Os Serviços de Federação do Active Directory (AD FS) só podem funcionar quando os servidores a executar o Windows Server 2008 ou Windows Server 2008 R2 estão configurados com os serviços de função de AD FS apropriados. Os serviços de função de AD FS são componentes individuais de AD FS que são instalados em servidores a executar o Windows Server 2008 ou Windows Server 2008 R2. É possível instalar os seguintes serviços de função de AD FS com o Assistente Para Adicionar Serviços de Função:
-
Serviço de Federação
-
Proxy de Serviço de Federação
-
Agente com suporte para afirmações
-
Agente baseado em tokens do Windows
Dependendo do ambiente existente na organização, é necessário implementar funções de servidor de AD FS específicas. As secções seguintes descrevem as funções de servidor que estão associadas a cada um dos serviços de função de AD FS que é possível utilizar para fornecer uma solução de gestão de identidades federadas de AD FS.
Servidores de federação
Os servidores de federação alojam o serviço de função Serviço de Federação de AD FS. Estes servidores encaminham pedidos de autenticação provenientes de contas de utilizador noutras organizações (em estruturas de Início de Sessão Único (SSO) Web Federado) ou de clientes que podem estar localizados em qualquer ponto da Internet (na estrutura SSO Web). Para mais informações sobre as diferentes estruturas de AD FS, consulte Noções sobre Estruturas de Federação.
Os servidores de federação também alojam um serviço de tokens de segurança que emite tokens baseados nas credenciais (por exemplo, nome de utilizador e palavra-passe) que são apresentadas. Depois de as credenciais serem verificadas (pelo utilizador que está a iniciar sessão), as afirmações para o utilizador são recolhidas mediante examinação dos atributos do utilizador que estão armazenadas nos Serviços de Domínio do Active Directory (AD DS) ou nos Serviços LDS do Active Directory (AD LDS)
Para mais informações sobre servidores de federação, consulte Noções sobre o Serviço de Função do Serviço de Federação.
Proxies de servidor de federação
Os proxies de servidor de federação alojam o serviço de função Proxy de Serviço de Federação de AD FS. É possível implementar proxies de servidor de federação na rede de perímetro (também conhecida como zona desmilitarizada, extranet ou sub-rede filtrada) da organização para reencaminhar pedidos para servidores de federação que não estão acessíveis a partir da Internet.
Nota | |
Embora seja possível implementar servidores separados para alojar o serviço de função Proxy de Serviço de Federação, não é necessário implementar um servidor separado para actuar como proxy de servidor de federação na floresta de intranet do parceiro de conta ou do parceiro de recursos. Um servidor de federação executa esta função automaticamente. |
Para mais informações sobre proxies de servidor de federação, consulte Noções sobre o Serviço de Função do Proxy de Serviço de Federação.
Servidores Web preparados para AD FS
Os servidores Web que alojam o serviço de função Agente Web AD FS baseado em tokens do Windows ou com suporte para afirmações são referenciados como servidores Web preparados para AD FS. Este servidores fornecem acesso seguro às aplicações Web alojadas nesses servidores Web. O Agente Web AD FS gere os tokens de segurança e cookies de autenticação que são enviados para um servidor Web preparado para AD FS. Um servidor Web preparado para AD FS requer uma relação com um Serviço de Federação, para que todos os tokens de autenticação provenham desse Serviço de Federação.
Para mais informações sobre servidores Web preparados para AD FS, consulte Noções Sobre o Serviço de Função do Agente Web AD FS.