O Serviço de Federação é um serviço de função dos Serviços de Federação do Active Directory (AD FS) que pode ser instalado independentemente de outros serviços de função do AD FS. O Serviço de Federação funciona como um serviço de tokens de segurança. O acto de instalar o serviço de função do Serviço de Federação num computador torna esse computador um servidor de federação. Também disponibiliza o snap-in Serviços de Federação do Active Directory no menu Ferramentas Administrativas nesse computador. Para mais informações sobre o snap-in AD FS, consulte Utilizar o Snap-in Serviços de Federação do Active Directory.

O Serviço de Federação foi concebido para utilizar os Serviços de Domínio do Active Directory (AD DS) para fornecer tokens em resposta a pedidos de tokens de segurança. Deste modo, os domínios e florestas do Active Directory funcionam como:

  • Fornecedores de identidades que podem efectuar a federação com parceiros de contas e recursos compatíveis. Como fornecedor de identidades, o Serviço de Federação poderá criar identidades do Active Directory na Internet para interagir com aplicações em fornecedores de serviços compatíveis.

  • Fornecedores de serviços que podem efectuar a federação com parceiros de contas e recursos compatíveis. Como fornecedor de serviços, o Serviço de Federação poderá permitir que identidades de outras organizações acedam a aplicações baseadas no Windows e ASP.NET do parceiro.

  • Fornecedores de tokens de segurança para aplicações compatíveis com a especificação WS-Federation Passive Requestor Profile (WS-F PRP).

Como parceiro de conta, o Serviço de Federação permite que os utilizadores acedam a recursos em organizações do parceiro. Em resposta a um pedido de um parceiro de recursos, o Serviço de Federação recolhe e verifica as credenciais do utilizador no AD DS ou uma instância de Serviços LDS do Active Directory (AD LDS). Assim, o Serviço de Federação poderá preencher um conjunto de afirmações de organização baseado em atributos do Protocolo Simples de Acesso a Directórios (LDAP) da conta de utilizador. Em seguida, as afirmações de organização são mapeadas para afirmações apropriadas do parceiro de recursos e enviadas para um token de segurança assinado pelo certificado de assinatura de tokens do Serviço de Federação. O token de segurança resultante é colocado como resposta ao pedido original do parceiro de recursos. O parceiro de recursos utiliza o token para permitir o acesso ao utilizador.

Como parceiro de recursos, o Serviço de Federação desempenha a função oposta. Quando um utilizador tenta aceder a uma aplicação protegida pelo AD FS, o Serviço de Federação determina qual o parceiro de conta que deverá autenticar o utilizador. Em seguida, envia um pedido de autenticação a esse parceiro. Quando o utilizador regressar com um token de segurança, o Serviço de Federação verifica se esse token foi correctamente assinado pelo parceiro. Em seguida, extrai as afirmações do token. As afirmações são mapeadas para afirmações de organização e é aplicada a política de filtragem da aplicação específica. As afirmações de organização filtradas são enviadas para um token de segurança assinado pelo certificado de assinatura de tokens do Serviço de Federação ou protegido por uma chave de sessão Kerberos da aplicação Web. O token de segurança resultante é colocado novamente no URL (Uniform Resource Locator) da aplicação original. A aplicação utiliza o token para permitir o acesso ao utilizador.

O AD FS utiliza o protocolo WS-F PRP para transportar afirmações em tokens de segurança emitidos pelo Serviço de Federação para a aplicação Web. Para mais informações sobre a especificação WS-F PRP, consulte Recursos para AD FS.

Estas afirmações são preenchidas inicialmente a partir de arquivos de contas em arquivos de contas do AD DS ou AD LDS. O Serviço de Federação emite tokens com base nas credenciais apresentadas. Depois do arquivo de contas verificar as credenciais de um utilizador, as afirmações para o utilizador são geradas de acordo com as regras da política de fidedignidade. O Serviço de Federação mapeia as afirmações de entrada para afirmações de saída adequadas para um parceiro de recursos. Os mapeamentos de afirmações resultantes são adicionados a um token de segurança emitido para o parceiro de recursos. Para mais informações sobre afirmações, consulte Noções sobre Afirmações.

Depois do Serviço de Federação verificar o token, é emitido e escrito um cookie de autenticação para o browser cliente. Sempre que o cliente necessitar de ser autenticado, o Serviço de Federação usa este cookie para que o cliente não tenha de introduzir novamente as credenciais. Isto permite o início de sessão único (SSO) Para obter mais informações sobre cookies, consulte Noções sobre Cookies Utilizados pelo AD FS.

Páginas Web do Serviço de Federação

O Serviço de Federação fornece uma página Web que solicita ao utilizador que seleccione um parceiro de conta apropriado para o qual seja possível efectuar a autenticação. O Serviço de Federação também fornece uma página Web que solicita as credenciais do utilizador, como, por exemplo, um nome de utilizador e uma palavra-passe para autenticação baseada em formulários. Também é fornecida uma página Web que suporta a Autenticação Integrada do Windows.

Por trás das páginas Web, o Serviço de Federação fornece um serviço Web Microsoft ASP.NET que processa pedidos do cliente ou do proxy do servidor de federação. O proxy do servidor de federação está localizado na rede de perímetro. Actua como intermediário entre um cliente da Internet e um Serviço de Federação na intranet. Para mais informações sobre a função do proxy do servidor de federação, consulte Noções sobre o Serviço de Função do Proxy de Serviço de Federação.

Existem dois tipos de pedidos básicos aos quais o Serviço de Federação responde:

  • Pedidos para emitir tokens de segurança

  • Pedidos para obter dados da política de fidedignidade

Detecção de parceiros de conta

A detecção de parceiros de conta é o processo através qual um cliente pode identificar qual o parceiro de conta que prefere para autenticação no caso de estar configurado mais de um parceiro de conta. O Servidor de Federação apresenta esta opção ao browser cliente através de uma caixa pendente com os nomes dos parceiros de conta configurados na política de fidedignidade.

Um mecanismo que poderá utilizar para evitar a detecção de parceiros de conta é incluir o parâmetro whr na cadeia de consulta do recurso a ser acedido, por exemplo,

https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>

em que <accountpartner> indica o realm do parceiro de conta do cliente.

Quando o parâmetro whr é utilizado, o servidor de federação do recurso remove o parâmetro e escreve um cookie no browser cliente para memorizar esta definição para pedidos futuros. Em seguida, o pedido prossegue da mesma forma como se não tivesse sido fornecido.


Sumário