O Serviço de Federação do Active Directory (AD FS) é um recurso dos sistemas operacionais Windows Server® 2003 R2, Windows Server 2008 e Windows Server 2008 R2, que fornece tecnologias de SSO (logon único) da Web para autenticar um usuário em vários aplicativos Web relacionados, durante uma única sessão online. O AD FS realiza isso com segurança compartilhando a identidade digital e as autorizações ou "declarações", através dos limites de segurança e da empresa.
Recursos do AD FS
No Windows Server 2008 e no Windows Server 2008 R2, o AD FS inclui novos recursos que não estavam disponíveis no Windows Server 2003 R2. Para aprender mais sobre estes novos recursos, veja as novidades do AD FS em Windows Server 2008 (
Veja a seguir alguns dos principais recursos do AD FS:
-
Federação e SSO da Web
Quando uma organização usa os Serviços de Domínio Active Directory (AD DS), ela usufrui dos benefícios da funcionalidade SSO através da Autenticação Integrada do Windows dentro dos limites de segurança ou da empresa. O AD FS estende a sua funcionalidade aos aplicativos voltados para a Internet. Isso possibilita que clientes, parceiros e fornecedores tenham uma experiência de usuário SSO da Web similar e contínua, quando acessarem os aplicativos baseados na Web da organização. Além disso, os servidores de federação podem ser implantados em várias organizações para facilitar as transações federadas entre organizações parceiras. Para obter mais informações sobre a federação do AD FS, consulte Noções básicas sobre designs de Federação.
-
Interoperabilidade dos Serviços da Web (WS-*)
O AD FS fornece uma solução de gerenciamento de identidade federada que interopera com outros produtos de segurança que oferecem suporte à arquitetura de Serviços da Web (WS-*). O AD FS faz isso empregando a especificação de federação de WS-*, chamada de Web Services Federation. A especificação Web Services Federation permite que os ambientes que não utilizam o modelo de identidade do Microsoft® Windows® se federem a ambientes do Windows. Para obter mais informações sobre especificações de WS-*, consulte Recursos do AD FS.
-
Arquitetura extensível
O AD FS fornece uma arquitetura extensível que oferece suporte ao tipo de token SAML (Security Assertion Markup Language) 1.1 e à autenticação Kerberos (no SSO da Web Federado com design de Confiança de Floresta). O AD FS também pode realizar mapeamento de declaração, por exemplo, modificando declarações utilizando lógica comercial personalizada como variável em uma solicitação de acesso. As organizações podem usar esta extensibilidade para modificar o AD FS para coexistir com suas diretivas comerciais e com a infraestrutura de segurança atuais. Para obter mais informações sobre como modificar declarações, consulte Noções básicas sobre declarações.
Estendendo o AD DS à Internet
O AD DS atua como serviço de autenticação e identidade primária em muitas organizações. Com o Active Directory do Windows Server 2003 e o AD DS do Windows Server 2008 e Windows Server 2008 R2, as relações de confiança de floresta podem ser criadas entre duas ou mais florestas do Windows Server 2003, do Windows Server 2008 ou Windows Server 2008 R2 para fornecer acesso a recursos localizados em diferentes unidades de negócios ou organizações. Para obter mais informações sobre confianças de floresta, veja como as confianças de domínio e de floresta funcionam (
Entretanto, há designs nos quais as confianças de floresta não são uma opção viável. Por exemplo, o acesso nas organizações pode ter que ser limitado somente a um pequeno subconjunto de indivíduos, não devendo ser concedido a todos os membros de uma floresta.
Ao empregar o AD FS, as organizações podem estender suas infraestruturas existentes do Active Directory para fornecer acesso a recursos oferecidos por parceiros confiáveis na Internet. Esses parceiros confiáveis podem ser terceiros externos, outros departamentos ou subsidiárias da mesma organização.
O AD FS oferece suporte à autorização e autenticação distribuída na Internet. O AD FS pode ser integrado a uma solução de gerenciamento de acesso existente de uma organização ou um departamento para traduzir as declarações usadas na organização em declarações estipuladas como parte de uma federação. O AD FS pode criar, proteger e verificar as declarações trocadas entre as organizações. Ele também pode monitorar e fazer auditoria das atividades de comunicação entre as organizações e os departamentos para ajudar a garantir transações seguras.
Para obter mais informações gerais sobre o AD FS, consulte os seguintes tópicos:
-
Noções básicas sobre os Serviços de Função do AD FS
-
Noções básicas sobre a terminologia do AD FS
-
Noções básicas sobre confianças de federação
-
Noções básicas sobre designs de Federação
-
Noções básicas sobre declarações
-
Noções básicas sobre os cookies usados pelo AD FS
-
Noções básicas sobre os certificados usados pelo AD FS