelyezkednek. Az erőforráspartner a fiókpartnerre bízza a felhasználók hitelesítését. Ezért az engedélyezéssel kapcsolatos döntések meghozatalához az erőforráspartner a fiókpartner felhasználóitól biztonsági jogkivonatokba csomagolva érkező jogcímeket használja fel.
Az erőforráspartner tehát az a szervezet, amelynek az AD FS-t támogató webkiszolgálóit az erőforrás-oldali összevonási szolgáltatás védi. Az erőforráspartnernél működő összevonási szolgáltatás a fiókpartner által előállított biztonsági jogkivonatok alapján hozza meg az erőforráspartner AD FS-t támogató webkiszolgálói számára szükséges hitelesítési döntéseket.
Active Directory összevonási szolgáltatásokat futtató erőforrásként való működéshez az erőforráspartnernél lévő AD FS-t támogató webkiszolgálón telepítve kell lennie az AD FS-webügynök összetevőnek. Az Active Directory összevonási szolgáltatásokat futtató erőforrásként működő kiszolgálók jogcímbarát és Windows NT-jogkivonatalapú alkalmazásokat is üzemeltethetnek.
Megjegyzés | |
Ha az AD FS-t támogató webkiszolgálón tárolt alkalmazás Windows NT-jogkivonatalapú, szükség lehet egy erőforrásfiókra az erőforráspartner Active Directory tartományi szolgáltatásokat futtató erdőjéhez. |
Az Active Directory tartományi szolgáltatásoknál az erőforráspartner fogalmilag egy olyan erdőnek felel meg, amelynek erőforrásaihoz külső vagy erdőszintű megbízhatósági kapcsolatokon keresztül fizikailag más erdőben található fiókokkal is hozzá lehet férni.
Megjegyzés | |
Ez a párhuzam csupán azt szemlélteti, hogy az Active Directory összevonási szolgáltatások fiók- és partnerszervezetei közötti kapcsolat fogalmilag hasonló az Active Directory tartományi szolgáltatásokban lévő fiókerdők és erőforráserdők közötti kapcsolathoz. Az Active Directory összevonási szolgáltatások működéséhez nem szükséges külső vagy erdőszintű megbízhatósági kapcsolat. |
A fiókpartnertől érkező jogcímek felhasználása
Az erőforráspartner a fiókpartner összevonási szolgáltatása által létrehozott, biztonsági jogkivonatokba csomagolt jogcímeket használja fel. Az alábbi lista bemutatja, hogyan küldhetők el a jogcímek az erőforráspartnernek:
-
Egyszerű felhasználónévi jogcím
Az erőforráspartner konfigurálásakor megadható, hogy küldhető-e ahhoz egyszerű felhasználónévi jogcím. Utótag-leképezés megadásával minden egyes utótag hozzárendelhető egy adott kimenő utótaghoz. A juliap@sales.tailspintoys.com egyszerű felhasználónév például leképezhető a juliap@tailspintoys.com névre. A leképezésben csak egyetlen kimenő utótag adható meg.
-
E-mail jogcím
Az erőforráspartner konfigurálásakor megadható, hogy küldhető-e ahhoz egyszerű e-mail jogcím. Utótag-leképezés megadásával minden egyes utótag hozzárendelhető egy adott kimenő utótaghoz. A veronikap@sales.tailspintoys.com egyszerű felhasználónév például leképezhető a veronikap@tailspintoys.com névre. A leképezésben csak egyetlen kimenő utótag adható meg.
-
Köznapi névi jogcím
Az erőforráspartner konfigurálásakor megadható, hogy hogy küldhető-e ahhoz egyszerű köznapi névi jogcím. Ez a jogcímtípus nem képezhető le, így engedélyezése esetén a rendszer egyszerűen átadja azt az erőforráspartnernek.
-
Csoportjogcímek
Az erőforráspartner konfigurálásakor megadhatók azok a kimenő csoportjogcímek, amelyeket az erőforráspartner elfogad. Ezt követően az egyes lehetséges kimenő csoportok hozzárendelhetők szervezeti csoportjogcímekhez. Ezzel csoportleképezés jön létre. Olyan szervezeti csoportjogcímek nem jönnek létre, amelyekhez nem tartozik kimenő csoportjogcím.
-
Egyéni jogcímek
Az erőforráspartner konfigurálásakor megadhatók azok a kimenő egyéni jogcímek, amelyeket az erőforráspartner elfogad. Az egyes lehetséges kimenő egyéni jogcímek hozzárendelhetők szervezeti egyéni jogcímekhez. Ezzel névleképezés jön létre. Olyan szervezeti egyéni jogcímek nem jönnek létre, amelyekhez nem tartozik kimenő egyéni jogcím.
Fokozott identitásvédelem
A fokozott identitásvédelem az erőforráspartner megbízhatósági házirendjében konfigurálható beállítások egyike. Ha a Fokozott identitásvédelem beállítás be van kapcsolva, a rendszer kivonatolja a kimenő egyszerű felhasználónévi és e-mail jogcímek felhasználónevet tartalmazó részét, és a köznapi nevet véletlenszerűen előállított értékkel helyettesíti.
A szolgáltatás célja annak megelőzése, hogy:
-
az erőforráspartner személyes azonosításra alkalmas információkkal társítsa az identitásjogcímeket;
-
a partnerek egymással összejátszva személyes azonosításra alkalmas adatokkal társítsák az identitásjogcímeket – a beállítás partnerszinten egyedi kivonatokat állít elő, ezért a különböző, megbízhatóságot elismerő tartományi partnerek különböző identitásjogcím-értékeket kapnak, de az értékek egy-egy partner munkamenetein belül állandóak;
-
a kivonatot szótáralapú támadással megfejthessék - a szolgáltatás a felhasználói adatokban a megbízhatósági házirendből származó, vagyis az erőforráspartner által nem ismert adatokat helyez el.