Durante il processo di progettazione della distribuzione di Active Directory Federation Services (ADFS), è necessario identificare il tipo di applicazione federata che si desidera proteggere tramite Servizi di dominio Active Directory. Affinché un'applicazione sia federata, deve corrispondere ad almeno uno dei tipi di applicazioni descritti nelle sezioni seguenti.
Per ulteriori informazioni sul supporto applicazioni migliorato in questa versione di ADFS, vedere la pagina relativa alle novità di ADFS in Windows Server 2008 all'indirizzo
Applicazione in grado di riconoscere attestazioni
Le attestazioni sono dichiarazioni relative agli utenti (ad esempio nome, identità, chiave, gruppo, privilegio o funzionalità), riconosciute da entrambi i partner di una federazione ADFS e utilizzate a scopo di autorizzazione in un'applicazione.
Un'applicazione in grado di riconoscere attestazioni è un'applicazione Microsoft ASP.NET scritta utilizzando la libreria di classi ADFS. Questo tipo di applicazione è perfettamente in grado di utilizzare le attestazioni ADFS per prendere direttamente decisioni relative alle autorizzazioni e accetta le attestazioni inviate dal servizio federativo nei token di sicurezza ADFS. Per ulteriori informazioni sull'utilizzo dei token di sicurezza e delle attestazioni nel servizio federativo, vedere Informazioni sul servizio ruolo Servizio federativo.
Il mapping di attestazioni consiste nell'azione di associazione, rimozione, filtraggio o trasferimento di attestazioni in ingresso all'interno di attestazioni in uscita. Tale mapping non viene eseguito in caso di invio delle attestazioni a un'applicazione, a cui vengono invece inviate solo le attestazioni di organizzazione specificate dall'amministratore del servizio federativo nel partner risorse. Le attestazioni di organizzazione sono attestazioni in formato intermedio o normalizzato all'interno dello spazio dei nomi di un'organizzazione. Per ulteriori informazioni sulle attestazioni e sul relativo mapping, vedere Informazioni sulle attestazioni.
Nell'elenco seguente vengono descritte le attestazioni di organizzazione che possono essere utilizzate dalle applicazioni in grado di riconoscere attestazioni:
-
Attestazioni d'identità (UPN/Posta elettronica/Nome comune)
Quando si configura l'applicazione, si specificano le attestazioni d'identità che verranno inviate all'applicazione. Non vengono eseguite operazioni di mapping o filtraggio.
-
Attestazioni basate su gruppo
Quando si configura l'applicazione, si specificano le attestazioni di organizzazione basate su gruppo che verranno inviate all'applicazione. Le attestazioni di organizzazione basate su gruppo che non sono state designate per l'invio all'applicazione verranno ignorate.
-
Attestazioni personalizzate
Quando si configura l'applicazione, si specificano le attestazioni di organizzazione personalizzate che verranno inviate all'applicazione. Le attestazioni di organizzazione personalizzate che non sono state designate per l'invio all'applicazione verranno ignorate.
Autorizzazione in grado di riconoscere attestazioni
L'autorizzazione in grado di riconoscere attestazioni comprende un modulo HTTP (Hypertext Transfer Protocol) e oggetti per l'esecuzione di query sulle attestazioni trasportate nel token di sicurezza ADFS. Questo tipo di autorizzazione è supportato solo per le applicazioni Microsoft ASP.NET.
Il modulo HTTP elabora i messaggi di protocollo ADFS in base alle impostazioni di configurazione contenute nel file Web.config dell'applicazione Web. Le pagine Web eseguono attività di autenticazione e autorizzazione. Il modulo HTTP autentica inoltre i cookie, da cui ottiene le attestazioni.
Applicazione basata su token Windows NT
Un'applicazione basata su token Windows NT è un'applicazione di Internet Information Services (IIS) progettata per l'utilizzo dei meccanismi tradizionali di autorizzazione nativi di Windows, ma non per l'utilizzo di attestazioni ADFS.
