Active Directory Federation Services (AD FS) maakt gebruik van terminologie die uit verschillende technologieën afkomstig is, zoals Certificate Services, Internet Information Services (IIS), Active Directory Domain Services (AD DS), Active Directory Lightweight Directory Services (AD LDS) en Web Services (WS-*). Deze termen worden in de volgende tabel beschreven.
| Term | Beschrijving |
|---|---|
|
federatieserver van accountpartner |
De federatieserver die zich bevindt in het bedrijfsnetwerk van de organisatie van de accountpartner. De federatieserver van de accountpartner verstrekt beveiligingstokens aan gebruikers op basis van gebruikersverificatie. De server verifieert een gebruiker, haalt de relevante kenmerken en groepslidmaatschapgegevens op uit het accountarchief en genereert en ondertekent een beveiligingstoken voor de gebruiker. Dit beveiligingstoken wordt vervolgens gebruikt in de eigen organisatie of wordt verzonden naar een partnerorganisatie. |
|
Federation-serverproxy van accountpartner |
De Federation-serverproxy die zich bevindt in het perimeternetwerk van de organisatie van de accountpartner. De Federation-serverproxy van de accountpartner verzamelt verificatiereferenties van een client die zich aanmeldt via internet (of via het perimeternetwerk) en geeft deze referenties door aan de federatieserver van de accountpartner. |
|
accountpartner |
Een Federation-partner die door de Federation-service wordt vertrouwd en beveiligingstokens verstrekt aan haar gebruikers (de gebruikers in de organisatie van de accountpartner), zodat zij toegang krijgen tot webtoepassingen in de bronpartner. |
|
Active Directory Federation Services (AD FS) |
Een onderdeel van Windows Server 2003 R2, Windows Server 2008 en Windows Server 2008 R2 met technologieën voor eenmalige aanmelding, zodat gebruikers gedurende één onlinesessie voor meerdere webtoepassingen worden geverifieerd. Dit wordt in AD FS bereikt door op een beveiligde wijze digitale id's en rechten over beveiligings- en ondernemingsgrenzen te delen. In AD FS wordt het WS-F PRP-profiel (WS-Federation Passive Requestor Profile) ondersteund. |
|
Webagent voor AD FS |
Een installeerbare rolservice van AD FS die wordt gebruikt om een AD FS-webserver te maken. Een webagent voor AD FS maakt gebruik van binnenkomende beveiligingstokens en verificatiecookies die zijn ondertekend door een geldige federatieserver (om een gebruiker toegang tot de beveiligde toepassing te verlenen of te weigeren) terwijl rekening wordt gehouden met toepassingsspecifieke instellingen voor toegangsbeheer. |
|
AD FS-webserver |
Een webserver waarop Windows Server 2003 R2, Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd en waarop de juiste webagent voor AD FS is geconfigureerd (de claimbewuste agent of de agent voor op tokens gebaseerde Windows-toepassingen) die nodig is voor de verificatie en autorisatie van federatieve toegang tot lokale webtoepassingen. |
|
claim |
De instructie van een server over een client (bijvoorbeeld naam, identiteit, sleutel, groep, toegangsrecht of functie). |
|
claimbewuste toepassing |
Een toepassing van Microsoft ASP.NET die autorisatie uitvoert op basis van de claims in een AD FS-beveiligingstoken. |
|
claimtoewijzing |
Het toewijzen, verwijderen of filteren van claims of het uitwisselen van claims tussen verschillende claimsets. |
|
webpagina voor accountpartnerdetectie van een client |
De webpagina waarmee gebruikers kunnen bepalen tot welke accountpartner ze behoren als AD FS niet in staat is om automatisch te bepalen door welke accountpartners ze moeten worden geverifieerd. |
|
certificaat voor clientverificatie |
In AD FS is dit een certificaat dat Federation-serverproxy's gebruiken om een client te verifiëren bij de Federation-service. |
|
webpagina voor het afmelden van een client |
Een webpagina die wordt geopend om visueel te bevestigen dat gebruikers door AD FS zijn afgemeld. |
|
webpagina voor het aanmelden van een client |
Een webpagina voor gebruikersinteractie die wordt geopend als door AD FS gebruikersreferenties worden verzameld. De webpagina voor het aanmelden van een client kan alle vereiste bedrijfsprogrammatuur gebruiken om te bepalen welk referentietype moet worden verzameld. |
|
federatieve toepassing |
Een webtoepassing die geschikt is voor AD FS, zodat federatieve gebruikers er gebruik van kunnen maken. |
|
