O Agente Web Serviços de Federação do Active Directory (AD FS) é um serviço de função do AD FS que pode ser instalado independentemente de outros serviços de função de AD FS. O acto de instalar o serviço de função Agente Web AD FS num computador transforma esse computador num servidor Web preparado para AD FS.
Os servidores Web preparados para AD FS consumem tokens de segurança e permitem ou negam o acesso de utilizador a uma aplicação Web. Para tal, o servidor Web preparado para AD FS requer uma relação com o Serviço de Federação de um recurso, para que seja possível direccionar o utilizador para o Serviço de Federação, consoante necessário.
É possível utilizar o Agente Web AD FS para dois tipos diferentes de aplicações:
-
Aplicações com suporte para afirmações: uma aplicação Microsoft ASP.NET escrita em objectos de AD FS publicados que permite a consulta de afirmações de token de segurança de AD FS. As aplicações efectuam decisões de autorização com base nestas afirmações.
-
Aplicações baseadas em tokens do Windows NT: uma aplicação que utiliza mecanismos de autorização baseados no Windows. O Agente Web AD FS suporta a conversão de um token de segurança de AD FS num token de acesso do Windows NT® de nível de representação.
O servidor Web preparado para AD FS também armazena cookies HTTP (Hypertext Transfer Protocol) em clientes nos quais sejam necessários cookies para permitir o início de sessão único (SSO). O Agente Web AD FS é composto por dois componentes separados:
-
Extensão de Agente Baseado em Tokens do Windows de AD FS
-
Serviço de Autenticação de Agente Web AD FS
Extensão de Agente Baseado em Tokens do Windows de AD FS
A Extensão de Agente Baseado em Tokens do Windows de AD FS é uma extensão ISAPI (Internet Server Application Programming Interface) que pode ser utilizada para configurar informações na metabase dos Serviços de Informação Internet (IIS). No Gestor de IIS, é possível utilizar as página de propriedades URL dos Serviços de Federação e Agente Web AD FS para administrar políticas e certificados que verifiquem os cookies e tokens de segurança de AD FS.
As propriedades do Agente Web AD FS na tabela que se segue são herdáveis. Estas propriedades são necessárias num recurso IIS, caso a extensão ISAPI tenha de suportar o protocolo WS-F PRP (WS-Federation Passive Requestor Profile).
Propriedades | Descrição |
---|---|
URL do Serviço de Federação |
URL (Uniform Resource Locator) do Serviço de Federação. Este URL é necessário, para que possa ser consultado relativamente a informações de fidedignidade. |
Caminho do cookie |
Caminho especificado quando o cookie de autenticação é escrito. |
Domínio do cookie |
Domínio para o qual o cookie é válido. |
URL de retorno |
URL ao qual o token do Serviço de Federação regressa após autenticação no Serviço de Federação. Este URL deve corresponder ao elemento Audiência do token. A verificação perante o elemento Audiência é efectuada pelo serviço Windows. |
Serviço de Autenticação de Agente Web AD FS
O Serviço de Autenticação de Agente Web AD FS valida tokens e cookies de entrada. É executado como Sistema Local para gerar um token utilizando S4U (Service-for-User), que lhe permite obter um token do Windows para o cliente mediante indicação de um nome principal de utilizador (UPN) sem palavra-passe, ou utilizando o pacote de autenticação de AD FS. No entanto, não é necessário executar o conjunto aplicacional de IIS como Sistema Local.
O Serviço de Autenticação de Agente Web AD FS tem interfaces que só podem ser chamadas com chamada de procedimento remoto local (LRPC), e não com chamada de procedimento remoto (RPC). Este serviço devolve um token de acesso do Windows NT de representação, caso lhe seja atribuído um token de segurança de AD FS ou um cookie de AD FS.