Os Serviços de Federação do Active Directory (AD FS) oferecem suporte para designs de identidade federada (também conhecidos como cenários de federação) que usam especificações do WS-Federation (Web Services Federation), do protocolo WS-F PRP e do WS-Federation Passive Requestor Interoperability Profile. A solução AD FS ajuda os administradores a lidarem com os desafios de gerenciamento de identidade federada, tornando possível para as organizações compartilharem de forma segura as informações de identidade de um usuário em relações de confiança de federação. As três descrições de designs de implantação a seguir ilustram como usar uma combinação das funções de servidor do AD FS para identidades federadas, dependendo das necessidades da sua organização. Para obter mais informações sobre as várias funções de servidor, consulte Noções básicas sobre os Serviços de Função do AD FS.
SSO da Web Federado
O design do Logon Único (SSO) da Web Federado envolve a comunicação de segurança que geralmente abrange vários firewalls, redes de perímetro e servidores de resolução de nomes, além da infraestrutura inteira de roteamento da Internet. A comunicação em um ambiente SSO da Web federado pode ajudar a criar transações online mais eficientes e seguras entre organizações que estão unidas pelas relações de confiança de federação.
Como mostrado na ilustração a seguir, uma relação de confiança de federação pode ser estabelecida entre duas empresas. Neste design, servidores de federação estabelecem a rota das solicitações de autenticação de contas de usuários no Tailspin Toys para aplicativos baseados na Web que estão localizados na rede do Comerciante Online.
Os servidores de federação autenticam solicitações de parceiros confiáveis com base nas credenciais dos parceiros. As representações das credenciais são trocadas na forma de tokens de segurança.
Para uma segurança aperfeiçoada, os proxies de servidor de federação podem ser usados para retransmitir solicitações para servidores de federação que não estão diretamente acessíveis pela Internet.
SSO da Web Federado com Confiança de Floresta
O design do SSO da Web Federado com Confiança de Floresta envolve duas florestas do Active Directory em uma única organização, como mostrado na ilustração a seguir. Uma das florestas está localizada na rede de perímetro da organização, que também é conhecida como zona desmilitarizada, extranet ou sub-rede filtrada. A outra floresta está localizada na rede interna. Uma relação de confiança de floresta unidirecional é estabelecida de forma que a floresta na rede de perímetro confie na floresta na rede interna. Servidores de federação são distribuídos em ambas as redes. Uma relação de confiança de federação é estabelecida de forma que a floresta interna possa ser usada para acessar um aplicativo baseado na Web na rede de perímetro, quer as contas acessem o site pela floresta da intranet ou pela Internet.
Neste design, usuários externos, como clientes, podem acessar o aplicativo da Web se autenticando no servidor de federação da conta externa, que está localizado na rede de perímetro. Usuários externos possuem contas de usuário na floresta do Active Directory da rede de perímetro. Os usuários internos, como funcionários, também podem acessar o aplicativo da Web se autenticando no servidor de federação da conta interna, que está localizado na rede interna. Os usuários internos possuem contas na floresta interna do Active Directory.
Se o aplicativo baseado na Web for um aplicativo baseado no token do Windows NT, o Agente Web do AD FS que está sendo executado no servidor do aplicativo da Web intercepta as solicitações e cria símbolos de segurança do Windows NT, que o aplicativo da Web necessita para tomar decisões de autorização. Isto é possível para usuários externos, pois o servidor Web habilitado para AD FS que hospeda o aplicativo baseado no token do Windows NT é associado ao domínio na floresta externa. Para usuários internos, isto está habilitado através da relação de confiança de floresta que existe entre a floresta do perímetro e a floresta interna.
Se o aplicativo baseado na Web for um aplicativo de reconhecimento de declaração, o Agente Web do AD FS que está sendo executado no servidor de aplicativo da Web não precisará criar símbolos de segurança do Windows NT para o usuário. O Agente Web do AD FS pode expor as declarações que encontrar. Isso possibilita que o aplicativo tome as decisões de autorização com base no conteúdo do token de segurança que é fornecido pelo servidor de federação da conta. Como resultado, quando ele implementa aplicativos de reconhecimento de declaração, o servidor Web habilitado para AD FS não tem de estar associado ao domínio, e a relação de confiança entre a floresta externa e a floresta interna não é necessária.
SSO da Web
No design do SSO da Web do AD FS, os usuários devem autenticar somente uma vez para acessar vários aplicativos baseados na Web. Neste design, todos os usuários são externos e não existe relação de confiança de federação. Como os servidores Web habilitados para AD FS devem estar acessíveis pela Internet e também associados ao domínio Active Directory, eles estão conectados a duas redes, ou seja, eles são multihomed. A primeira rede é voltada para a Internet (a rede de perímetro) para fornecer a conectividade necessária. A segunda rede contém a floresta do Active Directory (a rede protegida), que não está diretamente acessível pela Internet. O proxy de servidor de federação também é multihomed para fornecer a conectividade necessária ao servidor de federação e à Internet. Neste design, colocar o servidor de federação em uma rede que não esteja diretamente acessível pela Internet reduz muito o risco para o servidor de federação.