federatieve gebruiker |
Een gebruiker wiens account zich bevindt in de organisatie van een accountpartner en die toegang heeft tot federatieve toepassingen die zich bevinden in de organisatie van de bronpartner. |
|
Federation |
Twee realms of domeinen die een Federation-vertrouwensrelatie tot stand hebben gebracht. |
|
federatieserver |
Een computer waarop Windows Server 2003 R2, Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd en die is geconfigureerd als host voor het onderdeel Federation-service van AD FS. Federatieservers kunnen aanvragen van gebruikersaccounts in andere organisaties en van clients op een willekeurige plaats op internet verifiëren of doorsturen. |
|
Federation-serverproxy |
Een computer waarop Windows Server 2003 R2, Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd en die is geconfigureerd als host voor het onderdeel Federation-serviceproxy van AD FS. Federation-serverproxy's verlenen proxyservices tussen een internetclient en een federatieserver die zich achter een firewall in een bedrijfsnetwerk bevindt. |
|
Federation-service |
Een installeerbare rolservice van AD FS die wordt gebruikt om een federatieserver te maken. Wanneer deze rolservice is geïnstalleerd, verstrekt de Federation-service tokens naar aanleiding van aanvragen voor beveiligingstokens. Er kunnen meerdere federatieservers worden geconfigureerd om de fouttolerantie en taakverdeling voor een enkele Federation-service te optimaliseren. |
|
Federation-serviceproxy |
Een installeerbare rolservice van AD FS die wordt gebruikt om een Federation-serverproxy te maken. Wanneer deze rolservice is geïnstalleerd, maakt de Federation-serviceproxy gebruik van WS-F PRP-protocollen om informatie over de gebruikersreferenties van browserclients en webtoepassingen te verzamelen en naar de Federation-service te verzenden. |
|
organisatieclaims |
Claims in een tussenliggende of genormaliseerde vorm binnen de naamruimte van een organisatie. |
|
passieve client |
Een HTTP-browser (Hypertext Transfer Protocol) die geschikt is voor algemeen ondersteunde HTTP-toepassingen en gebruik kan maken van cookies. AD FS in Windows Server 2003 R2, Windows Server 2008 en Windows Server 2008 R2 ondersteunt alleen passieve clients en houdt zich aan de specificatie WS-F PRP. |
|
bronaccount |
Een enkele beveiligings-principal, gewoonlijk een gebruikersaccount, die wordt gemaakt in AD DS en waarmee een enkele federatieve gebruiker wordt toegewezen. Een bronaccount is vereist voor op tokens gebaseerde Windows NT-toepassingen in een Federation, omdat de agent voor op tokens gebaseerde Windows-toepassingen naar een beveiligings-principal van Active Directory in het forest van de bronpartner moet verwijzen om het Windows NT-toegangstoken samen te stellen en daarmee toegangsmachtigingen voor de toepassing af te dwingen. |
|
federatieserver van bronpartner |
De federatieserver in de organisatie van de bronpartner. De federatieserver van de bronpartner verstrekt gewoonlijk beveiligingstokens aan gebruikers op basis van een beveiligingstoken dat is uitgegeven door een federatieserver van de accountpartner. De server:
|
|
Federation-serverproxy van bronpartner |
De Federation-serverproxy die zich bevindt in het perimeternetwerk van de organisatie van de bronpartner. De Federation-serverproxy van de bronpartner voert accountpartnerontdekking voor internetclients uit en leidt binnenkomende beveiligingstokens om naar de federatieserver van de bronpartner. |
|
brongroep |
Een enkele beveiligingsgroep die wordt gemaakt in AD DS en waaraan binnenkomende groepclaims (AD FS-groepclaims van de accountpartner) worden toegewezen. Nadat federatieve gebruikers aan een brongroep zijn toegewezen, kunnen AD FS-webservers autorisatiebeslissingen nemen voor op tokens gebaseerde Windows NT-toepassingen op basis van de toegangsmachtigingen die zijn toegewezen aan de beveiligings-id (SID) voor de brongroep. |
|
bronpartner |
Een Federation-partner die de door de Federation-service verstrekte beveiligingstokens op basis van claims vertrouwt voor webtoepassingen (toepassingen in de organisatie van de bronpartner) waartoe gebruikers van de accountpartner toegang hebben. |
|
beveiligingstoken |
Een cryptografisch ondertekende gegevenseenheid waarmee een of meer claims worden uitgedrukt. In AD FS geeft een ondertekend beveiligingstoken aan dat de federatieserver die het beveiligingstoken uitgeeft de echtheid van de federatieve gebruiker heeft vastgesteld. |
