Active Directory Federation Services (ADFS) è una funzionalità dei sistemi operativi Windows Server® 2003 R2, Windows Server 2008 e Windows Server 2008 R2 che offre tecnologie Web SSO (Single Sign-On) per eseguire l'autenticazione di un utente in più applicazioni Web correlate durante una singola sessione online. ADFS ottiene tale risultato condividendo identità digitale e diritti ("attestazioni") in maniera sicura all'interno dei confini di sicurezza e dell'organizzazione.

Funzionalità di ADFS

In Windows Server 2008 e Windows Server 2008 R2 ADFS include nuove funzionalità non disponibili in Windows Server 2003 R2. Per ulteriori informazioni sulle nuove funzionalità, vedere la pagina relativa alle novità di ADFS in Windows Server 2008 all'indirizzo https://go.microsoft.com/fwlink/?LinkId=85684.

Di seguito vengono descritte alcune funzionalità principali di ADFS.

  • Federazione e Web SSO

    Un'organizzazione che utilizza Servizi di dominio Active Directory usufruisce dei vantaggi offerti dalla funzionalità SSO tramite l'autenticazione integrata di Windows all'interno dei relativi confini di sicurezza e aziendali. ADFS estende tale funzionalità alle applicazioni connesse direttamente a Internet, consentendo in tal modo un'esperienza utente basata su tecnologie Web SSO a clienti, partner e fornitori quando accedono alle applicazioni basate sul Web dell'organizzazione. È inoltre possibile distribuire server federativi in più organizzazioni al fine di facilitare le transazioni federative business-to-business (B2B) tra organizzazioni partner. Per ulteriori informazioni sulla federazione ADFS, vedere Informazioni sulle progettazioni federative.

  • Interoperabilità con Web Services (WS-*)

    ADFS offre una soluzione per la gestione dell'identità federativa in grado di interagire con altri prodotti di sicurezza che supportano l'architettura dei servizi Web WS-*. In ADFS viene utilizzata a tale scopo la specifica federativa WS-*, denominata WS-Federation, che consente di creare una federazione tra ambienti che non utilizzano il modello di identità di Microsoft® Windows® e ambienti Windows. Per ulteriori informazioni sulle specifiche WS-*, vedere Risorse per ADFS.

  • Architettura estendibile

    ADFS offre un'architettura estendibile che supporta i token di tipo SAML (Security Assertion Markup Language) 1.1 e l'autenticazione Kerberos (nella progettazione Web SSO federativo con trust tra foreste). ADFS è inoltre in grado di eseguire il mapping di attestazioni, ad esempio modificando le attestazioni tramite una regola business personalizzata utilizzata come variabile in una richiesta di accesso. Questa estendibilità può essere sfruttata dalle organizzazioni per modificare ADFS al fine di garantirne la coesistenza con l'infrastruttura di sicurezza e i criteri di business correnti. Per ulteriori informazioni sulla modifica di attestazioni, vedere Informazioni sulle attestazioni.

Estendere Servizi di dominio Active Directory a Internet

Servizi di dominio Active Directory svolge la funzione di servizio primario di gestione delle identità e di autenticazione in numerose organizzazioni. Con Servizi di dominio Active Directory di Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2, è possibile creare trust tra due o più foreste di Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 per garantire l'accesso alle risorse che risiedono in organizzazioni o Business Unit diverse. Per ulteriori informazioni sui trust tra foreste, vedere la pagina relativa al funzionamento dei trust tra domini e tra foreste all'indirizzo https://go.microsoft.com/fwlink/?LinkId=35356.

In alcune progettazioni, tuttavia, i trust tra foreste non costituiscono un'opzione applicabile. Potrebbe ad esempio essere necessario limitare l'accesso tra organizzazioni esclusivamente a un sottoinsieme ridotto di utenti, anziché consentirlo a ogni membro di una foresta.

Tramite ADFS, le organizzazioni possono estendere le infrastrutture di Active Directory esistenti per garantire l'accesso alle risorse offerte da partner trusted in Internet. Tali partner trusted possono includere terze parti esterne oppure altri reparti o filiali della stessa organizzazione.

ADFS supporta l'autorizzazione e l'autenticazione distribuita tramite Internet. È possibile integrare ADFS nella soluzione di gestione dell'accesso esistente di un'organizzazione o di un reparto per convertire le attestazioni utilizzate nell'organizzazione in attestazioni concordate nell'ambito di una federazione. ADFS è in grado di creare, proteggere e verificare le attestazioni trasferite tra organizzazioni, nonché di controllare e monitorare l'attività di comunicazione tra organizzazioni e reparti per garantire transazioni sicure.

Per ulteriori informazioni di carattere generale su ADFS, vedere gli argomenti seguenti:


Argomenti della Guida