Az Active Directory összevonási szolgáltatások (AD FS) telepítésének tervezése során határozza meg az AD DS által védeni kívánt típusú összevont alkalmazásokat. Az összevonáshoz az alkalmazásnak az alábbiakban ismertetett alkalmazástípusok legalább egyikébe kell tartoznia.

Az AD FS jelen verziójának továbbfejlesztett alkalmazástámogatásáról az AD FS Windows Server 2008 rendszerbeli újdonságait ismertető dokumentumban talál bővebb információt (https://go.microsoft.com/fwlink/?LinkId=85684) (előfordulhat, hogy a lap angol nyelven jelenik meg).

Jogcímbarát alkalmazás

A jogcím egy, a felhasználóra vonatkozó állítás (például név, identitás, kulcs, csoport, jogosultság vagy képesség), amelyet az AD FS alapján működő összevonási környezetben mindkét fél képes értelmezni, és amelyet alkalmazások használatának engedélyezéséhez használnak fel.

A jogcímbarát alkalmazások AD FS-függvénytár segítségével létrehozott, Microsoft ASP.NET-alapú alkalmazások, amelyek teljes mértékben képesek az AD FS jogcímeire alapozva engedélyezési döntéseket hozni. A jogcímbarát alkalmazás elfogadja az összevonási szolgáltatás által a biztonsági AD FS-jogkivonatokban küldött jogcímeket. Ha többet szeretne tudni arról, hogy az összevonási szolgáltatás hogyan használja a biztonsági jogkivonatokat és a jogcímeket, olvassa el Az Összevonási szolgáltatás nevű szerepkör-szolgáltatás ismertetése című témakört.

A jogcímek leképezése nem más, mint a leképezési, az eltávolítási és a szűrési műveletek összessége, de ide sorolható a bejövő jogcímek kimenő jogcímeknek történő átadása is. Nem valósul meg jogcímleképezés, ha az ügyfél a jogcímeket az alkalmazásnak küldi. Ilyenkor a program csak az összevonási szolgáltatás rendszergazdája által az erőforráspartnernél definiált szervezeti jogcímeket küldi el az alkalmazásnak. (Ez utóbbiak az adott szervezet névterén belül elhelyezkedő, közbenső vagy normalizált formátumú jogcímek.) A jogcímek módosításáról további tudnivalókat A jogcímek ismertetése című témakörben találhat.

Az alábbi lista a jogcímbarát alkalmazások által használható szervezeti jogcímek leírását tartalmazza:

  • Identitásjogcímek (egyszerű felhasználónévi jogcím, e-mail jogcím, köznapi névi jogcím)

    Alkalmazás konfigurálásakor megadhatja, hogy ezen identitásjogcímek melyikét küldje el a program az alkalmazásnak. Leképezés és szűrés nem valósul meg.

  • Csoportjogcímek

    Alkalmazás konfigurálásakor megadhatja, hogy a szervezeti csoportjogcímek melyikét küldje el a program az alkalmazásnak. Az elküldésre ki nem jelölt szervezeti csoportjogcímeket a program elveti.

  • Egyéni jogcímek

    Alkalmazás konfigurálásakor megadhatja, hogy a szervezeti egyéni jogcímek melyikét küldje el a program az alkalmazásnak. Az elküldésre ki nem jelölt szervezeti egyéni jogcímeket a program elveti.

Jogcímbarát engedélyezés

A jogcímbarát engedélyezés egy HTTP-modult és a biztonsági AD FS-jogkivonatokban továbbított jogcímek lekérdezésére szolgáló objektumokat foglalja magába. Ezt a típusú engedélyezést kizárólag Microsoft ASP.NET-alapú alkalmazások támogatják.

A HTTP-modul a webalkalmazás Web.config fájljában lévő konfigurációs beállítások alapján dolgozza fel az AD FS protokollüzeneteit. A weblapok engedélyezési és jogosultsági feladatokat látnak el. Szintén a HTTP-modul hitelesíti a cookie-kat és szerzi be belőlük a jogcímeket.

Windows NT-jogkivonatalapú alkalmazás

A Windows NT-jogkivonatalapú alkalmazások olyan IIS-alkalmazások, amelyek a Windows hagyományos natív engedélyezési mechanizmusainak használatára készültek. Ez az alkalmazástípus nincs felkészítve az Active Directory összevonási szolgáltatások (AD FS) jogcímeinek feldolgozására.

A Windows NT-jogkivonatalapú alkalmazásokat a helyi tartományban (vagy a vele megbízhatósági kapcsolatban lévő tetszőleges tartományban) lévő Windows-felhasználók használhatják - azaz csak azok, akik a számítógépre Windows NT-jogkivonatalapú hitelesítési módszerrel be tudnak jelentkezni.

