A Microsoft Federation Gateway egy internetes identitásszolgáltatás, amely közvetít a szervezet vagy vállalkozás és az általa használni kívánt külső szolgáltatások között. A szolgáltatás a szervezet által a Windows Azure-alapú alkalmazásokkal vagy Microsoft internetes alkalmazásokkal létesíteni kívánt számos kapcsolat központi átjárójaként működik, amely összeköti a felhasználókat és más identitásokat az általuk használt szolgáltatásokkal, így a szervezetnek csak egyetlen identitás-összevonási kapcsolatot kell kezelnie ahhoz, hogy lehetővé tegye az identitások számára az összes általuk használni kívánt Microsoft- és Microsoft-alapú szolgáltatás elérését.
A Microsoft Federation Gateway egy egyszerű, szabványokon alapuló módszert biztosít az alkalmazások számára a különálló szervezetek közötti bizalmi kapcsolatok létesítésére, SSL-tanúsítványok segítségével bizonyítva a tartományok tulajdonjogát. Mivel az összevonás a szervezet és az átjáró, és nem a szervezetek között jön létre, sokkal könnyebb a szervezetek számára bizalmi kapcsolat létrehozása több partnerrel, mint a hagyományos egyenkénti összevonás vagy más megbízhatósági kapcsolatok használata esetén. Az összevonás hatóköre könnyen szabályozható felhasználók és tartományok licencelés-engedélyezési és -megtagadási listáinak létrehozásával, illetve azon tartományok megadásával, amelyek kaphatnak közzétételi licenceket. Ez garantálja, hogy csak a megfelelő szervezetek férhessenek hozzá a védett információkhoz.
Az identitás-összevonási kapcsolat egy szabványokon alapuló szervezetek közötti megállapodás, amelyben a szervezetek átadhatják és elismerhetik egymás jogcímeit. A kapcsolat révén a felhasználók saját identitásszolgáltatójuk segítségével jelentkezhetnek be, és az hitelesíti őket – az identitásszolgáltató az a szervezet, amely a felhasználók identitásaként használt fiókokat kezeli –, majd ezt követően átadhatja a hitelesítést az összevont partnernek anélkül, hogy a felhasználónak újra be kellene jelentkeznie.
A Microsoft Federation Gateway szolgáltatás a kompatibilitás, az egyszerűség és a biztonság fokozása érdekében egymással együttműködő, a Web Services (WS-*) specifikációk által definiált, az iparágban szabványos protokollok – például a WS-Trust és a WS-Security – alapján hoz létre identitás-összevonási kapcsolatokat. Ez lehetővé teszi, hogy a szervezetek identitás-összevonási kapcsolatot létesíthessenek anélkül, hogy azonos platformot vagy infrastruktúrát kellene használniuk.
Amikor két szervezet identitás-összevonási kapcsolatot létesít, az egyik fél (az identitásszolgáltató) ellenőrzi a saját felhasználói fiókjait, míg a másik partner (az erőforrás-szolgáltató) az identitásszolgáltató által végzett hitelesítésre hagyatkozva biztosítja az erőforrásaihoz való hozzáférést. A felhasználó identitása jogcímek – a felhasználóra vonatkozó, a kiszolgáló által megállapított tulajdonságok – halmazaként van definiálva. Ilyenek például a felhasználó neve, csoportjai és engedélyei. Az identitás-összevonás lehetővé teszi ezen identitásjogcímek megosztását.
A Microsoft Federation Gateway szolgáltatásban az identitásszolgáltató szabványos SAML formátumban továbbítja az átjárónak a hitelesítési adatokat, amelyeket ezután a Microsoft Federation Gateway a Microsoft szolgáltatások által használható szolgáltatás-jogkivonattá alakít.
A Windows Server® 2008 R2 rendszer által tartalmazott Microsoft Federation Gateway-támogatás lehetővé teszi az AD RMS számára, hogy jogkivonatokat fogadjon a Microsoft Federation Gateway szolgáltatástól a felhasználók licencelése és hitelesítése céljából. A Microsoft Exchange Server 2010 alkalmazás például kihasználhatja ezt a lehetőséget, lehetővé téve az AD RMS által védett üzenetek továbbítását olyan szervezetek között, amelyek nem ugyanazt az Active Directory Tartományi szolgáltatás (AD DS) infrastruktúrát használják. Amikor az Exchange Server 2010 infrastruktúra úgy van konfigurálva, hogy kihasználja ezeket a szolgáltatásokat, a felhasználók a küldő szervezeten kívüli címzetteknek is küldhetnek az AD RMS által védett e-mail üzeneteket, akik az Exchange Server 2010 Outlook Web App alkalmazásában vagy a Microsoft Outlook alkalmazásban megtekinthetik azokat. Emellett a küldők kártevőkeresési, naplózási és más célokból engedélyezhetik a védett tartalmak visszafejtését az Exchange Server 2010 alkalmazást használó címzett szervezeteknek.
További információ az Microsoft Federation Gateway-támogatás az AD RMS szolgáltatáson való telepítéséről: Feladatlista: A Microsoft Federation Gateway szolgáltatást támogató Active Directory tartalomvédelmi szolgáltatások telepítése.