Os Serviços de Federação do Active Directory (AD FS) só poderão operar quando os servidores que executam o Windows Server 2008 ou o Windows Server 2008 R2 estiverem configurados com os serviços de função do AD FS adequados. Os serviços de função do AD FS são componentes individuais do AD FS que você instala nos servidores que executam o Windows Server 2008 ou o Windows Server 2008 R2. É possível instalar os seguintes serviços de função do AD FS com o Assistente para Adicionar Serviços de Função:
-
Serviço de Federação
-
Proxy de Serviço de Federação
-
Agente de reconhecimento de declaração
-
Agente baseado no token do Windows
Dependendo do ambiente da sua organização, funções específicas do servidor do AD FS devem ser implantadas. As seções a seguir descrevem as funções de servidor associadas a cada um dos serviços de função do AD FS que podem ser usados para fornecer uma solução de gerenciamento de identidade federada do AD FS.
Servidores de federação
Os servidores de federação hospedam o serviço de função Serviço de Federação do AD FS. Esses servidores roteiam as solicitações de autenticação de contas de usuário em outras organizações (em designs de início de sessão universal da Web federado) ou de clientes que podem ser localizados em qualquer local na Internet (no design SSO da Web). Para obter mais informações sobre os diferentes designs do AD FS, consulte Noções básicas sobre designs de Federação.
Os servidores de federação também hospedam um serviço de token de segurança que emite tokens baseados nas credenciais (por exemplo, o nome do usuário e a senha) que estão presentes nele. Após as credenciais serem verificadas (pelo logon do usuário), as declarações para o usuário são coletadas através do exame dos atributos para o usuário, que estão armazenados no AD DS (Serviços de Domínio Active Directory) ou no AD LDS (Active Directory Lightweight Directory Services).
Para obter mais informações sobre servidores de federação, consulte Noções básicas sobre o Serviço de Função Serviço de Federação.
Proxies de servidor de federação
Os proxies do servidor de federação hospedam o serviço de função Proxy do Serviço de Federação do AD FS. Os proxies de servidor de federação podem ser implantados em uma rede de perímetro da organização (que também é conhecida como zona desmilitarizada, extranet, ou sub-rede filtrada) para encaminhar solicitações a servidores de federação que não estejam acessíveis pela Internet.
 | Observação |
|
Embora você possa implantar servidores separados para hospedar o serviço de função Proxy do Serviço de Federação, não é necessário implantar um servidor separado para atuar como um proxy de servidor de federação na floresta da intranet de parceiro de conta ou de recurso. Um servidor de federação realiza esta função automaticamente. |
Para obter mais informações sobre proxies de servidor de federação, consulte Noções básicas sobre o Serviço de Função Proxy de Serviço de Federação.
Servidores Web habilitados para AD FS
Os servidores Web que hospedam o serviço de função Agente Web do AD FS baseado no token do Windows ou de reconhecimento de declaração são conhecidos como servidores Web habilitados para AD FS. Esses servidores fornecem acesso seguro aos aplicativos da Web hospedados nesses servidores Web. O Agente Web do AD FS gerencia tokens de segurança e cookies de autenticação enviados a um servidor Web habilitado para AD FS. Um servidor Web habilitado para AD FS requer uma relação com um Serviço de Federação para que todos os tokens de autenticação sejam provenientes desse Serviço de Federação.
Para obter mais informações sobre os servidores Web habilitados para AD FS, consulte Noções básicas sobre o Serviço de Função Agente Web do AD FS.