|
beveiligingstokenservice (STS) |
Een webservice voor het verstrekken van beveiligingstokens. Een STS geeft op basis van vertrouwde bewijzen verklaringen af aan iedereen die de service vertrouwt (of aan specifieke ontvangers). Een service heeft een bewijs nodig om een vertrouwensrelatie tot stand te brengen, bijvoorbeeld een handtekening die aangeeft dat een beveiligingstoken of set beveiligingstokens bekend is. Een service kan zelf tokens genereren of een afzonderlijke STS gebruiken om beveiligingstokens met een eigen vertrouwensverklaring te verstrekken. Dit vormt de basis voor het delen van vertrouwensrelaties. In AD FS is de Federation-service een STS. |
|
certificaat voor serververificatie |
AD FS-webservers, federatieservers en Federation-serverproxy's gebruiken certificaten voor serververificatie om het verkeer van webservices te beveiligen voor onderlinge communicatie en communicatie met webclients. |
|
serverfarm |
In AD FS is dit een verzameling evenwichtig verdeelde federatieservers, Federation-serverproxy's of webservers die als host fungeren voor de webagent voor AD FS. |
|
eenmalige aanmelding (SSO) |
Een geoptimaliseerde verificatiemethode die ervoor zorgt dat een eindgebruiker zich niet herhaaldelijk hoeft aan te melden. |
|
tokenhandtekeningcertificaat |
Een X.509-certificaat waarvan de bijbehorende combinatie van openbare en persoonlijke sleutel wordt gebruikt door federatieservers om alle beveiligingstokens die de federatieservers produceren digitaal te ondertekenen. |
|
Uniform Resource Identifier (URI) |
Een compacte tekenreeks die een abstracte of fysieke bron aangeeft. URI's worden uitgelegd in RFC 1123 (Request for Comments) ( |
|
verificatiecertificaat |
Een certificaat met de openbare sleutel van een tokenhandtekeningcertificaat. Een verificatiecertificaat wordt opgeslagen in het vertrouwensbeleid en door de federatieserver in een organisatie gebruikt om te verifiëren of binnenkomende beveiligingstokens zijn uitgegeven door geldige federatieservers in de farm van de organisatie en in andere organisaties. |
|
webservices (WS-*) |
De specificaties voor een webservice-architectuur die is gebaseerd op industrienormen zoals Simple Object Access Protocol (SOAP), XML, Web Service Description Language (WSDL) en Universal Description, Discovery, and Integration (UDDI). Met WS-* kunnen volledige, interoperabele zakelijke oplossingen voor uitgebreide ondernemingen worden geleverd, zoals de mogelijkheid om federatieve identiteiten en beveiliging te beheren. Het uitgangspunt van het webservicemodel is dat bedrijfssystemen in verschillende talen en met verschillende programmeermodellen zijn geschreven die op uiteenlopende apparaten worden uitgevoerd. Met webservices kunnen gedistribueerde systemen worden gemaakt die op eenvoudige en efficiënte wijze via internet met elkaar verbinding kunnen maken en kunnen communiceren, ongeacht de taal waarin ze zijn geschreven of het platform waarop ze worden uitgevoerd. |
|
Web Services Security (WS-Security) |
Een serie specificaties die aangeeft hoe handtekenings- en versleutelingsheaders aan SOAP-berichten kunnen worden gekoppeld. Daarnaast geeft WS-Security aan hoe beveiligingstokens, bijvoorbeeld binaire beveiligingstokens zoals X.509-certificaten en Kerberos-tickets, aan berichten moeten worden gekoppeld. WS-Security wordt in AD FS gebruikt als beveiligingstokens door Kerberos worden ondertekend. |
|
Op tokens gebaseerde Windows NT-toepassing |
Een Windows-toepassing die afhankelijk is van een Windows NT-token om gebruikers te autoriseren. |
|
WS-Federation |
Een specificatie waarmee een model en een set berichten wordt gedefinieerd voor het delen van vertrouwensrelaties en informatie over identiteiten en verificatie in verschillende vertrouwde realms. De specificatie WS-Federation maakt een onderscheid tussen twee bronnen van identiteiten en verificatieaanvragen in vertrouwde realms:
|
|
WS-Federation Passive Requestor Profile (WS-F PRP) |
Een implementatie van de specificatie WS-Federation die een standaardprotocol biedt voor het toepassen van de Federation-structuur door passieve clients (zoals webbrowsers). Bij dit protocol wordt ervan uitgegaan dat webserviceaanvragers de nieuwe beveiligingsmechanismen accepteren en in staat zijn met webserviceproviders te communiceren. |