AD FS (Active Directory Federation Services) ondersteunt federatieve id-ontwerpen (ook Federation-scenario's genoemd) die gebruikmaken van WS-Federation (Web Services Federation), WS-F PRP (WS-Federation Passive Requestor Profile) en compatibele WS-F PRP-specificaties. Met de AD FS-oplossing kunnen beheerders het federatieve id-beheer beter uitvoeren door het organisaties mogelijk te maken om op een veilige manier de id-gegevens van een gebruiker te delen via Federation-vertrouwensrelaties. De volgende drie beschrijvingen van implementatieontwerpen illustreren hoe u met een combinatie van AD FS-serverrollen identiteiten kunt samenbrengen, afhankelijk van de behoeften van uw organisatie. Zie Wat zijn AD FS-rolservices? voor meer informatie over de verschillende serverrollen.
Federatieve web-SSO
In federatieve Web-SSO-ontwerpen (Single-Sign-On) wordt naast de algehele internetrouteringsstructuur een beveiligde communicatie gebruikt waarbij vaak meerdere firewalls, perimeternetwerken en naamomzettingsservers zijn betrokken. Met communicatie via een federatieve Web-SSO-omgeving kunnen onlinetransacties tussen organisaties die door middel van Federation-vertrouwensrelaties zijn samengevoegd, efficiënter en veiliger worden onderhouden.
Zoals in de volgende afbeelding wordt weergegeven, kan er tussen twee bedrijven een Federation-vertrouwensrelatie tot stand worden gebracht. In dit ontwerp routeren federatieservers verificatieaanvragen van gebruikersaccounts in Tailspin Toys naar webtoepassingen die zich in het netwerk van Online Retailer bevinden.
Federation-servers verifiëren aanvragen van vertrouwde partners op basis van de referenties van de partners. Weergaven van de referenties worden in de vorm van beveiligingstokens uitgewisseld.
Voor een uitgebreide beveiliging kunnen Federation-serverproxy's worden gebruikt om aanvragen om te leiden naar Federation-servers die niet rechtstreeks via internet toegankelijk zijn.
Federatieve web-SSO met forest-vertrouwensrelatie
In het ontwerp met de federatieve web-SSO met forest-vertrouwensrelatie worden twee Active Directory-forests in één organisatie gebruikt, zoals in de volgende afbeelding wordt weergegeven. Eén van de forests bevindt zich in het perimeternetwerk van de organisatie (ook wel een gedemilitariseerde zone, extranet of gecontroleerd subnet genoemd). Het andere forest bevindt zich in het interne netwerk. Er wordt een forest-vertrouwensrelatie in één richting tot stand gebracht, zodat het forest in het perimeternetwerk het forest in het interne netwerk vertrouwt. Federation-servers worden in beide netwerken gebruikt. Er wordt een Federation-vertrouwensrelatie tot stand gebracht, zodat accounts in het interne forest kunnen worden gebruikt om toegang te krijgen tot een webtoepassing in het perimeternetwerk, onafhankelijk van het feit of de accounts toegang tot de site krijgen via het intranetforest of via internet.
In dit ontwerp kunnen externe gebruikers, zoals klanten, toegang krijgen tot de webtoepassing door verificatie bij de federatieserver van de externe accountpartner die zich in het perimeternetwerk bevindt. Externe gebruikers hebben gebruikersaccounts in het Active Directory-forest van het perimeternetwerk. Interne gebruikers, zoals werknemers, hebben ook toegang tot de webtoepassing door verificatie bij de interne Federation-server van de accountpartner die zich in het interne netwerk bevindt. Interne gebruikers hebben accounts in het interne Active Directory-forest.
Als de webtoepassing een op tokens gebaseerde Windows NT-toepassing is, onderschept de AD FS-webagent die op de webtoepassingsserver wordt uitgevoerd, aanvragen en maakt Windows NT-beveiligingstokens die door de webtoepassing worden vereist, om autorisatiebeslissingen te nemen. Voor externe gebruikers is dit mogelijk, omdat de AD FS-webserver die als host van de Windows NT-tokentoepassing optreedt, wordt samengevoegd met het domein in het externe forest. Voor interne gebruikers wordt dit ingeschakeld via de vertrouwensrelatie die er bestaat tussen het perimeterforest en het interne forest.
Als de webtoepassing een claimbewuste toepassing is, hoeft de AD FS-webagent die op de webtoepassingsserver wordt uitgevoerd, geen Windows NT-beveiligingstokens voor de gebruiker te maken. De AD FS-webagent kan de voorkomende claims zichtbaar maken, zodat de toepassing autorisatiebeslissingen kan nemen op basis van de inhoud van het beveiligingstoken dat door de Federation-server van de accountpartner wordt geleverd. Het resultaat hiervan is dat wanneer deze claimbewuste toepassingen gebruikt, de AD FS-webserver niet hoeft te worden samengevoegd met het domein en dat er geen vertrouwensrelatie van het externe forest naar het interne forest is vereist.
Web-SSO
In het ontwerp web-SSO van AD FS, hoeven gebruikers zich slechts één keer te verifiëren om toegang tot meerdere webtoepassingen te krijgen. In dit ontwerp zijn alle gebruikers extern en bestaat er geen Federation-vertrouwensrelatie. Omdat de AD FS-webservers via internet toegankelijk moeten zijn en ook moeten worden samengevoegd met het Active Directory-domein, worden ze met twee netwerken verbonden, dat wilt zeggen dat ze multihomed zijn. Het eerste netwerk is toegankelijk via internet (het perimeternetwerk) om de benodigde verbindingen te bieden. Het tweede netwerk bevat het Active Directory-forest (het beveiligde netwerk), dat niet rechtstreeks via internet toegankelijk is. De Federation-serverproxy is ook multihomed om de benodigde verbindingen met de Federation-server en internet te kunnen bieden. In dit ontwerp wordt het risico voor de federatieserver aanzienlijk verminderd door de federatieserver in een netwerk te plaatsen dat niet direct toegankelijk is via internet.