O Agente Web do AD FS (Serviços de Federação do Active Directory) é um serviço de função do AD FS que pode ser instalado independentemente de outros serviços de função do AD FS. Quando o serviço de função Agente Web do AD FS é instalado em um computador, ele passa a ser um servidor Web habilitado para AD FS.

Os servidores Web habilitados para AD FS consomem tokens de segurança e permitem ou negam o acesso do usuário a um aplicativo Web. Para que isso possa ser feito, é necessário que o servidor Web habilitado para AD FS se relacione com um Serviço de Federação de recurso para que ele possa direcionar o usuário ao Serviço de Federação, conforme necessário.

O Agente Web do AD FS pode ser usado para dois tipos diferentes de aplicativos:

  • Aplicativos de reconhecimento de declaração: um aplicativo do Microsoft ASP.NET criado para objetos publicados do AD FS que permitem a consulta de declarações do token de segurança do AD FS. Os aplicativos tomam decisões de autorização com base nessas declarações.

  • Aplicativos baseados em token do Windows NT: um aplicativo que usa mecanismos de autorização baseados no Windows. O Agente Web do AD FS oferece suporte para a conversão de um token de segurança do AD FS para um token de acesso do Windows NT® no nível de representação.

O servidor Web habilitado para AD FS também armazena cookies HTTP em clientes nos quais os cookies forem necessários para facilitar o início de sessão universal (SSO). O Agente Web do AD FS compreende dois componentes distintos:

  • Extensão do agente baseado em token do Windows do AD FS

  • Serviço de Autenticação do Agente Web do AD FS

Extensão do Agente Baseado em Token do Windows do AD FS

A Extensão do Agente Baseado em Token do Windows do ADFS é uma extensão ISAPI (Internet Server Application Programming Interface) que pode ser usada para a configuração de informações da metabase do IIS (Serviços de Informações da Internet). No Gerenciador do IIS, você pode usar as páginas de propriedades URL dos Serviços de Federação e Agente Web do AD FS para administrar políticas e certificados que verificam os cookies e o token de segurança do AD FS.

As propriedades do Agente da Web do AD FS na tabela a seguir são herdáveis. Estas propriedades são necessárias em um recurso IIS se a extensão ISAPI oferecer suporte ao protocolo WS-F PRP.

Propriedades Descrição

URL de Serviço de Federação

A URL de Serviço de Federação. Esta URL é necessária para a consulta de informações de confiança.

Caminho do cookie

O caminho especificado quando o cookie de autenticação é gravado.

Domínio do cookie

O domínio no qual o cookie é válido.

URL de retorno

A URL para a qual o token do Serviço de Federação retorna após a autenticação no Serviço de Federação. Esta URL deve corresponder ao elemento Público do token. A verificação do elemento Público é realizada pelo serviço do Windows.

Serviço de Autenticação do Agente da Web do AD FS

O Serviço de Autenticação do Agente da Web do AD FS valida cookies e tokens de entrada. Ele é executado como Sistema Local para gerar um token usando o Service-for-User (S4U), que permite que você obtenha um token do Windows para o cliente fornecendo um UPN (nome principal do usuário) sem senha, ou o pacote de autenticação do AD FS. Entretanto, não é necessário que o pool de aplicativos do IIS seja executado como Sistema Local.

O Serviço de Autenticação do Agente Web do AD FS possui interfaces que podem ser chamadas somente por LRPC (chamada de procedimento remoto local) e não por RPC (chamada de procedimento remoto). Esse serviço retorna uma representação de um token de acesso do Windows NT se for fornecido um token de segurança do AD FS ou um cookie do AD FS.

Consulte também


Sumário