Az Active Directory összevonási szolgáltatások (AD FS) fióktárolókat használnak a felhasználók bejelentkezéséhez és a számukra kiosztandó biztonsági jogcímek előállításához. Az összevonási szolgáltatás egyetlen példányához több fióktárolót is konfigurálhat, és megadhatja prioritásukat. A szolgáltatás a fióktárolókkal az LDAP protokollon keresztül kommunikál. Az AD FS a fióktárolók következő két típusát támogatja:
-
Active Directory tartományi szolgáltatások (AD DS)
-
Active Directory Lightweight Directory-szolgáltatások (AD LDS)
Az AD FS az AD DS vállalati szintű telepítéseit és az AD LDS-példányok használatát egyaránt támogatja. Az AD DS szolgáltatással együttműködő AD FS használhatja a címtárszolgáltatásba épített erős hitelesítési technológiákat, például a Kerberos-hitelesítést, az X.509 szabványú digitális aláírásokat és az intelligens kártyákat. Az AD LDS szolgáltatással együttműködve az AD FS LDAP-alapú kötésekkel hitelesíti a felhasználókat.
AD DS-fióktárolók
Az AD FS szoros integrációban működik az AD DS szolgáltatással. Az AD DS szolgáltatásból olvassa be a felhasználói attribútumokat, és a felhasználókat a címtár alapján hitelesíti. Az AD FS az integrált Windows-hitelesítést és az AD DS által létrehozott biztonsági jogkivonatokat is használja.
Az AD DS szolgáltatásba való bejelentkezéshez a felhasználónevet egyszerű felhasználónév (UPN) formátumban (felhasználó@kontraktor.com) vagy SAM-fióknév formátumban (kontraktor\felhasználó) kell megadni.
A hozzáférési jogkivonatokat a felhasználó bejelentkezésekor hozza létre a rendszer. A hozzáférési jogkivonatok a felhasználó és azon csoportok biztonsági azonosítóit (SID) tartalmazza, amelyekhez a felhasználó tartozik. A rendszer minden felhasználó által elindított folyamathoz hozzárendeli a hozzáférési jogkivonat egy példányát.
A felhasználó bejelentkezése és megszemélyesítése után a rendszer enumerálja a biztonsági azonosítókat a hozzáférési jogkivonatból, majd szervezeti csoportjogcímekre képezi le.
Figyelem! | |
Amikor engedélyezi a Windows-alapú megbízhatóság beállítást a fiók-összevonási szolgáltatásban, tényleges biztonsági azonosítókat küld el az erőforráspartner szervezetének az interneten keresztül, ami biztonsági kockázatot jelenthet. A biztonsági azonosítók AD FS-alapú SAML-jogkivonatokba vannak csomagolva, ezért csak akkor engedélyezze ezt a beállítást, ha az „Összevont webes egyszeri bejelentkezés (SSO) erdőszintű megbízhatósággal” megoldást használja, amely a biztonságos kommunikáció egyazon szervezeten belüli kialakítására szolgál. |
Amikor a rendszer az összevonási szolgáltatási fiók használatával egy adott objektumra irányuló LDAP-keresést végez, az AD DS szolgáltatásban definiált felhasználóobjektumi attribútumokból állítja elő az e-mail jogcímeket, a teljes névi jogcímeket és az egyéni jogcímeket.
Az összevonási szolgáltatási fióknak hozzáférési engedéllyel kell rendelkeznie a felhasználóobjektumhoz. Ha a felhasználóobjektum és az összevonási szolgáltatási fiók eltérő tartományban található, az előbbi tartománynak AD DS-alapú tartományi megbízhatósági kapcsolatban kell állnia az utóbbival.
Közvetlenül nem lehet megállapítani azt, hogy egy adott felhasználónév létezik-e az AD DS szolgáltatásban vagy a vele (akár közvetlenül, akár tranzitív módon) megbízhatósági kapcsolatban álló többi címtárban. Az AD DS csak akkor ad vissza mérvadó hibát, ha a bejelentkezési kísérlet házirendi korlátozás miatt hiúsul meg. Sikertelen bejelentkezést többek között az alábbi házirendi korlátozások okozhatnak:
-
A fiók le van tiltva.
-
A fiók jelszava lejárt.
-
A fióknak nincs engedélye a számítógépre való bejelentkezésre.
-
A fiókra bejelentkezési időkorlát vonatkozik, és a bejelentkezési kísérlet idején a bejelentkezés nem engedélyezett.
