Quando você planejar a colaboração entre as organizações (baseada na federação) usando o AD FS (Serviços de Federação do Active Directory), primeiro determine se a organização hospedará um recurso da Web para ser acessado por outras organizações via Internet — ou o contrário. Essa determinação afeta o modo como o AD FS é implantado e é fundamental no planejamento da sua infraestrutura do AD FS.
Para designs de federação como o Início de Sessão Universal (SSO) da Web Federado e o SSO da Web Federado com Confiança de Floresta (mas não o design de SSO da Web), o AD FS usa termos como "parceiro de conta" e "parceiro de recurso" para ajudar a diferenciar a organização que hospeda as contas (o parceiro de conta) da que hospeda recursos com base na Web (o parceiro de recurso). O termo "confiança de federação" é usado no AD FS para caracterizar a relação unidirecional não transitiva estabelecida entre o parceiro de conta e o parceiro de recurso.
Para obter mais informações sobre designs do AD FS, consulte Noções básicas sobre designs de Federação.
As seções a seguir explicam alguns dos conceitos relacionados aos parceiros de conta e aos parceiros de recurso.
Parceiro de conta
Um parceiro de conta representa a organização na relação de confiança de federação que armazena fisicamente as contas de usuário em um repositório dos Serviços de Domínio Active Directory (AD DS) ou do Active Directory Lightweight Directory Services (AD LDS). O parceiro de conta é responsável pela coleta e autenticação das credenciais do usuário, criação de declarações para o usuário e empacotamento das declarações em tokens de segurança. Esses tokens podem ser apresentados em uma confiança de federação para acesso a recursos com base na Web localizados na organização do parceiro de recurso.
Em outras palavras, um parceiro de conta representa a organização para a qual os usuários do Serviço de Federação de conta emitem símbolos de segurança. O Serviço de Federação na organização de parceiro de conta autentica os usuários locais e cria tokens de segurança usados pelo parceiro de recurso na tomada de decisões de autorização.
Em relação ao AD DS, o parceiro de conta no AD FS equivale a uma única floresta do AD DS cujas contas precisam de acesso aos recursos fisicamente localizados em outra floresta. As contas nessa floresta de exemplo somente podem acessar recursos na floresta de recursos quando há uma relação de confiança externa ou de floresta entre as duas florestas e os recursos para os quais os usuários estão tentando obter acesso foram definidos com as permissões de autorização apropriadas.
Observação | |
Essa analogia é feita estritamente para enfatizar como as relações entre organizações de conta e parceiro são semelhantes no AD FS, em conceito, às relações entre uma floresta de conta e uma floresta de recurso no AD DS. Não são necessárias confianças externas e de floresta para que o AD FS funcione. |
Produzindo declarações para o parceiro de recurso
Uma declaração é uma relação que um servidor faz (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) sobre um cliente. Um parceiro de conta produz declarações consumidas pelo Serviço de Federação do parceiro de recurso. A lista a seguir descreve os diferentes tipos de declarações que podem ser configuradas no parceiro de conta no servidor de federação de recursos:
-
Declaração de UPN
Quando configura o parceiro de conta, você pode especificar uma lista de domínios e sufixos de nome principal do usuário (UPN) que podem ser aceitos do parceiro de conta. Se uma identidade de UPN cuja parte de domínio não esteja na lista for recebida, a solicitação será recusada.
-
Declaração de email
Quando configura o parceiro de conta, você pode especificar uma lista de domínios e sufixos de email que podem ser aceitos do parceiro de conta. Assim como ocorre com a declaração de UPN, se uma identidade de email cuja parte de domínio não esteja na lista for recebida, a solicitação será recusada.
-
Declaração de nome comum
Quando configura o parceiro de conta, você pode especificar se as declarações de nome comum podem ser recebidas do parceiro de conta. Esse tipo de declaração não pode ser mapeado; ele simplesmente será transportado se estiver habilitado.
-
Declarações de grupo
Quando configura o parceiro de conta, você pode especificar um conjunto de declarações de grupo de entrada que podem ser aceitas do parceiro. Assim, é possível associar cada grupo de entrada possível a uma declaração de grupo de organização. Observe que isso cria um mapeamento de grupo. Se for encontrado um grupo de entrada sem mapeamento, ele será descartado.
-
Declarações personalizadas
Quando configura o parceiro de conta, você pode especificar um conjunto de nomes de declarações personalizadas que são aceitas do parceiro. Dessa forma, é possível mapear cada nome de entrada possível para uma declaração personalizada da organização. Observe que isso cria um mapeamento de nome. Se for encontrada uma declaração personalizada sem mapeamento, ela será descartada.
