Noções básicas sobre os cookies usados pelo AD FS

O Serviço de Federação e o Agente Web do AD FS podem emitir cookies de autenticação. O Agente Web do AD FS pega o token de segurança do AD FS que recebe e o utiliza como valor de cookie. O benefício para o servidor Web habilitado para AD FS é que ele não precisa ser configurado com um par de chaves pública/privada que possa assinar e verificar seus próprios cookies. O Serviço de Federação publica todas as informações necessárias para validação dos tokens.

No Serviço de Federação, o token de segurança em um cookie contém as declarações de organização para o cliente. Essas declarações podem ser mapeadas para declarações de saída para um determinado recurso. O Agente Web do AD FS também pode autenticar e usar cookies emitidos pelo Serviço de Federação. O servidor Web habilitado para AD FS recebe um cookie quando o cliente vai até ele. Depois, o Agente Web do AD FS pode autenticar esse cookie e usar as declarações que ele contém. Para obter mais informações sobre como o Serviço de Federação usa tokens, declarações e cookies de autenticação, consulte Noções básicas sobre o Serviço de Função Serviço de Federação.

O cookie de autenticação facilita o SSO (logon único). Depois que o Serviço de Federação valida o cliente uma vez, o cookie de autenticação é gravado no cliente. O Serviço de Federação produz e consome o conteúdo do cookie de autenticação e esse conteúdo não é lido pelos proxies de servidor de federação. Uma autenticação mais complexa ocorre através do cookie, em vez da coleta repetida das credenciais do cliente. Para obter mais informações sobre proxies de servidor de federação, consulte Noções básicas sobre o Serviço de Função Proxy de Serviço de Federação.

A ilustração a seguir mostra o conteúdo de um cookie de autenticação e os serviços de função do AD FS que usam esse cookie. O Agente Web do AD FS abrange o Serviço de Autenticação Agente Web do AD FS e a Extensão do Agente baseado em token do Windows do AD FS.

O cookie de autenticação sempre é um cookie de sessão. Esse cookie é assinado, mas não criptografado, o que constitui um motivo pelo qual o uso de TLS/SSL no AD FS é obrigatório.

O cookie de parceiro de conta facilita o SSO. Após a descoberta de participação de parceiro de conta interativa, se o cookie de parceiro de conta tiver um token válido, esse cookie será gravado no cliente. Outras interações usam as informações nesse cookie, em vez de solicitar ao cliente os dados de participação de parceiro de conta novamente. O cookie de parceiro de conta é definido como resultado de um processo de descoberta de parceiro de conta. Para obter mais informações sobre descoberta de parceiro de conta, consulte Noções básicas sobre o Serviço de Função Serviço de Federação.

O cookie de parceiro de conta é um cookie persistente, de longo prazo. Ele não é assinado ou criptografado.

O cookie de saída facilita o encerramento. Sempre que o Serviço de Federação emite um token, o parceiro de recurso de token ou servidor de destino é adicionado ao cookie de saída. Quando recebe uma solicitação de encerramento, o Serviço de Federação ou o Proxy de Serviço de Federação envia solicitações a cada um dos servidores de destino de token que solicita a limpeza dos artefatos de autenticação, como cookies armazenados em cache, que o parceiro de recurso ou servidor Web habilitado para AD FS podem ter gravado no cliente. No caso de um parceiro de recurso, ele envia uma solicitação de limpeza para qualquer servidor Web habilitado para AD FS usado pelo cliente.

O cookie de saída sempre é um cookie de sessão. Ele não é assinado ou criptografado.