Egyéb esetekben az AD DS fióktárolójába való bejelentkezés hibái nem mérvadóak lesznek, és a rendszer a prioritási rangsorban következő fióktárolóba kísérli meg a bejelentkezést. További információkat a fióktárolóba való bejelentkezés meghiúsulásáról az Az Active Directory összevonási szolgáltatásokkal kapcsolatos hibaelhárítás című témakör tartalmaz.
AD LDS-fióktárolók
Az AD LDS adattárolási és adatbeolvasási szolgáltatásokat nyújt a címtárbarát alkalmazások számára, és mindehhez nincs szükség az AD DS szolgáltatáshoz szükséges függőségekre. Az Active Directory Lightweight Directory-szolgáltatások lényegében ugyanazokat a szolgáltatásokat nyújtja, mint az Active Directory tartományi szolgáltatások, de a használatához nem szükséges tartományokat vagy tartományvezérlőket telepíteni. Az AD FS hasonlóan olvassa be a felhasználói attribútumokat és végzi a felhasználók hitelesítését az AD DS alapján, mint ahogyan az AD DS fióktárolójában tárolt információkat használja.
Megjegyzés | |
Az AD FS nem képes hitelesíteni azokat az AD LDS-fiókokat, amelyek neve zárójelet tartalmaz. A felhasználónévben nyitó zárójelet tartalmazó fiókok miatt az LDAP-keresés sikertelen lesz, mivel a felhasználónév érvénytelen LDAP-szűrőt alkot. |
Az összevonási szolgáltatási fiók azokat a jogcímeket szerzi be, amelyekkel az objektum LDAP-kereséssel megkereshető. További információ: A jogcímek ismertetése. Ez a folyamat két lépésből áll:
-
Az összevonási szolgáltatás először megkeresi a felhasználóobjektumot oly módon, hogy rákeres arra az objektumra, amelynek konfigurált attribútuma megegyezik a megadott felhasználónévvel. Az összevonási szolgáltatási fiók ezt az adatforgalmat Kerberos- vagy NTLM-titkosítással védi.
Megjegyzés Ehhez az AD LDS-kiszolgálónak olyan tartományhoz kell csatlakoznia, amely megbízhatósági kapcsolatban áll azzal a tartománnyal, amelyben az összevonási szolgáltatás fut.
-
Ezután a rendszer ellenőrzi a felhasználó hitelesítő adatait: a megadott jelszóval, az LDAP protokollon keresztül kötést hoz létre a megtalált felhasználóobjektummal. Ha a megbízhatósági házirendben a TLS/SSL protokoll van beállítva az AD LDS-fióktároló tulajdonságainál, a hitelesítő adatok védve vannak.
Fontos! Feltétlenül ajánlott az AD LDS-kiszolgáló és az összevonási kiszolgáló közötti adatforgalmat a TLS/SSL protokollal vagy más módon (például az IPSec szolgáltatással) védeni.
Ha a megadott felhasználónév esetében az LDAP-lekérdezés több objektumot ad vissza, az hitelesítési hibát jelent.
A felhasználói fiókot a rendszer először az AD LDS-fióktárolóban (ha az be van állítva), majd a többi LDAP-tárolóban keresi a konfigurálási sorrend szerint. Ha megtalálja valamelyik tárolóban, mérvadó módon bejelentkezteti a felhasználót, és nem hív meg más fióktárolót a felhasználói bejelentkezési kérés feldolgozására.
A felhasználói bejelentkezési kérések prioritásának megállapítása
Ha egy felhasználótól AD FS-ügyfélen keresztül bejelentkezési kérés érkezik az AD DS vagy AD LDS szolgáltatáshoz, azt a rendszer azonnal továbbítja a megadott fióktárolóhoz. Ha azonban a fióktároló egységes erőforrás-azonosítója nincs megadva, az összevonási szolgáltatás a prioritási sorrendjük alapján az összes tárolóval megkísérli a felhasználót bejelentkeztetni. A bejelentkezés az alábbi esetekben minősül hitelesítettnek:
-
Csak egy tároló van konfigurálva, és a hitelesítő adatok ellenőrzése sikerül.
-
A tároló egységes erőforrás-azonosítója meg van adva a bejelentkezési kérésben, és a hitelesítő adatok ellenőrzése sikerül.
-
A hitelesítés eredménye az egyik tároló esetében mérvadó.
-
Az egyik tárolóval sikerül a hitelesítés.
Fióktárolók letiltása
Mindegyik fióktároló megjelölhető engedélyezettként vagy letiltottként. Ha egy fióktároló le van tiltva, akkor semmilyen fióktárolóval kapcsolatos műveletben nem vesz részt. Az aktuálisan letiltott fióktárolóból eredő jogcímekre vonatkozó cookie-kat a rendszer elveti vagy törli, és az ügyfelet átirányítja a bejelentkezési lapra.