Megjegyzés

Összevonási tervek esetén ez azt jelenti, hogy a Windows NT-jogkivonatalapú hitelesítési módszer erőforrásfiókokat vagy erőforráscsoportokat igényel.

A Windows NT-jogkivonatalapú ügynöknek küldött biztonsági AD FS-jogkivonat az alábbi típusú jogcímeket tartalmazhatja:

  • A felhasználó egyszerű felhasználónévi (UPN) jogcíme

  • A felhasználó e-mail jogcíme

  • Csoportjogcím

  • A felhasználó egyéni jogcíme

  • A felhasználói fiók biztonsági azonosítóit (SID) tartalmazó UPN, e-mail, csoport- vagy egyéni jogcím (csak a Windows-alapú megbízhatóság beállítás engedélyezése esetén).

Az AD FS-t támogató webkiszolgáló létrehoz egy Windows megszemélyesítési szintű hozzáférési jogkivonatot. A megszemélyesítési szintű hozzáférési jogkivonat rögzíti az ügyfélfolyamat biztonsági adatait, így lehetővé teszi, hogy egy szolgáltatás a biztonsági műveletekben „megszemélyesítse” az ügyfélfolyamatot.

Windows NT-jogkivonatalapú webalkalmazások esetében az alábbi folyamatsorrend határozza meg a Windows NT-jogkivonat létrehozásának módját:

  1. Ha a SAML-jogkivonat az Advice elemében tartalmaz biztonsági azonosítókat, a program a biztonsági azonosítók használatával hozza létre a Windows NT-jogkivonatot.

  2. Ha a SAML-jogkivonat nem tartalmaz biztonsági azonosítókat, de UPN identitásjogcímet igen, a program e jogcím használatával hozza létre a Windows NT-jogkivonatot.

  3. Ha a SAML-jogkivonat nem tartalmaz biztonsági azonosítókat, de jelen van az e-mail identitásjogcímben lévő egyszerű felhasználónévi identitásjogcím, a program azt egyszerű felhasználónévként értelmezi, és használatával hozza létre a Windows NT-jogkivonatot.

Ez a működés független attól, hogy az egyszerű felhasználónévi identitásjogcím vagy az e-mail identitásjogcím meg van-e adva a Windows NT-jogkivonat generálásához használt identitásjogcímként, ha a megbízhatósági házirend webalkalmazásra vonatkozó bejegyzését az összevonási szolgáltatás hozza létre.

Hagyományos Windows-alapú engedélyezés

A biztonsági AD FS-jogkivonatok megszemélyesítési szintű Windows NT hozzáférési jogkivonatokká való átalakításának támogatásához több összetevőre is szükség van. Ezek az alábbiak:

  • ISAPI-bővítmény: Ez az összetevő ellenőrzi az AD FS-cookie-kat, az összevonási szolgáltatástól érkező biztonsági AD FS-jogkivonatokat, elvégzi a megfelelő protokollátirányításokat, és létrehozza az AD FS működéséhez szükséges cookie-kat.

  • Az AD FS hitelesítési csomagja: Az AD FS hitelesítési csomagja létrehoz egy megszemélyesítési szintű hozzáférési jogkivonatot – egy tartományi fiók egyszerű felhasználóneve alapján. A csomag működéséhez a hívónak TCB jogosultsággal kell rendelkeznie.

  • Az IIS-kezelő beépülő modul AD FS-webügynök és Összevonási szolgáltatás URL-címe tulajdonságlapjai: Ezen tulajdonságlapokon felügyelheti a biztonsági AD FS-jogkivonatokat és a cookie-kat ellenőrző házirendet és tanúsítványokat.

  • AD FS-webügynök hitelesítési szolgáltatása: Az AD FS-webügynök hitelesítési szolgáltatása a Helyi rendszer fiókban fut, és vagy a Service-for-User (S4U) hitelesítési bővítmény, vagy az AD FS hitelesítési csomagja használatával hoz létre jogkivonatokat. Az Internet Information Services (IIS) alkalmazáskészletet azonban nem szükséges a Helyi rendszer fiókban futtatni. Az AD FS-webügynök hitelesítési szolgáltatásának felületei csak helyi RPC-hívással (LRPC) hívhatók, RPC-hívással nem. Ha biztonsági AD FS-jogkivonatot vagy AD FS-cookie-t kap, a szolgáltatás megszemélyesítési szintű Windows NT hozzáférési jogkivonatot ad vissza.

  • AD FS-webügynök ISAPI-szűrője: Egyes hagyományos IIS-alapú webalkalmazások ISAPI-szűrőt használnak, amely módosíthatja a bejövő adatokat, például az URL-címeket. Ebben az esetben engedélyezni kell az AD FS-webügynök ISAPI-szűrőjét, és a legmagasabb prioritású szűrőként kell konfigurálni. A szűrő alapértelmezés szerint nincs engedélyezve.


Tartalom