Active Directory Federation Services (ADFS) utilizza gli archivi account per l'accesso degli utenti e l'estrazione delle relative attestazioni di sicurezza. È possibile configurare più archivi account per un servizio federativo singolo, nonché definirne la priorità. Per la comunicazione con gli archivi account, il servizio federativo utilizza LDAP (Lightweight Directory Access Protocol). ADFS supporta i due archivi account seguenti:

  • Servizi di dominio Active Directory

  • Active Directory Lightweight Directory Services (AD LDS)

In ADFS vengono utilizzate distribuzioni a livello di organizzazione di Servizi di dominio Active Directory o istanze di AD LDS. In caso di interazione con Servizi di dominio Active Directory, ADFS può sfruttare i vantaggi offerti dalle relative tecnologie di autenticazione avanzata, tra cui Kerberos, i certificati digitali X.509 e le smart card. In caso di interazione con AD LDS, ADFS utilizza il binding LDAP come mezzo di autenticazione degli utenti.

Archivi account di Servizi di dominio Active Directory

ADFS è strettamente integrato con Servizi di dominio Active Directory, da cui recupera gli attributi utente ed esegue l'autenticazione degli utenti. ADFS utilizza inoltre l'autenticazione integrata di Windows e i token di sicurezza creati da Active Directory.

Per l'accesso di un utente a Servizi di dominio Active Directory è necessario un nome utente nel formato del nome dell'entità utente (UPN), ovvero utente@adatum.com, oppure nel formato del nome di account di Gestione account di sicurezza (SAM), ovvero adatum\utente.

I token di accesso, generati al momento dell'accesso di un utente, contengono gli ID di sicurezza (SID) per l'utente e tutti i gruppi a cui l'utente appartiene. A ogni processo avviato dall'utente viene assegnata una copia del token di accesso.

Dopo l'accesso e la rappresentazione dell'utente, dal token di accesso vengono enumerati gli ID di sicurezza (SID). Viene quindi eseguito il mapping dei SID ad attestazioni di organizzazione basate su gruppo.

Attenzione

Quando si abilita l'opzione relativa ai trust Windows nel servizio federativo dell'account, i SID effettivi vengono inviati all'organizzazione partner risorse tramite Internet, con potenziali rischi di sicurezza. Tali SID vengono inseriti nel token SAML (Security Assertion Markup Language) di ADFS. È pertanto consigliabile abilitare questa opzione solo se si utilizza la progettazione Web SSO federativo con trust tra foreste. Tale progettazione è stata creata per stabilire comunicazioni sicure all'interno della stessa organizzazione.

Le attestazioni basate su posta elettronica, le attestazioni basate su nome comune e le attestazioni personalizzate possono essere estratte dagli attributi degli oggetti utente definiti in Servizi di dominio Active Directory se l'account del servizio federativo viene utilizzato per eseguire una ricerca LDAP di un oggetto.

È necessario che l'account del servizio federativo disponga dei diritti di accesso all'oggetto utente. Se l'oggetto utente risiede in un dominio diverso da quello in cui risiede l'account del servizio federativo, è necessario che il primo dominio disponga di un trust tra domini di Servizi di dominio Active Directory con il secondo dominio.

Non è possibile verificare direttamente l'esistenza di un determinato nome utente in Servizi di dominio Active Directory e in tutte le directory con cui questo stabilisce, in modo diretto o transitivo, relazioni di trust. Servizi di dominio Active Directory restituisce un errore autorevole solo se il tentativo di accesso non riesce a causa di restrizioni dei criteri. Di seguito sono elencati esempi di errori dovuti a restrizioni dei criteri:

  • L'account è disabilitato.

  • La password dell'account è scaduta.

  • All'account non è consentito l'accesso al computer.

  • All'account sono applicate restrizioni sull'orario di accesso e l'accesso non è attualmente consentito.

Negli altri casi, gli errori di accesso ad archivi account di Servizi di dominio Active Directory sono sempre non autorevoli e viene eseguito un tentativo utilizzando l'archivio account con priorità successiva. Per ulteriori informazioni sugli errori di accesso agli archivi account, vedere Risolvere i problemi relativi ad ADFS.