Parceiro de recurso
Um parceiro de recurso é o segundo parceiro organizacional na relação de confiança de federação. Um parceiro de recurso é a organização em que residem os servidores Web habilitados para AD FS que hospedam um ou mais aplicativos baseados na Web (os recursos). O parceiro de recurso confia no parceiro de conta para autenticar usuários. Portanto, para tomar decisões de autorização, o parceiro de recurso consome as declarações empacotadas em tokens de segurança provenientes de usuários no parceiro de conta.
Em outras palavras, um parceiro de recurso representa a organização cujos servidores Web habilitados para AD FS são protegidos pelo Serviço de Federação do recurso. O Serviço de Federação no parceiro de recurso usa os tokens de segurança produzidos pelo parceiro de conta para tomar decisões de autorização para servidores Web habilitados para AD FS localizados no parceiro de recurso.
Para funcionar como um recurso do AD FS, um servidor Web habilitado para AD FS na organização do parceiro de recurso deve ter o componente Agente Web do AD FS instalado. Os servidores Web que funcionam como um recurso do AD FS podem hospedar aplicativos de reconhecimento de declaração ou aplicativos baseados no token do Windows NT.
Observação | |
Se o aplicativo hospedado no servidor Web habilitado para Web for do tipo baseado em token do Windows NT, talvez seja necessária uma conta de recurso para a floresta do AD DS na organização do parceiro de recurso. |
Em relação ao AD DS, o parceiro de recurso é conceitualmente equivalente a uma única floresta cujos recursos são disponibilizados por meio de uma relação de confiança externa ou de floresta para contas fisicamente armazenadas em outra floresta.
Observação | |
Essa analogia é feita estritamente para enfatizar como as relações entre organizações de conta e parceiro são semelhantes no AD FS, em conceito, às relações entre uma floresta de conta e uma floresta de recurso no AD DS. Não são necessárias relações de confiança externas e de floresta para que o AD FS funcione. |
Consumindo declarações provenientes do parceiro de conta
Um parceiro de recurso consome declarações que o Serviço de Federação do parceiro de conta produz e as empacota em tokens de segurança. A lista a seguir descreve como as declarações podem ser enviadas ao parceiro de recurso:
-
Declaração de UPN
Quando configura o parceiro de recurso, você pode especificar se uma declaração de UPN deve ser enviada a ele. Também é possível especificar um mapeamento de sufixo para que todos os sufixos sejam mapeados em um sufixo de saída especificado. Por exemplo, julianp@sales.tailspintoys.com pode ser mapeado para julianp@tailspintoys.com. Observe que apenas um sufixo de saída pode ser especificado.
-
Declaração de email
Quando configura o parceiro de recurso, você pode especificar se uma declaração de email deve ser enviada a ele. Também é possível especificar um mapeamento de sufixo para que todos os sufixos sejam mapeados em um sufixo especificado. Por exemplo, vernettep@sales.tailspintoys.com pode ser mapeado para vernettep@tailspintoys.com. Observe que apenas um sufixo de saída pode ser especificado.
-
Declaração de nome comum
Quando configura o parceiro de recurso, você pode especificar se as declarações de nome comum podem ser enviadas a ele. Esse tipo de declaração não pode ser mapeado; ele simplesmente será transportado por meio do parceiro de recurso se estiver habilitado.
-
Declarações de grupo
Quando configura o parceiro de recurso, você pode especificar um conjunto de declarações de grupo de saída que serão aceitas por ele. Assim, é possível associar cada declaração de grupo de saída possível às declarações de grupo da organização. Observe que isso cria um conjunto de mapeamentos de grupo. As declarações de grupo da organização que não corresponderem a uma declaração de grupo de saída não serão criadas.
-
Declarações personalizadas
Quando configura o parceiro de recurso, você pode especificar um conjunto de declarações personalizadas de saída que são aceitas por ele. Você pode mapear cada declaração personalizada de saída possível para uma declaração personalizada de uma organização. Observe que isso cria um conjunto de mapeamentos de nome. As declarações personalizadas da organização que não corresponderem a uma declaração personalizada de saída não serão criadas.
Privacidade de identidade aprimorada
A Privacidade de identidade aprimorada é uma configuração opcional que pode ser configurada em um parceiro de recurso na diretiva de confiança. Se a opção Privacidade de identidade aprimorada estiver habilitada, essa configuração aplica hash à parte de nome do usuário das declarações UPN e de email de saída. Ela substitui o nome comum por um valor aleatório.
O objetivo desse recurso é evitar:
-
Que o parceiro de recurso correlacione declarações de identidade a informações de usuário de identificação pessoal.
-
A fraude entre parceiros na correlação de declarações de identidade para informações de usuário de identificação pessoal. Essa configuração cria um hash exclusivo por parceiro para que os valores de declaração de identidade sejam diferentes entre os parceiros de realms de confiança distintos, mas consistentes nas sessões para um único parceiro.
-
Ataques com dicionário simples contra o hash ocorrem por meio da "alternância" do valor do usuário com dados que estejam na diretiva de confiança — dados que não são conhecidos pelos parceiros de recurso.