Podczas planowania opartej na federacji współpracy między organizacjami przy użyciu usług Active Directory Federation Services (AD FS) należy najpierw określić, czy dana organizacja będzie obsługiwać zasoby sieci Web, do których inne organizacje będą uzyskiwać dostęp za pośrednictwem Internetu, czy odwrotnie. Ma to wpływ na sposób wdrażania programu AD FS i jest podstawą planowania infrastruktury programu AD FS.

W projektach dotyczących federacji, takich jak Federacyjna usługa rejestracji jednokrotnej w sieci Web i Federacyjna usługa rejestracji jednokrotnej w sieci Web z zaufaniem lasu (ale nie w projekcie Usługa rejestracji jednokrotnej w sieci Web), w programie AD FS są używane pojęcia „partner kont” i „partner zasobów” w celu odróżnienia organizacji, która obsługuje konta (partnera kont), od organizacji, która obsługuje zasoby oparte na sieci Web (partnera zasobów). Pojęcie „zaufanie federacji” w programie AD FS służy do przedstawienia jednokierunkowej, nieprzechodniej relacji ustanowionej między partnerem kont i partnerem zasobów.

Aby uzyskać więcej informacji o projektach programu AD FS, zobacz temat Opis projektów federacji.

W poniższych sekcjach wyjaśniono pewne pojęcia związane z partnerami kont i partnerami zasobów.

Partner kont

Partner kont to organizacja w relacji zaufania federacji, która fizycznie przechowuje konta użytkowników w magazynie usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) lub w magazynie usług LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services). Partner kont jest odpowiedzialny za zbieranie i uwierzytelnianie poświadczeń użytkownika, tworzenie oświadczeń dla takiego użytkownika i umieszczanie oświadczeń w tokenach zabezpieczających. Tych tokenów można używać w całej relacji zaufania federacji w celu uzyskiwania dostępu do zasobów opartych na sieci Web, które znajdują się w organizacji partnera zasobów.

Innymi słowy, partner kont to organizacja, z której pochodzą użytkownicy otrzymujący tokeny zabezpieczające od usługi federacyjnej działającej po stronie kont. Usługa federacyjna w organizacji partnera kont uwierzytelnia użytkowników lokalnych i tworzy tokeny zabezpieczające, które są używane przez partnera zasobów podczas podejmowania decyzji dotyczących autoryzacji.

W odniesieniu do usług AD DS partner kont w programie AD FS jest koncepcyjnym odpowiednikiem pojedynczego lasu usług AD DS, którego konta potrzebują dostępu do zasobów fizycznie znajdujących się w innym lesie. Konta z tego przykładowego lasu mogą uzyskiwać dostęp do zasobów w lesie zasobów tylko wtedy, gdy między dwoma lasami została ustanowiona zewnętrzna relacja zaufania lub relacja zaufania lasu, a zasoby, do których użytkownicy próbują uzyskać dostęp, zostały skonfigurowane z użyciem odpowiednich uprawnień autoryzacji.

Uwaga

Ta analogia ma na celu pokazanie, w jaki sposób relacja między organizacją partnera kont i organizacją partnera zasobów w programie AD FS jest koncepcyjnie podobna do relacji między lasem kont i lasem zasobów w usługach AD DS. Do działania programu AD FS nie są wymagane zewnętrzne relacje zaufania ani relacje zaufania lasu.

Tworzenie oświadczeń przesyłanych do partnera zasobów

Oświadczenie to deklaracja na temat klienta (na przykład nazwa, tożsamość, klucz, grupa, przywilej lub możliwość), którą tworzy serwer. Partner kont tworzy oświadczenia używane przez usługę federacyjną partnera zasobów. Na poniższej liście znajduje się opis różnych typów oświadczeń, które mogą być konfigurowane przez partnera kont po stronie serwera federacyjnego zasobów:

  • Oświadczenie głównej nazwy użytkownika (UPN)

    Podczas konfigurowania partnera kont można określić listę domen głównych nazw użytkownika (UPN) i sufiksów, które mogą być akceptowane, jeśli pochodzą od partnera kont. Jeśli zostanie odebrana tożsamość głównej nazwy użytkownika, której część określająca domenę nie występuje na liście, żądanie zostanie odrzucone.