Archivi account di AD LDS

AD LDS consente l'archiviazione e il recupero dei dati per applicazioni abilitate all'uso di directory, senza le dipendenze necessarie per Servizi di dominio Active Directory. In AD LDS sono disponibili molte funzionalità identiche a quelle di Servizi di dominio Active Directory, ma non è necessaria la distribuzione di domini o di controller di dominio. Con modalità analoghe a quelle impiegate per utilizzare le informazioni degli archivi account di Servizi di dominio Active Directory, ADFS può inoltre recuperare gli attributi utente ed eseguire l'autenticazione degli utenti tramite AD LDS.

Nota

ADFS non è in grado di autenticare gli account di AD LDS con nomi che contengono parentesi. Gli account con una parentesi aperta nel nome utente causano un errore di ricerca LDAP poiché il nome utente forma un filtro LDAP non valido.

L'account del servizio federativo ottiene le attestazioni utilizzate per eseguire una ricerca LDAP dell'oggetto. Per ulteriori informazioni, vedere Informazioni sulle attestazioni. Questo processo comprende due passaggi:

  • Nel primo passaggio, l'account del servizio federativo individua l'oggetto utente cercando l'oggetto il cui attributo configurato è uguale al nome utente specificato. Per proteggere questa comunicazione, l'account del servizio federativo utilizza l'autenticazione Kerberos o la crittografia NTML.

    Nota

    Per questo processo, è necessario che il server AD LDS faccia parte di un dominio che ha stabilito una relazione di trust con il dominio di cui il servizio federativo è membro.

  • Nel passaggio successivo vengono convalidate le credenziali utente eseguendo il binding LDAP all'oggetto utente trovato con la password specificata. Se le proprietà dell'archivio account di AD LDS nei criteri di attendibilità sono state configurate con TLS/SSL (Transport Layer Security/Secure Sockets Layer), le credenziali utente verranno protette.

    Importante

    È consigliabile proteggere il traffico tra il server AD LDS e il server federativo tramite TLS/SSL o in altro modo, ad esempio utilizzando IPSec (Internet Protocol Security).

Se la query LDAP con il nome utente specificato restituisce più oggetti, tale risultato verrà considerato un errore di autenticazione.

L'account utente viene cercato innanzitutto nell'archivio account di AD LDS, se configurato, e quindi negli altri archivi LDAP configurati nell'ordine specificato. Se l'account utente viene individuato in uno degli archivi, quest'ultimo consentirà l'accesso autorevole dell'utente mentre gli altri archivi account non verranno chiamati per l'elaborazione della richiesta di accesso dell'utente.

Determinare l'ordine di priorità delle richieste di accesso degli utenti

Quando un utente invia una richiesta di accesso a Servizi di dominio Active Directory o ad AD LDS tramite un client ADFS, la richiesta viene passata immediatamente all'archivio account specificato. Se tuttavia non viene specificato l'URI (Uniform Resource Identifier) dell'archivio account, il servizio federativo esegue un tentativo di accesso dell'utente in ognuno degli archivi account in base all'ordine di priorità. Il risultato dell'autenticazione viene restituito se:

  • È presente un solo archivio configurato e vengono restituite le informazioni relative alla verifica delle credenziali.

  • L'URI dell'archivio è stato specificato nella richiesta di accesso e vengono restituite le informazioni relative alla verifica delle credenziali.

  • Il risultato dell'autenticazione da parte di uno degli archivi è autorevole.

  • L'autenticazione da parte di uno degli archivi ha avuto esito positivo.

Disabilitare gli archivi account

È possibile contrassegnare ogni archivio account come abilitato o disabilitato. Se un archivio account è disabilitato, non partecipa alle operazioni relative agli archivi account. I cookie con attestazioni originate da un archivio account attualmente disabilitato vengono ignorati o eliminati e il client viene reindirizzato alla pagina di accesso.


Argomenti della Guida