O Microsoft Federation Gateway é um serviço de identidade que é executado na Internet e faz a mediação entre uma organização ou uma empresa e os serviços externos que essa organização deseja usar. O gateway atua como um hub para muitas das conexões que a organização deseja estabelecer com aplicativos criados no Windows Azure ou com aplicativos da Microsoft executado na Internet. O gateway conecta usuários e outras identidades aos serviços com os quais trabalham, de modo que uma organização só precise gerenciar uma relação de federação de identidade única para habilitar suas identidades a fim de acessar todos os serviços da Microsoft e baseados na Microsoft que desejar utilizar.
O Microsoft Federation Gateway fornece aplicativos usando um método simples, baseado em padrões, para estabelecer confiança entre diferentes organizações que usam certificados SSL para provar propriedade de domínio. Como as organizações são federadas com o gateway e não umas com as outras, é muito mais fácil para elas estabelecer relações de confiança com vários parceiros usando esse método do que a federação um-para-um convencional ou outras relações de confiança. O escopo da federação pode ser facilmente controlado por meio da criação de listas de permissões ou negações de licenciamento para usuários e domínios e por meio da especificação de domínios que podem receber licenças de publicação. Isso garante que apenas as organizações apropriadas terão permissão para acessar informações protegidas.
Uma relação de identidade federada é um acordo baseado em padrões estabelecido entre organizações. Segundo esse acordo, as declarações de uma organização são passadas para e reconhecidas por outra. Com essa relação, os usuários podem acessar seus respectivos provedores de identidade (a organização que gerencia sua conta de identidade) e podem ser autenticados por eles. Em seguida, a autenticação desses usuários poderá ser passada a um parceiro federado sem que os usuários precisem acessá-lo novamente.
O Microsoft Federation Gateway estabelece relações de identidade federada por meio da criação de especificações nos serviços Web (WS-*), como WS-Trust e WS-Security, que, juntas, simplificam a interoperabilidade e melhoram a segurança. Usando esses protocolos padrão do setor, as organizações podem estabelecer uma relação de identidade federada sem exigir o uso de plataformas ou infraestruturas idênticas.
Quando duas organizações estabelecem uma relação de identidade federada, um parceiro (o provedor de identidade) controla suas próprias contas de usuário enquanto o outro parceiro (o provedor de recursos) concede acesso a seus recursos confiando na autenticação realizada pelo provedor de identidade. A identidade do usuário é definida como um conjunto de declarações, ou seja, afirmações que um servidor faz sobre o usuário. O nome, os grupos ou as permissões do usuário são exemplos dessas declarações. A federação de identidade permite compartilhar essas declarações de identidade.
Com o Microsoft Federation Gateway, a autenticação do provedor de identidade é fornecida ao gateway por meio de um formato padrão chamado SAML (Security Assertion Markup Language). Em seguida, o Microsoft Federation Gateway converte as informações de autenticação em um token de serviço que pode ser usado por serviços da Microsoft.
O Suporte ao Microsoft Federation Gateway do Windows Server® 2008 R2 permite que o AD RMS aceite tokens do Microsoft Federation Gateway para autenticar usuários para certificação e licenciamento. Por exemplo, o Microsoft Exchange Server 2010 aproveita esse recurso permitindo que mensagens protegidas pelo AD RMS sejam enviadas entre organizações que não compartilham uma infraestrutura do Serviços de Domínio do Active Directory (AD DS). Quando a infraestrutura do Exchange Server 2010 é configurada para aproveitar esses recursos, os usuários podem enviar mensagens de email protegidas pelo AD RMS a destinatários de fora da organização. Esses destinatários poderão visualizar as mensagens usando o Exchange Server 2010 Outlook Web App ou o Microsoft Outlook. Além disso, os remetentes poderão conceder permissão às organizações destinatárias que usam permissão do Exchange Server 2010 para descriptografar conteúdo com a finalidade de registro no diário e verificação de malware.
Para obter mais informações sobre como implantar o Suporte ao Microsoft Federation Gateway no AD RMS, consulte Lista de verificação: implantando o AD RMS com o Microsoft Federation Gateway Support.