  • Oświadczenie adresu e-mail

    Podczas konfigurowania partnera kont można określić listę domen adresów e-mail i sufiksów, które mogą być akceptowane, jeśli pochodzą od partnera kont. Podobnie jak w przypadku oświadczeń głównej nazwy użytkownika, jeśli zostanie odebrana tożsamość e-mail, której część określająca domenę nie występuje na liście, żądanie zostanie odrzucone.

  • Oświadczenie nazwy pospolitej

    Podczas konfigurowania partnera kont można określić, czy oświadczenia nazwy pospolitej mogą być odbierane od partnera kont. Oświadczeń tego typu nie można mapować. Jeśli są one włączone, są po prostu przekazywane.

  • Oświadczenia grupy

    Podczas konfigurowania partnera kont można określić zestaw przychodzących oświadczeń grupy, które mogą być akceptowane, jeśli pochodzą od partnera. Następnie można skojarzyć każdą możliwą grupę przychodzącą z oświadczeniem grupy organizacji. Należy zauważyć, że w ten sposób tworzy się mapowanie grupy. Jeśli okaże się, że grupa przychodząca nie ma mapowania, zostanie odrzucona.

  • Oświadczenia niestandardowe

    Podczas konfigurowania partnera kont można określić zestaw przychodzących nazw oświadczeń niestandardowych, które mogą być akceptowane, jeśli pochodzą od partnera. Następnie można zamapować każdą możliwą przychodzącą nazwę na oświadczenie niestandardowe organizacji. Należy zauważyć, że w ten sposób tworzy się mapowanie nazwy. Jeśli okaże się, że przychodzące oświadczenie niestandardowe nie ma mapowania, zostanie odrzucone.

Partner zasobów

Partner zasobów to drugi partner organizacyjny w relacji zaufania federacji. Partner zasobów to organizacja, w której znajdują się serwery sieci Web z włączonym programem AD FS, obsługujące jedną lub więcej aplikacji opartych na sieci Web (zasobów). Partner zasobów pozostaje w relacji zaufania z partnerem kont w celu uwierzytelniania użytkowników. Dlatego w celu podejmowania decyzji dotyczących autoryzacji partner zasobów używa oświadczeń umieszczonych w tokenach zabezpieczających, które pochodzą od użytkowników z partnera kont.

Innymi słowy, partner zasobów to organizacja, której serwery sieci Web z włączonym programem AD FS są chronione przez usługę federacyjną działającą po stronie zasobów. Usługa federacyjna partnera zasobów używa tokenów zabezpieczających, które są tworzone przez partnera kont, do podejmowania decyzji dotyczących autoryzacji dla serwerów sieci Web z włączonym programem AD FS znajdujących się w organizacji partnera zasobów.

Aby serwer sieci Web z włączonym programem AD FS w organizacji partnera zasobów mógł pełnić funkcję zasobu programu AD FS, należy zainstalować na nim składnik programu AD FS o nazwie Agent sieci Web programu AD FS. Serwery sieci Web pełniące funkcję zasobu programu AD FS mogą obsługiwać aplikacje obsługujące oświadczenia lub aplikacje używające tokenów systemu Windows NT.

Uwaga

Jeśli aplikacja obsługiwana na serwerze sieci Web z włączonym programem AD FS używa tokenów systemu Windows NT, las usług AD DS w organizacji partnera zasobów może wymagać konta zasobów.

W odniesieniu do usług AD DS partner zasobów jest koncepcyjnym odpowiednikiem pojedynczego lasu, którego zasoby są udostępniane za pomocą zewnętrznej relacji zaufania lub relacji zaufania lasu kontom znajdującym się fizycznie w innym lesie.

Uwaga

Ta analogia ma na celu pokazanie, w jaki sposób relacja między organizacją partnera kont i organizacją partnera zasobów w usługach AD FS jest koncepcyjnie podobna do relacji między lasem kont i lasem zasobów w usługach domenowych w usłudze AD. Do działania usług AD FS nie są wymagane zewnętrzne relacje zaufania ani relacje zaufania lasu.