Le applicazioni basate su token Windows NT possono essere utilizzate solo dagli utenti Windows dell'area di autenticazione locale o di qualsiasi area di autenticazione considerata trusted dall'area di autenticazione locale, ovvero solo dagli utenti che possono accedere al computer con meccanismi di autenticazione basati su token Windows NT.
 | Nota |
|
Nelle progettazioni federative, per l'autenticazione basata su token Windows NT potrebbero quindi essere necessari account delle risorse o gruppi di risorse. |
Il token di sicurezza ADFS inviato all'agente basato su token Windows NT può contenere uno dei seguenti tipi di attestazioni:
-
Un'attestazione basata sul nome dell'entità utente (UPN) per l'utente
-
Un'attestazione basata su posta elettronica per l'utente
-
Un'attestazione basata su gruppo
-
Un'attestazione personalizzata per l'utente
-
Un'attestazione basata su UPN, su posta elettronica, su nome comune o personalizzata che contiene gli ID di sicurezza (SID) dell'account utente (si applica solo quando l'opzione Trust Windows è abilitata).
Il server Web abilitato per ADFS genera un token Windows di accesso a livello di rappresentazione, che acquisisce le informazioni sulla sicurezza per un processo client consentendo a un servizio di "rappresentare" il processo client nelle operazioni di sicurezza.
Per le applicazioni Web basate su token Windows NT, la modalità di creazione di un token Windows NT è determinata dall'ordine di processo seguente:
-
Se l'elemento Advice SAML del token SAML (Security Assertion Markup Language) contiene SID, per generare il token Windows NT vengono utilizzati i SID.
-
Se il token SAML non contiene SID ma un'attestazione d'identità basata sul nome dell'entità utente (UPN), per generare il token Windows NT viene utilizzata l'attestazione basata su UPN.
-
Se il token SAML non contiene SID e l'attestazione d'identità basata su UPN nell'attestazione d'identità basata su posta elettronica è presente, tale attestazione viene interpretata come UPN e utilizzata per generare il token Windows NT.
Questo comportamento è indipendente dal fatto che l'attestazione d'identità basata su UPN o posta elettronica sia specificata o meno come attestazione d'identità utilizzata per generare il token Windows NT quando si crea la voce del criterio di attendibilità per l'applicazione Web nel servizio federativo.
Autorizzazione basata su Windows tradizionale
Per il supporto relativo alla conversione di un token di sicurezza ADFS in un token di accesso Windows NT a livello di rappresentazione sono necessari alcuni componenti.
-
Estensione ISAPI (Internet Server Application Programming Interface): questo componente verifica i cookie ADFS e i token di sicurezza ADFS del servizio federativo, esegue i reindirizzamenti di protocollo appropriati e scrive i cookie necessari per il funzionamento di ADFS.
-
Pacchetto di autenticazione ADFS: questo pacchetto genera un token di accesso a livello di rappresentazione in base a un UPN per un account di dominio. Richiede che il chiamante disponga del privilegio TCB (Trusted Computing Base).
-
Pagine delle proprietà Agente Web ADFS e URL servizio federativo nello snap-in Gestione IIS: queste pagine consentono di amministrare criteri e certificati per la verifica dei cookie e dei token di sicurezza ADFS.
-
Servizio Autenticazione agente Web ADFS: questo servizio viene eseguito con l'account di sistema locale per generare un token utilizzando Service-for-User (S4U) o il pacchetto di autenticazione ADFS. Non è invece necessario eseguire il pool di applicazioni di Internet Information Services (IIS) con l'account di sistema locale. Il servizio Autenticazione agente Web ADFS dispone di interfacce che possono essere chiamate soltanto con una chiamata di procedura remota locale (LRPC), non con una chiamata di procedura remota (RPC). Se viene passato un token di sicurezza ADFS o un cookie ADFS, il servizio restituisce un token di accesso Windows NT a livello di rappresentazione.
-
Filtro ISAPI dell'agente Web ADFS: alcune applicazioni Web tradizionali di IIS utilizzano un filtro ISAPI che potrebbe modificare i dati in ingresso, ad esempio gli URL (Uniform Resource Locator). In questo caso, è necessario abilitare il filtro ISAPI dell'agente Web ADFS e configurarlo come filtro con priorità più alta. Per impostazione predefinita, tale filtro non è abilitato.