AD FS (Active Directory Federation Services) is een onderdeel van de besturingssystemen Windows Server® 2003 R2, Windows Server 2008 en Windows Server 2008 R2 met technologieën voor eenmalige aanmelding zodat gebruikers gedurende één onlinesessie voor meerdere webtoepassingen worden geverifieerd. Dit wordt bereikt door digitale id's en rechten, of 'claims', tussen beveiligingssystemen en bedrijven op een veilige manier te delen.

Functies in AD FS

In Windows Server 2008 en Windows Server 2008 R2 beschikt AD FS over nieuwe functies die niet beschikbaar waren in Windows Server 2003 R2. Zie Nieuwe functies van AD FS in Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684) voor meer informatie over deze nieuwe functies.

Hier volgen enkele van de belangrijkste functies van AD FS:

  • Federation en eenmalige aanmelding

    Organisaties die met AD DS (Active Directory Domain Services) werken, kunnen nu in het bedrijf of binnen de beveiligingssystemen van de organisatie profiteren van de functie voor eenmalige aanmelding via de geïntegreerde Windows-verificatie. Met AD FS wordt deze functionaliteit ook mogelijk voor internettoepassingen. Zo hebben klanten, partners en leveranciers op dezelfde manier en zonder problemen met eenmalige aanmelding toegang tot de webtoepassingen van de organisatie. Bovendien kunnen in verschillende organisaties Federation-servers worden geïmplementeerd waardoor onderlinge business-to-business-transacties (B2B) tussen organisaties mogelijk wordt gemaakt. Zie Wat zijn Federation-ontwerpen? voor meer informatie over AD FS-federatie.

  • Interoperabiliteit van Web Services (WS-*)

    AD FS bevat een oplossing voor beheer van federatieve id's en deze oplossing werkt samen met andere beveiligingsproducten die de architectuur van WS-* Web Services ondersteunen. Dit wordt bereikt door de Federation-specificatie van WS-*, WS-Federation, toe te passen. Dankzij de specificatie WS-Federation kunnen omgevingen die het id-model van Microsoft® Windows® niet gebruiken, samengebracht worden met Windows-omgevingen. Zie Bronnen voor AD FS voor meer informatie over WS-*-specificaties.

  • Uitbreidbare architectuur

    AD FS bevat een uitbreidbare architectuur die tokens van het type SAML 1.1 (Security Assertion Markup Language) en Kerberos-verificatie (in het ontwerp Federatieve web-SSO met forest-vertrouwensrelatie) ondersteunt. Met AD FS kunnen ook claims worden toegewezen, bijvoorbeeld door claims te wijzigen die bedrijfsprogrammatuur gebruiken als een variabele in een toegangsaanvraag. Organisaties kunnen met deze uitbreidingsmogelijkheden AD FS zodanig wijzigen dat deze aansluit op de huidige beveiligingsinfrastructuur en het huidige bedrijfsbeleid. Zie Wat zijn claims? voor meer informatie over het wijzigen van claims.

AD DS uitbreiden tot internet

AD DS fungeert in veel organisaties als primaire identificatie- en verificatieservice. Met Active Directory in Windows Server 2003 en AD DS in Windows Server 2008 and Windows Server 2008 R2 kunnen tussen twee of meer Windows Server 2003-forests, Windows Server 2008-forests of Windows Server 2008 R2-forests forestvertrouwensrelaties worden gemaakt waarmee bronnen in andere bedrijfseenheden of organisaties kunnen worden benaderd. Zie de pagina over de werking van domein- en forestvertrouwensrelaties (https://go.microsoft.com/fwlink/?LinkId=35356) voor meer informatie. (Deze pagina is mogelijk Engelstalig.)

Er zijn echter ontwerpen waarin forest-vertrouwensrelaties niet geschikt zijn. Zo moet de toegang tussen de organisaties misschien beperkt worden tot een klein aantal personen en hebben niet alle leden van een forest toegang.

Organisaties kunnen met AD FS de bestaande Active Directory-infrastructuur uitbreiden om via internet toegang te verlenen aan bronnen van vertrouwde partners. Deze vertrouwde partners kunnen externe derden zijn, of andere afdelingen of dochterondernemingen binnen dezelfde organisatie.

Verificatie en autorisatie via internet worden door AD FS ondersteund. AD FS kan worden geïntegreerd in een bestaande oplossing voor toegangsbeheer van een organisatie of afdeling door de claims die in de organisatie worden gebruikt om te zetten in claims waarover overeenstemming is bereikt, als onderdeel van een Federation. Met AD FS kunnen de claims die tussen de organisaties worden uitgewisseld, worden gemaakt, beveiligd en geverifieerd. Bovendien kan hiermee de communicatie tussen organisaties en afdelingen worden gecontroleerd, zodat transacties beter zijn beveiligd.

Zie de volgende onderwerpen voor meer informatie over AD FS:


Inhoudsopgave