In qualsiasi progettazione di Active Directory Federation Services (ADFS) è necessario utilizzare vari certificati per proteggere la comunicazione e facilitare le richieste di autorizzazione e di autenticazione utente indirizzate ai server federativi, ai proxy server federativi e ai server Web abilitati per ADFS.

Per ulteriori informazioni sui certificati, vedere la pagina relativa all'infrastruttura a chiave pubblica per Windows Server 2003 all'indirizzo https://go.microsoft.com/fwlink/?LinkId=19936.

Certificati utilizzati dai server federativi

Per partecipare alle comunicazioni ADFS, ogni server federativo deve disporre di un certificato di autenticazione server e di un certificato per la firma di token. I criteri di attendibilità richiedono un certificato associato, noto come certificato di verifica, che è la parte corrispondente alla chiave pubblica del certificato per la firma di token.

Certificati di autenticazione server

Il server federativo utilizza i certificati di autenticazione server SSL (Secure Sockets Layer) per proteggere il traffico dei servizi Web relativo alla comunicazione con i client Web o con il proxy server federativo. Questi certificati vengono richiesti e installati tramite lo snap-in Internet Information Services (IIS).

Certificati per la firma di token

Ogni server federativo utilizza un certificato per la firma di token al fine di apporre la firma digitale in tutti i token di sicurezza generati. Poiché ogni token di sicurezza viene firmato digitalmente dal partner account, il partner risorse è in grado di verificare che il token di sicurezza sia stato effettivamente rilasciato dal partner account e non sia stato modificato. In questo modo è possibile impedire agli autori di attacchi di creare o modificare token di sicurezza per ottenere l'accesso non autorizzato alle risorse.

Le firme digitali nei token di sicurezza vengono inoltre utilizzate nel partner account qualora siano disponibili più server federativi. In tal caso, le firme digitali consentono di verificare l'origine e l'integrità dei token di sicurezza rilasciati da altri server federativi nel partner account. Le firme digitali vengono verificate tramite certificati di verifica.

Nota

Ogni certificato per la firma di token contiene una chiave privata associata.

Certificati di verifica

I certificati di verifica consentono di verificare che un token di sicurezza sia stato rilasciato da un server federativo valido e non sia stato modificato. I certificati di verifica rappresentano effettivamente i certificati per la firma di token di altri server federativi.

Per verificare che un token di sicurezza sia stato rilasciato da un determinato server federativo e non sia stato modificato, è necessario che il server federativo disponga di un certificato di verifica per il server federativo che ha rilasciato il token di sicurezza. Se ad esempio il server federativo A rilascia un token di sicurezza e lo invia al server federativo B, quest'ultimo deve disporre di un certificato di verifica per il server federativo A, che svolge la funzione di certificato per la firma dei token per il server federativo A.

Nota

A differenza di un certificato per la firma di token, un certificato di verifica non contiene la chiave privata associata al certificato.

Certificati utilizzati dai proxy server federativi

I server che eseguono il servizio ruolo Proxy servizio federativo devono utilizzare un certificato di autenticazione client e un certificato di autenticazione server.

Certificati di autenticazione client

Ogni proxy server federativo utilizza un certificato di autenticazione client SSL per eseguire l'autenticazione con il servizio federativo. È possibile utilizzare come certificato di autenticazione client del proxy server federativo qualsiasi certificato con utilizzo chiavi avanzato (EKU) per l'autenticazione client. Una copia del certificato di autenticazione client del proxy server federativo viene archiviata sia nel proxy server federativo che nei criteri di attendibilità del server federativo. La chiave privata associata al certificato di autenticazione client del proxy server federativo viene archiviata tuttavia solo nel proxy server federativo.

Nota

L'interfaccia utente Criteri di attendibilità nello snap-in Active Directory Federation Services fa riferimento ai certificati di autenticazione client come certificati di Proxy servizio federativo.

Certificati di autenticazione server

Il proxy server federativo utilizza i certificati di autenticazione server SSL (Secure Sockets Layer) per proteggere il traffico dei servizi Web relativo alla comunicazione con i client Web. Questi certificati vengono richiesti e installati tramite lo snap-in Internet Information Services (IIS).

Certificati utilizzati dai server Web abilitati per ADFS

Ogni server Web abilitato per ADFS che ospita un agente Web ADFS utilizza i certificati di autenticazione server SSL per la comunicazione sicura con i client Web. Questi certificati vengono richiesti e installati tramite lo snap-in Internet Information Services (IIS).


Argomenti della Guida