Os Serviços de Federação do Active Directory (ADFS) suportam estruturas de identidade federada (também conhecidos como cenários de federação) que utilizam as especificações WS-Federation, WS-Federation Passive Requestor Profile (WS-F PRP) e WS-Federation Passive Requestor Interoperability Profile. A solução AD FS ajuda os administradores no processamento de desafios de gestão de identidades federadas fazendo com que as organizações partilhem com segurança as informações de identidade de um utilizador em fidedignidades de federação. As três descrições que se seguem das estruturas de implementação ilustram a forma como pode utilizar uma combinação de funções de servidor de AD FS para federar identidades, dependendo das necessidades da organização. Para mais informações sobre as várias funções de servidor, consulte Noções sobre Serviços de Função AD FS.
SSO Web Federado
A estrutura SSO Web Federado de envolve comunicações seguras que muitas vezes abrangem múltiplas firewalls, redes de perímetro e servidores de resolução de nomes, além de toda a infra-estrutura de encaminhamento da Internet. As comunicações num ambiente de SSO Web Federado podem ajudar a tornar as transacções online mais eficazes e seguras entre organizações que são associadas por relações de fidedignidade de federação.
Tal como mostra a seguinte ilustração, uma relação de fidedignidade de federação pode ser estabelecida entre duas empresas. Nesta estrutura, os servidores de federação encaminham pedidos de autenticação de contas de utilizador em Tailspin Toys para aplicações baseadas na Web localizadas na rede de Revendedores Online.
Os servidores de federação autenticam pedidos de parceiros fidedignos baseados nas credenciais dos parceiros. As representações das credenciais são trocadas sob a forma de tokens de segurança.
Para uma segurança melhorada, os proxies de servidor de federação podem ser utilizados para transmitir pedidos a servidores de federação que não estão directamente acessíveis da Internet.
SSO Web Federado com Fidedignidade de Floresta
A estrutura SSO Web Federado com Fidedignidade de Floresta envolve duas florestas do Active Directory numa único organização, tal como mostrado na seguinte ilustração. Uma das florestas está localizada na rede de perímetro da organização (também conhecida como uma zona desmilitarizada, extranet, ou sub-rede filtrada). A outra floresta está localizada na rede interna. É estabelecida uma fidedignidade de floresta unidireccional para que a floresta na rede de perímetro confie na floresta da rede interna. Os servidores de federação são implementados em ambas as redes. Uma fidedignidade de federação é estabelecida para que as contas na floresta interna possam ser utilizadas para aceder a uma aplicação baseada na Web na rede de perímetro, independentemente de as contas acederem ao local a partir da floresta da intranet ou da Internet.
Nesta estrutura, os utilizadores externos, tais como clientes, podem aceder à aplicação da Web autenticando para o servidor de federação da conta externa, localizado na rede de perímetro. Os utilizadores externos têm contas de utilizador na floresta do Active Directory da rede de perímetro. Os utilizadores internos, tais como empregados, também podem aceder à aplicação da Web autenticando para o servidor de federação da conta interna, localizado na rede interna. Os utilizadores internos têm contas na floresta do Active Directory interna.
Se a aplicação baseada na Web for uma aplicação baseada em tokens do Windows NT, o Agente Web do AD FS em execução no servidor de aplicação da Web intercepta pedidos e cria tokens de segurança do Windows NT, que são necessários para que a aplicação da Web tome decisões de autorização. Para os utilizadores externos, isto é possível porque o servidor Web preparado para AD FS que aloja a aplicação baseada em tokens do Windows NT está associada ao domínio na floresta externa. Para os utilizadores internos, isto é activado através da relação de fidedignidade de floresta que existe entre a floresta de perímetro e a floresta interna.
Se a aplicação baseada na Web for uma aplicação com detecção de afirmações, o Agente Web do AD FS em execução no servidor da aplicação da Web não precisa de criar tokens de segurança do Windows NT para o utilizador. O Agente Web do AD FS pode expor as afirmações que possam aparecer, o que permite à aplicação tomar decisões de autorização baseadas no conteúdo do token de segurança fornecido pelo servidor de federação de conta. Como resultado quando são implementadas aplicações com detecção de afirmações, o servidor Web preparado para AD FS não precisa de estar associado ao domínio e a fidedignidade de floresta externa para floresta interna não é necessária.
SSO Web
Na estrutura SSO Web do AD FS, os utilizadores só podem autenticar uma vez para aceder a múltiplas aplicações baseadas na Web. Nesta estrutura, todos os utilizadores são externos e não existe nenhuma fidedignidade de federação. Uma vez que os servidores Web preparados para AD FS têm de ser acessíveis pela Internet e também associados ao domínio do Active Directory, são ligados a duas redes; isto é, são multihomed. A primeira rede está ligada à Internet (a rede de perímetro) para fornecer a conectividade necessária. A segunda rede contém a floresta do Active Directory (a rede protegida), que não está acessível directamente pela Internet. O proxy de servidor de federação também é multihomed para fornecer a conectividade necessária ao servidor de federação e Internet. Nesta estrutura, colocar o servidor de federação numa rede que não esteja acessível directamente a partir da Internet reduz consideravelmente o risco do servidor de federação.