De Federation-service is een rolservice van AD FS (Active Directory Federation Services) die onafhankelijk van andere AD FS-rolservices kan worden geïnstalleerd. De Federation-service fungeert als beveiligingstokenservice. Als de rolservice Federation-service op een computer wordt geïnstalleerd, wordt deze computer een federatieserver. Ook wordt de module AD FS (Active Directory Federation Services) beschikbaar gemaakt in het menu Systeembeheer op die computer. Zie De module Active Directory Federation Services gebruiken voor meer informatie over de module AD FS.

De Federation-service maakt gebruik van AD DS om tokens te verstrekken naar aanleiding van aanvragen voor beveiligingstokens. Daardoor fungeren Active Directory-domeinen en -forests als:

  • Identiteitsproviders die kunnen communiceren met compatibele accountpartners en bronpartners. Als identiteitsprovider kan de Federation-service identiteiten over het gehele internet verspreiden, zodat deze kunnen communiceren met toepassingen van compatibele serviceproviders.

  • Serviceproviders die kunnen communiceren met compatibele accountpartners en bronpartners. Als serviceprovider kan de Federation-service identiteiten van andere organisaties toegang verlenen tot op Windows en ASP.NET gebaseerde toepassingen van een partner.

  • Beveiligingstokenproviders voor toepassingen die compatibel zijn met de specificatie WS-F PRP (WS-Federation Passive Requestor Profile).

De Federation-service verleent als accountpartner gebruikers toegang tot bronnen van partnerorganisaties. Naar aanleiding van een aanvraag van een bronpartner verzamelt en verifieert de Federation-service gebruikersreferenties aan de hand van AD DS of een exemplaar van AD LDS (Active Directory Lightweight Directory Services). De Federation-service kan op basis van de LDAP-kenmerken (Lightweight Directory Access Protocol) van het gebruikersaccount een set organisatieclaims invullen. De organisatieclaims worden vervolgens toegewezen aan de juiste claims voor de bronpartner en opgenomen in een beveiligingstoken dat wordt ondertekend door het tokenhandtekeningcertificaat van de Federation-service. Het resulterende beveiligingstoken wordt gepost als reactie op de oorspronkelijke aanvraag van de bronpartner. Dit token wordt door de bronpartner gebruikt om de gebruiker toegang te verlenen.

Als bronpartner heeft de Federation-service de tegenovergestelde functie. Als een gebruiker toegang probeert te krijgen tot een toepassing die door AD FS wordt beveiligd, bepaalt de Federation-service welke accountpartner de gebruiker moet verifiëren. Vervolgens verzendt de Federation-service een verificatieaanvraag naar de desbetreffende partner. Als de gebruiker zich met een beveiligingstoken aanmeldt, controleert de Federation-service of de partner het token correct heeft ondertekend. De Federation-service haalt vervolgens de claims uit het token op. De claims worden aan organisatieclaims toegewezen en het filterbeleid voor de specifieke toepassing wordt toegepast. De gefilterde organisatieclaims worden in een beveiligingstoken opgenomen dat door het tokenhandtekeningcertificaat van de Federation-service wordt ondertekend of wordt beveiligd door een Kerberos-sessiesleutel voor de webtoepassing. Het resulterende beveiligingstoken wordt teruggestuurd naar de oorspronkelijke URL (Uniform Resource Locator) van de toepassing. De bronpartner gebruikt dit token om de gebruiker toegang te verlenen.

AD FS maakt gebruik van het protocol WS-F PRP om claims in beveiligingstokens te verzenden die door de Federation-service aan de webtoepassing worden verstrekt. Zie Bronnen voor AD FS voor meer informatie over de specificatie WS-F PRP.

Deze claims worden samengesteld op basis van accountarchieven van AD DS of AD LDS. De Federation Service geeft tokens uit op basis van de verstrekte referenties. Nadat de referenties van een gebruiker in het accountarchief zijn geverifieerd, worden de claims voor de gebruiker gegenereerd volgens de regels van het vertrouwensbeleid. Via de Federation-service worden binnenkomende claims toegewezen aan uitgaande claims die geschikt zijn voor een bronpartner. De resulterende claimtoewijzingen worden toegevoegd aan een beveiligingstoken dat aan de bronpartner wordt verstrekt. Zie Wat zijn claims? voor meer informatie over claims.

Nadat de Federation-service het token heeft geverifieerd, wordt een verificatiecookie uitgegeven en naar de clientbrowser geschreven. Telkens als de gebruiker moet worden geverifieerd, wordt deze cookie in de Federation-service gebruikt, zodat de client de referenties niet opnieuw hoeft in te voeren. Hierdoor wordt eenmalige aanmelding (SSO) mogelijk. Zie Welke cookies worden door AD FS gebruikt? voor meer informatie over cookies.

Webpagina's van Federation-service

De Federation-service biedt een webpagina waarop de gebruiker wordt gevraagd een geschikte accountpartner te selecteren om de gebruiker te verifiëren. Daarnaast biedt de Federation-service een webpagina waarop de gebruiker wordt gevraagd referenties op te geven, zoals een gebruikersnaam en wachtwoord voor verificatie op basis van formulieren. Verder is er een webpagina die geïntegreerde Windows-verificatie ondersteunt.

Naast de webpagina's biedt de Federation-service een Microsoft ASP.NET-webservice die aanvragen van de client of de Federation-serviceproxy verwerkt. De Federation-serverproxy bevindt zich in het perimeternetwerk. Deze proxy bemiddelt tussen een client op internet en een Federation-service op het intranet. Zie Wat is de rolservice Federation-serviceproxy? voor meer informatie over de rol van de Federation-serverproxy.

De Federation-service reageert op twee basistypen aanvragen:

  • Aanvragen voor beveiligingstokens

  • Aanvragen voor vertrouwensbeleidsregels

Accountpartnerdetectie

Accountpartnerdetectie is het proces waarbij gebruikers de gewenste accountpartner kunnen selecteren om de verificatie uit te voeren als er meer dan één accountpartner is geconfigureerd. De federatieserver biedt deze optie in de vorm van een keuzelijst met de namen van de accountpartners zoals deze in het vertrouwensbeleid zijn geconfigureerd.

U kunt voorkomen dat een accountpartner op deze wijze wordt gedetecteerd door de parameter whr op te nemen in de querytekenreeks voor de bron waartoe toegang wordt verleend, bijvoorbeeld

https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>

waarbij <accountpartner> de accountpartner-realm van de client aangeeft.

Als u de parameter whr gebruikt, wordt deze door federatieserver van de bronpartner verwijderd en wordt een cookie naar de clientbrowser geschreven om deze instelling voor toekomstige aanvragen op te slaan. Vervolgens wordt de aanvraag voortgezet alsof de parameter niet is opgegeven.


Inhoudsopgave