Używanie oświadczeń przesyłanych przez partnera kont

Partner zasobów korzysta z oświadczeń tworzonych przez usługę federacyjną partnera kont, które są umieszczone w tokenach zabezpieczających. Na poniższej liście znajduje się opis sposobów wysyłania oświadczeń do partnera zasobów:

  • Oświadczenie głównej nazwy użytkownika (UPN)

    Podczas konfigurowania partnera zasobów można określić, czy oświadczenie głównej nazwy użytkownika ma być wysyłane do partnera zasobów. Można także określić mapowanie sufiksów, dzięki czemu każdy sufiks będzie mapowany na określony sufiks wychodzący. Na przykład sufiks z adresu tomaszb@sprzedaz.tailspintoys.com można zamapować na sufiks tomaszb@tailspintoys.com. Należy zwrócić uwagę, że można określić tylko jeden sufiks wychodzący.

  • Oświadczenie adresu e-mail

    Podczas konfigurowania partnera zasobów można określić, czy oświadczenie adresu e-mail ma być wysyłane do partnera zasobów. Można także określić mapowanie sufiksów, dzięki czemu każdy sufiks będzie mapowany na określony sufiks. Na przykład sufiks z adresu annam@sprzedaz.tailspintoys.com można zamapować na sufiks annam@tailspintoys.com. Należy zauważyć, że można określić tylko jeden sufiks wychodzący.

  • Oświadczenie nazwy pospolitej

    Podczas konfigurowania partnera zasobów można określić, czy oświadczenia nazwy pospolitej mogą być wysyłane do partnera zasobów. Oświadczeń tego typu nie można mapować. Jeśli te oświadczenia są włączone, są po prostu przekazywane do partnera zasobów.

  • Oświadczenia grupy

    Podczas konfigurowania partnera zasobów można określić zestaw wychodzących oświadczeń grupy, które będą akceptowane przez partnera zasobów. Następnie można skojarzyć każdą możliwą grupę wychodzącą z oświadczeniem grupy organizacji. Należy zauważyć, że w ten sposób tworzy się mapowania grupy. Oświadczenia grupy organizacji, które są niezgodne z wychodzącym oświadczeniem grupy, nie będą tworzone.

  • Oświadczenia niestandardowe

    Podczas konfigurowania partnera zasobów można określić zestaw wychodzących oświadczeń niestandardowych, które będą akceptowane przez partnera zasobów. Każde możliwe wychodzące oświadczenie niestandardowe można zamapować na oświadczenie niestandardowe organizacji. Należy zauważyć, że w ten sposób tworzy się zestaw mapowań nazwy. Oświadczenia niestandardowe organizacji, które są niezgodne z wychodzącym oświadczeniem niestandardowym, nie będą tworzone.

Rozszerzona prywatność tożsamości

W zasadach zaufania partnera zasobów można skonfigurować ustawienie opcjonalne Rozszerzona prywatność tożsamości. Jeśli opcja Rozszerzona prywatność tożsamości jest włączona, powoduje to wyznaczanie wartości skrótu dla części zawierających nazwę użytkownika w wychodzących oświadczeniach głównej nazwy użytkownika i oświadczeniach adresu e-mail. Ta funkcja zastępuje nazwę pospolitą wartością losową.

Celem stosowania tej funkcji jest zapobieganie następującym zjawiskom:

  • Korelowanie przez partnera zasobów oświadczeń tożsamości z informacjami umożliwiającymi personalną identyfikację użytkownika.

  • Porozumienie partnerów mające na celu korelowanie oświadczeń tożsamości z informacjami umożliwiającymi personalną identyfikację użytkownika. To ustawienie powoduje utworzenie unikatowej wartości mieszania dla każdego partnera, dzięki czemu wartości oświadczeń tożsamości są różne u różnych partnerów obszaru zaufania, ale pozostają stałe we wszystkich sesjach dla jednego partnera.

  • Proste ataki słownikowe na wartość skrótu, polegające na podstawianiu zamiast wartości użytkownika danych pochodzących z zasad zaufania, a więc nieznanych partnerom zasobów.


Spis treści