Program Active Directory Federation Services (AD FS) obsługuje projekty tożsamości federacyjnych (nazywane również scenariuszami dotyczącymi federacji), w których są używane specyfikacje usług federacyjnych w sieci Web (WS-Federation), profilu pasywnego obiektu żądającego usług federacyjnych w sieci Web (WS-F PRP) i profilu współdziałania pasywnego obiektu żądającego usług federacyjnych w sieci Web (WS-Federation Passive Requestor Interoperability Profile). Rozwiązanie AD FS pomaga administratorom w federacyjnym zarządzaniu tożsamościami, umożliwiając organizacjom bezpieczne udostępnianie informacji dotyczących tożsamości użytkowników w ramach relacji zaufania federacji. Poniższe trzy opisy projektów wdrożenia pokazują, jak za pomocą kombinacji ról serwera programu AD FS można zarządzać tożsamościami w sposób federacyjny, w zależności od potrzeb organizacji. Aby uzyskać więcej informacji o poszczególnych rolach serwera, zobacz temat Opis usług ról usług AD FS.
Federacyjna usługa rejestracji jednokrotnej w sieci Web
Projekt Federacyjna usługa rejestracji jednokrotnej w sieci Web obejmuje bezpieczną komunikację, która często jest realizowana między wieloma zaporami, sieciami obwodowymi i serwerami rozpoznawania nazw, a także obejmuje infrastrukturę routingu w całym Internecie. Komunikacja za pomocą środowiska federacyjnej usługi rejestracji jednokrotnej w sieci Web może być pomocna w rozwijaniu efektywniejszych i bezpieczniejszych transakcji w trybie online między organizacjami połączonymi relacjami zaufania federacji.
Tak jak pokazano na poniższej ilustracji, relację zaufania federacji można utworzyć między dwiema firmami. W tym projekcie serwery federacyjne kierują żądania uwierzytelniania pochodzące z kont użytkowników w firmie Tailspin Toys do aplikacji opartych na sieci Web, które znajdują się w sieci sprzedawcy detalicznego w trybie online.
Serwery federacyjne uwierzytelniają żądania od zaufanych partnerów na podstawie poświadczeń tych partnerów. Reprezentacje poświadczeń są wymieniane w formie tokenów zabezpieczających.
Aby zwiększyć zabezpieczenia, można przekazywać żądania do serwerów federacyjnych, które nie są dostępne bezpośrednio z Internetu, za pomocą serwerów proxy usługi federacyjnej.
Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu
Projekt Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu obejmuje dwa lasy usługi Active Directory w jednej organizacji, jak pokazano na poniższej ilustracji. Jeden z lasów znajduje się w sieci obwodowej organizacji (zwanej również strefą zdemilitaryzowaną, ekstranetem lub podsiecią ekranowaną). Drugi las znajduje się w sieci wewnętrznej. Zostało ustanowione jednokierunkowe zaufanie lasu, dzięki czemu las w sieci obwodowej ufa lasowi w sieci wewnętrznej. Serwery federacyjne zostały wdrożone w obu sieciach. Utworzono relację zaufania federacji, dzięki czemu konta z lasu wewnętrznego umożliwiają dostęp do opartej na sieci Web aplikacji w sieci obwodowej, niezależnie od tego, czy dostęp jest uzyskiwany z poziomu lasu w intranecie, czy za pośrednictwem Internetu.
W tym projekcie użytkownicy zewnętrzni, na przykład klienci, mogą uzyskiwać dostęp do aplikacji sieci Web, uwierzytelniając się na serwerze federacyjnym kont zewnętrznych, który znajduje się w sieci obwodowej. Użytkownicy zewnętrzni mają konta w lesie usługi Active Directory, który znajduje się w sieci obwodowej. Użytkownicy wewnętrzni, na przykład pracownicy, mogą również uzyskiwać dostęp do aplikacji sieci Web, uwierzytelniając się na serwerze federacyjnym kont wewnętrznych, który znajduje się w sieci wewnętrznej. Użytkownicy wewnętrzni mają konta w wewnętrznym lesie usługi Active Directory.
Jeśli aplikacja oparta na sieci Web używa tokenów systemu Windows NT, agent sieci Web programu AD FS, który jest uruchomiony na serwerze aplikacji sieci Web, przechwytuje żądania i tworzy tokeny zabezpieczające systemu Windows NT, których aplikacja sieci Web potrzebuje do podejmowania decyzji dotyczących autoryzacji. Jest to możliwe dla użytkowników zewnętrznych, ponieważ serwer sieci Web z włączonymi usługami AD FS, który obsługuje aplikację używającą tokenów systemu Windows NT, jest przyłączony do domeny w lesie zewnętrznym. Dla użytkowników wewnętrznych jest to możliwe dzięki relacji zaufania lasu, która została ustanowiona między lasem obwodowym i lasem wewnętrznym.
Jeśli aplikacja oparta na sieci Web obsługuje oświadczenia, agent sieci Web programu AD FS, który jest uruchomiony na serwerze aplikacji sieci Web, nie musi tworzyć dla użytkowników tokenów zabezpieczających systemu Windows NT. Agent sieci Web programu AD FS może udostępniać przychodzące oświadczenia, co umożliwia aplikacji podejmowanie decyzji dotyczących autoryzacji na podstawie zawartości tokenu zabezpieczającego dostarczanego przez serwer federacyjny kont. W wyniku tego po wdrożeniu aplikacji obsługujących oświadczenia serwer sieci Web z włączonym programem AD FS nie musi być przyłączony do domeny i nie jest wymagane zaufanie między lasem zewnętrznym i lasem wewnętrznym.
Usługa rejestracji jednokrotnej w sieci Web
W projekcie programu AD FS Usługa rejestracji jednokrotnej w sieci Web użytkownicy muszą uwierzytelniać się tylko raz w celu uzyskania dostępu do różnych aplikacji opartych na sieci Web. W tym projekcie wszyscy użytkownicy są użytkownikami zewnętrznymi i nie istnieją relacje zaufania federacji. Ponieważ serwery sieci Web z włączonym programem AD FS muszą być dostępne za pośrednictwem Internetu i muszą być dołączone do domeny usługi Active Directory, są one podłączone do dwóch sieci, a więc są komputerami wieloadresowymi. Pierwsza sieć łączy się z Internetem (sieć obwodowa) w celu zapewnienia wymaganej łączności. W drugiej sieci znajduje się las usługi Active Directory (sieć chroniona), który nie jest dostępny bezpośrednio z poziomu Internetu. Serwer proxy usługi federacyjnej również jest serwerem wieloadresowym, dzięki czemu może zapewnić wymaganą łączność z serwerem federacyjnym i Internetem. W tym projekcie umieszczenie serwera federacyjnego w sieci, która nie jest bezpośrednio dostępna z poziomu Internetu, powoduje znaczne zmniejszenie zagrożenia tego serwera.
