Az Active Directory összevonási szolgáltatások (AD FS) a Windows Server® 2003 R2, Windows Server 2008 és Windows Server 2008 R2 operációs rendszer egyik összetevője, amely egyszeri bejelentkezési (SSO) technológiák révén lehetővé teszi, hogy a felhasználók egy online munkamenet időtartamára több, kapcsolódó webalkalmazás számára is hitelesíthessék magukat. Az Active Directory összevonási szolgáltatások ezt a digitális identitások és jogcímek biztonsági és vállalati határokon átívelő, biztonságos megosztásával teszik lehetővé.

Az AD FS funkciói

A Windows Server 2008 és a Windows Server 2008 R2 rendszerben az AD FS új, a Windows Server 2003 R2 rendszerben még nem elérhető funkciókkal bővült. Ezeket az új funkciókat az AD FS újdonságait ismertető dokumentum tartalmazza Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684) (előfordulhat, hogy a lap angol nyelven jelenik meg).

Az alábbiakban az AD FS legfontosabb funkcióiról olvashat:

  • Összevont és webes egyszeri bejelentkezés

    Ha egy szervezet Active Directory tartományi szolgáltatásokat (AD DS) működtet, akkor saját biztonsági és vállalati határain belül az integrált Windows-hitelesítéssel kihasználhatja az egyszeri bejelentkezési (SSO) technológia előnyeit. Az AD FS ezt a funkcionalitást kiterjeszti az internetes alkalmazásokra, ezáltal lehetővé téve a vevőknek, partnereknek és szállítóknak, hogy hasonló, korszerű egyszeri webes bejelentkezési mechanizmuson keresztül hozzáférhessenek a szervezet webalkalmazásaihoz. Emellett a vállalatközi (B2B) összevont tranzakciók partnerszervezetek közötti lebonyolításához összevonási kiszolgálók helyezhetők üzembe az együttműködő partnereknél. Az AD FS-alapú összevonásról további információkat Az összevonási tervek ismertetése című témakörben találhat.

  • Kompatibilitás a Web Services (WS-*) specifikációval

    Az Active Directory összevonási szolgáltatások összevont identitáskezelési megoldást biztosít, amely együttműködik a WS-* webszolgáltatási architektúrát támogató más biztonsági termékekkel. Az együttműködést a WS-* szabványcsoport Webszolgáltatás-összevonás specifikációjának használata teszi lehetővé. A Webszolgáltatás-összevonás specifikáció a Windows rendszerű és a nem Microsoft® Windows® rendszerű identitásmodellre épülő környezetek között is lehetővé teszi az összevonási megoldások kialakítását. A WS-* architektúra specifikációiról további információkat Az Active Directory összevonási szolgáltatásokkal kapcsolatos források című témakörben talál.

  • Bővíthető architektúra

    Az Active Directory összevonási szolgáltatások bővíthető architektúrája az erdőszintű megbízhatósággal kiegészített összevont egyszeri webes bejelentkezési modellben támogatja az SAML típusú jogkivonatokat és a Kerberos-hitelesítést. Az AD FS jogcímleképezést is végezhet, például a hozzáférési kérésekben egyéni üzleti logika alapján módosíthatja a jogcímeket. A szervezetek ezen bővíthetőségnek köszönhetően úgy módosíthatják az Active Directory összevonási szolgáltatásokat, hogy az együttműködjön a meglévő biztonsági infrastruktúrával és vállalati házirendekkel. A jogcímek módosításáról további tudnivalókat A jogcímek ismertetése című témakörben találhat.

Az AD DS kiterjesztése az internetre

Az AD DS sok szervezetben elsődleges identitási és hitelesítési szolgáltatásként működik. A Windows Server 2003 rendszer Active Directory szolgáltatásával és a Windows Server 2008, valamint a Windows Server 2008 R2 AD DS szolgáltatásával erdőszintű megbízhatósági kapcsolatok hozhatók létre két vagy több Windows Server 2003, Windows Server 2008 vagy Windows Server 2008 R2 erdő között, amivel hozzáférés biztosítható más vállalati egységek vagy szervezetek erőforrásaihoz. Az erdőszintű megbízhatósági kapcsolatokról további információkat talál a Microsoft webhelyének tartományi és erdőszintű megbízhatósági kapcsolatok működését tárgyaló dokumentumában (https://go.microsoft.com/fwlink/?LinkId=35356) (előfordulhat, hogy a lap angol nyelven jelenik meg).

Vannak azonban olyan esetek, amikor az erdőszintű megbízhatósági kapcsolatok nem nyújtanak megfelelő megoldást. Előfordulhat például, hogy a szervezetek közötti hozzáférési jogosultság csak a felhasználók egy kisebb csoportjára korlátozódik, és nem engedélyezett az erdő összes tagjának.

Az Active Directory összevonási szolgáltatásokkal a szervezetek úgy bővíthetik Active Directory-alapú infrastruktúrájukat, hogy hozzáférést biztosíthatnak a megbízható partnerek által kínált internetes erőforrásokhoz. A megbízható partner lehet külső fél, illetve a szervezet egy másik részlege vagy leányvállalata is.

Az Active Directory összevonási szolgáltatások támogatják az internetes elosztott hitelesítést és engedélyezést, továbbá az egyes szervezetek hozzáférés-kezelési megoldásaiba integrálhatók. Utóbbi révén az adott szervezetben kialakított szabályok megfeleltethetők az összevonáshoz használatos jogcímeknek. Az AD FS képes előállítani, biztonságossá tenni és ellenőrizni a szervezetek között vándorló jogcímeket; továbbá naplózhatja és figyelheti a szervezetek és a részlegek között folyó tevékenységeket – ezzel hozzájárulva a tranzakciók biztonságos lebonyolításához.

Az AD FS szolgáltatásról további információt a következő témakörökben talál:


Tartalom