Em qualquer design dos Serviços de Federação do Active Directory (AD FS), vários certificados devem ser usados para proteger a comunicação e facilitar a autenticação do usuário e as solicitações de autorização feitas aos servidores da federação, proxies do servidor da federação e servidores Web habilitados para AD FS.
Para obter informações gerais sobre certificados, consulte o tópico sobre infraestrutura de chave-pública do Windows Server 2003 (
Certificados usados pelos servidores de federação
Cada servidor de federação precisa ter um certificado de autenticação servidor e um certificado de autenticação de token antes de poder participar em comunicações do AD FS. A diretiva de confiança requer um certificado associado, conhecido como certificado de verificação, que é a parte de chave pública do certificado de autenticação de token.
Certificados de autenticação de servidor
O servidor de federação usa certificados de autenticação do servidor Secure Sockets Layer (SSL) para proteger o tráfego de serviços da Web da comunicação com clientes Web ou com o proxy de servidor de federação. Estes certificados são necessários e instalados através do snap-in do IIS.
Certificados de autenticação de tokens
Cada servidor de federação usa um certificado de autenticação de tokens para assinar digitalmente todos os tokens de segurança que ele produz. Como cada token de segurança é assinado digitalmente pelo parceiro de conta, o parceiro de recurso pode verificar se o token de segurança foi, de fato, emitido pelo parceiro de conta e se ele não foi modificado. Isso ajuda a impedir que invasores forjem ou modifiquem tokens de segurança para obter um acesso não autorizado aos recursos.
As assinaturas digitais em tokens de segurança também são usadas no parceiro de conta quando houver mais de um servidor de federação. Nesta situação, as assinaturas digitais verificam a origem e integridade dos tokens de segurança que são emitidos por outros servidores de federação no parceiro de conta. As assinaturas digitais são verificadas com os certificados de verificação.
 | Observação |
|
Cada certificado de autenticação de token contém uma chave privada que está associada ao certificado. |
Certificados de verificação
Os certificados de verificação são usados para verificar se um símbolo de segurança foi emitido por um servidor de federação válido e se ele não foi modificado. Certificados de verificação são, na verdade, certificados de autenticação de tokens de outros servidores de federação.
Para verificar se um token de segurança foi emitido por um determinado servidor de federação e se ele não foi modificado, o servidor de federação deve ter um certificado de verificação para o servidor de federação que emitiu o token de segurança. Por exemplo, se o servidor de federação A emitir um token de segurança e enviá-lo ao servidor de federação B, o servidor de federação B deve ter um certificado de verificação (certificado de autenticação de tokens do servidor de federação A) para o servidor de federação A.
| Observação |
|
Diferente de um certificado de autenticação de tokens, um certificado de verificação não contém a chave privada que é associada ao certificado. |
Certificados usados por proxies do servidor de federação
Os servidores que executem o serviço de função Proxy do Serviço de Federação devem usar um certificado de autenticação do cliente e um certificado de autenticação do servidor.
Certificados de autenticação do cliente
Cada proxy de servidor de federação usa um certificado de autenticação de cliente SSL para se autenticar no Serviço de Federação. Qualquer certificado com EKU (uso estendido de chave) de autenticação de cliente pode ser usado como um certificado de autenticação de cliente do proxy de servidor de federação. Uma cópia do certificado de autenticação de cliente do proxy de servidor de federação é armazenada no proxy de servidor de federação e na diretiva de confiança do servidor de federação. Entretanto, somente o proxy de servidor de federação armazena a chave privada que está associada ao certificado de autenticação de cliente do proxy de servidor de federação.
| Observação |
|
A interface de usuário da Diretiva de Confiança no snap-in Serviços de Federação do Active Directory refere-se aos certificados de autenticação do cliente como certificados FSP (Proxy do Serviço de Federação). |
Certificados de autenticação de servidor
O proxy de servidor de federação usa os certificados de autenticação do servidor SSL para garantir a segurança do tráfego de serviços da Web para a comunicação com clientes da Web. Estes certificados são necessários e instalados através do snap-in do Gerenciador dos Serviços de Informações da Internet (IIS).
Certificados usados por servidores Web habilitados para AD FS
Cada servidor Web habilitado para AD FS que hospeda o Agente Web do AD FS usa certificados de autenticação de servidor SSL para se comunicar com segurança com clientes Web. Estes certificados são necessários e instalados através do snap-in do Gerenciador dos Serviços de Informações da Internet (IIS).