Active Directory Federation Services (ADFS) è in grado di funzionare solo se i server che eseguono Windows Server 2008 o Windows Server 2008 R2 sono configurati con i servizi ruolo di ADFS appropriati. I servizi ruolo di ADFS sono componenti singoli di ADFS installati nei server che eseguono Windows Server 2008 o Windows Server 2008 R2. Tramite la procedura guidata Aggiunta servizi ruolo è possibile installare i servizi ruolo di ADFS seguenti:

  • Servizio federativo

  • Proxy servizio federativo

  • Agente in grado di riconoscere attestazioni

  • Agente basato su token Windows

In base all'ambiente dell'organizzazione, è necessario distribuire ruoli server ADFS specifici. Nelle sezioni seguenti vengono descritti i ruoli server associati a ognuno dei servizi ruolo di ADFS che è possibile utilizzare al fine di offrire una soluzione per la gestione dell'identità federativa di ADFS.

Server federativi

I server federativi ospitano il servizio ruolo Servizio federativo di ADFS. Tali server vengono utilizzati per indirizzare le richieste di autenticazione provenienti da account utente in altre organizzazioni nel caso di progettazioni Web SSO (Single Sign-On) federativo, oppure da client che possono trovarsi in una posizione qualsiasi su Internet nel caso della progettazione Web SSO. Per ulteriori informazioni sulle diverse progettazioni di ADFS, vedere Informazioni sulle progettazioni federative.

I server federativi ospitano inoltre un servizio token di sicurezza che rilascia token basati sulle credenziali ricevute, ad esempio nome utente e password. Dopo la verifica delle credenziali tramite l'accesso dell'utente, vengono raccolte le attestazioni per l'utente attraverso l'esame dei relativi attributi archiviati in Servizi di dominio Active Directory o in Active Directory Lightweight Directory Services (AD LDS).

Per ulteriori informazioni sui server federativi, vedere Informazioni sul servizio ruolo Servizio federativo.

Proxy server federativi

I proxy server federativi ospitano il servizio ruolo Proxy servizio federativo di ADFS. È possibile distribuire questo tipo di proxy server nella rete perimetrale dell'organizzazione (nota anche come DMZ, rete Extranet o subnet schermata) per inoltrare le richieste ai server federativi che non sono accessibili da Internet.

Nota

Sebbene sia possibile distribuire server separati per ospitare il servizio ruolo Proxy servizio federativo, non è necessario distribuire un server separato come proxy server federativo nella foresta Intranet del partner account o risorse. Questo ruolo viene eseguito automaticamente da un server federativo.

Per ulteriori informazioni sui proxy server federativi, vedere Informazioni sul servizio ruolo Proxy servizio federativo.

Server Web abilitati per ADFS

I server Web che ospitano il servizio ruolo Agente Web ADFS in grado di riconoscere attestazioni o basato su token Windows vengono definiti server Web abilitati per ADFS. Tali server consentono l'accesso sicuro alle applicazioni Web ospitate. L'agente Web ADFS gestisce i token di sicurezza e i cookie di autenticazione inviati a un server Web abilitato per ADFS. Tale server Web richiede una relazione con un servizio federativo, in modo che tutti i token di autenticazione provengano da tale servizio federativo.

Per ulteriori informazioni sui server Web abilitati per ADFS, vedere Informazioni sul servizio ruolo Agente Web ADFS.


Argomenti della Guida