Active Directory Federation Services (ADFS) supporta progettazioni di identità federativa (note anche come scenari federativi) in cui vengono utilizzate le specifiche WS-Federation (Web Services Federation), WS-F PRP (WS-Federation Passive Requestor Profile) e WS-Federation Passive Requestor Interoperability Profile. La soluzione ADFS facilita la gestione delle identità federative da parte degli amministratori consentendo alle organizzazioni di condividere in modo sicuro le informazioni di identità di un utente tramite relazioni di trust federative. Nelle descrizioni seguenti relative a tre progettazioni di distribuzione viene illustrato come è possibile utilizzare una combinazione di ruoli server ADFS per creare identità federative in base alle esigenze dell'organizzazione. Per ulteriori informazioni sui vari ruoli server, vedere Informazioni sui servizi ruolo di ADFS.
Web SSO federativo
La progettazione Web SSO (Single Sign-On) federativo prevede comunicazioni sicure che spesso attraversano più firewall, reti perimetrali e server di risoluzione dei nomi, oltre all'intera infrastruttura di routing Internet. La comunicazione in un ambiente Web SSO federativo consente transazioni online più efficienti e sicure tra le organizzazioni unite da relazioni di trust federative.
Come illustrato nella figura seguente, è possibile stabilire una relazione di trust federativa tra due aziende. In questa progettazione, i server federativi indirizzano le richieste di autenticazione provenienti da account utente di Tailspin Toys ad applicazioni basate sul Web che si trovano nella rete di Online Retailer.
Le richieste provenienti da partner considerati attendibili vengono autenticate dai server federativi in base alle credenziali dei partner. Le rappresentazioni delle credenziali vengono scambiate sotto forma di token di sicurezza.
Per garantire una sicurezza avanzata, è possibile utilizzare proxy server federativi per l'inoltro delle richieste ai server federativi che non sono accessibili direttamente da Internet.
Web SSO federativo con trust tra foreste
La progettazione Web SSO federativo con trust tra foreste prevede due foreste di Active Directory in un'unica organizzazione, come illustrato nella figura seguente. Una delle foreste si trova nella rete perimetrale dell'organizzazione (nota anche come DMZ, rete Extranet o subnet schermata), mentre l'altra foresta si trova nella rete interna. Viene stabilito un trust tra foreste unidirezionale affinché la foresta nella rete perimetrale consideri attendibile la foresta nella rete interna. In entrambe le reti vengono distribuiti server federativi. Viene stabilita una relazione di trust federativa in modo da consentire l'utilizzo degli account nella foresta interna per accedere a un'applicazione basata sul Web nella rete perimetrale, indipendentemente dal fatto che gli account accedano al sito dalla foresta Intranet oppure da Internet.
In questa progettazione gli utenti esterni, ad esempio i clienti, possono accedere all'applicazione Web eseguendo l'autenticazione con il server federativo degli account esterni, che si trova nella rete perimetrale. Gli utenti esterni dispongono di account utente nella foresta di Active Directory della rete perimetrale. Gli utenti interni, ad esempio i dipendenti, possono inoltre accedere all'applicazione Web eseguendo l'autenticazione con il server federativo degli account interni, che si trova nella rete interna. Gli utenti interni dispongono di account utente nella foresta di Active Directory interna.
Se l'applicazione basata sul Web è un'applicazione basata su token Windows NT, l'agente Web ADFS in esecuzione nel server dell'applicazione Web intercetta le richieste e crea token di sicurezza Windows NT, necessari all'applicazione Web per prendere decisioni relative alle autorizzazioni. Per gli utenti esterni, questo è possibile perché il server Web abilitato per ADFS che ospita l'applicazione basata su token Windows NT viene aggiunto al dominio nella foresta esterna. Per gli utenti interni, questo è possibile grazie alla relazione di trust tra la foresta perimetrale e la foresta interna.
Se l'applicazione basata sul Web è un'applicazione in grado di riconoscere attestazioni, non è necessario che l'agente Web ADFS in esecuzione nel server dell'applicazione Web crei token di sicurezza Windows NT per l'utente. L'agente Web ADFS può esporre le attestazioni ricevute, consentendo all'applicazione di prendere decisioni relative alle autorizzazioni in base ai contenuti del token di sicurezza fornito dal server federativo degli account. Per tale motivo, quando vengono distribuite applicazioni in grado di riconoscere attestazioni, non è necessario che il server Web abilitato per ADFS venga aggiunto al dominio e non è richiesta la relazione di trust tra la foresta esterna e quella interna.
Web SSO
Nella progettazione Web SSO di ADFS, gli utenti devono eseguire l'autenticazione una sola volta per accedere a più applicazioni basate sul Web. In questa progettazione, tutti gli utenti sono esterni e non esiste alcuna relazione di trust federativa. Poiché è necessario che i server Web abilitati per ADFS siano accessibili da Internet e che inoltre siano stati aggiunti al dominio di Active Directory, tali server sono connessi a due reti, ovvero sono multihomed. La prima rete, ovvero la rete perimetrale, è connessa a Internet per garantire la connettività necessaria. Le seconda rete, ovvero la rete protetta, contiene la foresta di Active Directory che non è accessibile direttamente da Internet. Anche il proxy server federativo è multihomed per garantire la connettività necessaria al server federativo e a Internet. In questa progettazione, l'inserimento del server federativo in una rete che non è accessibile direttamente da Internet consente di ridurre notevolmente i rischi per il server federativo.
