Os Serviços de Federação do Active Directory (AD FS) utilizam arquivos de contas para inícios de sessão de utilizador e para extracção de afirmações de segurança para esses utilizadores. É possível configurar vários arquivos de contas para um único Serviço de Federação. Também é possível definir as respectivas prioridades. O Serviço de Federação utiliza o protocolo LDAP (Lightweight Directory Access Protocol) para comunicar com arquivos de contas. O AD FS suporta os seguintes dois arquivos de contas:
-
Serviços de Domínio do Active Directory (AD DS)
-
Serviços LDS do Active Directory (AD LDS)
O AD FS funciona com implementações de AD DS ao nível da empresa ou com instâncias de AD LDS. Quando funciona com o AD DS, o AD FS pode tirar partido das potentes tecnologias de autenticação no AD DS, incluindo Kerberos, certificados digitais X.509 e smart cards. Quando funciona com o AD LDS, o AD FS utiliza Enlace LDAP como meio de autenticação de utilizadores.
Arquivos de contas de AD DS
O AD FS está fortemente integrado no AD DS. O AD FS obtém atributos de utilizador e autentica utilizadores perante o AD DS. O AD FS também utiliza a Autenticação Integrada do Windows e tokens de segurança criados pelo AD DS.
Para um utilizador iniciar sessão no AD DS, é necessário um nome de utilizador no formato de nome principal de utilizador (UPN) (utilizador@adatum.com) ou no formato de nome de conta do Gestor de Contas de Segurança (SAM) (adatum\utilizador).
São gerados tokens de acesso quando um utilizador inicia sessão. Estes tokens contêm os identificadores de segurança (SID) do utilizador e de eventuais grupos aos quais o utilizador pertença. Uma cópia do token de acesso é atribuída a cada processo iniciado pelo utilizador.
Depois de o utilizador ter sessão iniciada e estar representado, os SID de utilizador são enumerados a partir do token de acesso. Em seguida, os SID são mapeados para afirmações de grupo de organizações.
Atenção | |
Quando a opção de fidedignidade do Windows é activa na conta de Serviço de Federação, são enviados SID reais para a organização parceira de recursos através da Internet, o que poderá constituir um risco de segurança. Estes SID são empacotados no token SAML (Security Assertion Markup Language) de AD FS. Por conseguinte, esta opção só deverá ser activada se estiver a utilizar a estrutura SSO Web Federado com Fidedignidade de Floresta. Esta estrutura foi concebida para estabelecer comunicações seguras dentro da mesma organização. |
As afirmações de correio electrónico, afirmações de nome comum e afirmações personalizadas podem ser extraídas a partir de atributos de objecto de utilizador definidos no AD DS quando a conta de Serviço de Federação é utilizada para efectuar uma pesquisa LDPA de um objecto.
A conta de Serviço de Federação tem de ter acesso ao objecto de utilizador. Se o objecto de utilizador residir noutro domínio que não o domínio no qual a conta de Serviço de Federação reside, o primeiro domínio terá de ter uma fidedignidade de domínio de AD DS em relação ao segundo domínio.
Não existe nenhuma forma directa de determinar se um dado nome de utilizador existe no AD DS e em todos os directórios que este considerada fidedignos (de forma directa ou transitória). O AD DS só devolve uma falha autoritativa se a tentativa de início de sessão falhar devido a restrições de política. Seguem-se exemplos de falhas por restrições de política:
-
A conta está desactivada.
-
A palavra-passe da conta expirou.
-
A conta não tem permissão para iniciar sessão neste computador.
-
A conta tem restrições de hora de início de sessão e não tem permissão para iniciar sessão neste momento.
Nos restantes casos, as falhas de início de sessão de arquivo de contas de AD DS são sempre não autoritativas, sendo testado o arquivo de contas com a prioridade seguinte. Para mais informações sobre falhas de início de sessão de arquivo de contas, consulte Resolução de Problemas AD FS.
Arquivos de contas de AD LDS
O AD LDS fornece armazenamento e obtenção de dados para aplicações com suporte para directórios, sem as dependências que o AD DS requer. O AD LDS proporciona muitas das funcionalidades do AD DS, mas não requer a implementação de domínios nem de controladores de domínio. Da mesma forma que o AD FS utiliza informações de arquivo de contas de AD DS, o AD FS também pode obter atributos de utilizador e autenticar utilizadores com AD LDS.
Nota | |
O AD FS não consegue autenticar contas de AD LDS que utilizem parênteses no nome de conta. As contas que tenham um parêntese de abertura no nome de utilizador causam uma falha na pesquisa LDAP, pois o nome de utilizador forma um filtro LDAP inválido. |
As contas de Serviço de Federação obtêm as afirmações que são utilizadas para efectuar uma pesquisa LDAP para o objecto. Para mais informações, consulte Noções sobre Afirmações. Este é um processo de dois passos:
-
Primeiro, a conta de Serviço de Federação localiza o objecto de utilizador mediante uma pesquisa pelo objecto cujo atributo configurado seja igual ao nome de utilizador fornecido. A conta de Serviço de Federação utiliza autenticação Kerberos ou encriptação NTLM para proteger esta comunicação.
Nota Este processo requer que o servidor AD LDS esteja associado a um domínio que considere fidedigno o domínio do qual o Serviço de Federação é membro.
-
Em seguida, as credenciais de utilizador são validadas através de enlace LDAP com o objecto de utilizador localizado com a palavra-passe fornecida. Se TLS/SSL (Transport Layer Security/Secure Sockets Layer) estiver configurado nas propriedades do arquivo de contas de AD LDS na política de fidedignidade, as credenciais de utilizador estarão protegidas.
Importante Recomendamos vivamente que o tráfego entre o servidor AD LDS e o servidor de federação seja protegido por TLS/SSL ou por outro meio como, por exemplo, segurança IPsec.
Se for devolvido mais do que um objecto pela consulta LDAP com o nome de utilizador fornecido, esta situação é considerada uma falha de autenticação.
A conta de utilizador é procurada primeiro no arquivo de contas de AD LDS (se este estiver configurado) e nos outros arquivos LDAP que estejam configurados, por essa ordem. Se algum destes arquivos localizar a conta de utilizador, o mesmo irá efectuar um início de sessão autoritativo para o utilizador, sendo que nenhum outro arquivo de contas será chamado para processar o pedido de início de sessão de utilizador.
Determinar a ordem de prioridade de pedidos de início de sessão de utilizador
Quando um utilizador faz um pedido de início de sessão no AD DS ou no AD LDS através de um cliente de AD FS, o pedido é transmitido imediatamente para o arquivo de contas especificado. Contudo, se o URI (Uniform Resource Identifier) do arquivo de contas não for especificado, o Serviço de Federação testa cada arquivo pela ordem de prioridade para início de sessão do utilizador. O resultado da autenticação é devolvido se:
-
Existir apenas um arquivo configurado e forem devolvidas informações de verificação de credenciais.
-
O URI do arquivo tiver sido especificado no pedido de início de sessão e forem devolvidas informações de verificação de credenciais.
-
O resultado da autenticação de um dos arquivos for autoritativo.
-
A autenticação for efectuada com êxito por um dos arquivos.
Desactivar arquivos de contas
É possível assinalar cada arquivo de contas como activado ou desactivado. Se um arquivo de contas estiver desactivado, o mesmo não participará em nenhuma operação relacionada com arquivos de contas. Os cookies com afirmações provenientes de um arquivo de contas actualmente desactivado são ignorados ou eliminados, e o cliente é direccionado para a página de início de sessão.