Os Serviços de Federação do Active Directory (AD FS) constituem uma funcionalidade dos sistemas operativos Windows Server® 2003 R2, Windows Server 2008 e Windows Server 2008 R2 que fornece tecnologias de SSO (Single-Sign-On) na Web para autenticar um utilizador junto de várias aplicações Web relacionadas, ao longo do tempo de vida útil de uma sessão online única. O AD FS consegue isto ao partilhar de forma segura a identidade digital e os direitos de autorização ou "afirmações" ao longo dos limites de segurança e da empresa.
Funcionalidades do AD FS
No Windows Server 2008 e Windows Server 2008 R2, o AD FS inclui novas funcionalidades que não estavam disponíveis no Windows Server 2003 R2. Para obter mais informações sobre estas novas funcionalidades, consulte Novidades no AD FS em Windows Server 2008 (
Em seguida, são apresentadas algumas das funcionalidades chave do AD FS:
-
Federação e SSO Web
Quando uma organização utiliza os Active Directory Domain Services (AD DS), beneficia da funcionalidade de SSO através da Autenticação Integrada do Windows nos limites da empresa ou de segurança da organização. O AD FS expande esta funcionalidade para as aplicações expostas à Internet. Isto permite aos clientes, parceiros e fornecedores uma experiência de utilizador de SSO na Web semelhante e simplificada ao aceder às aplicações baseadas na Web da organização. Para além disso, os servidores de federação podem ser implementados em várias organizações para facilitar as transacções federadas empresa a empresa entre as organizações de parceiros. Para mais informações sobre a federação do AD FS, consulte Noções sobre Estruturas de Federação.
-
Interoperabilidade dos Serviços Web (WS)-*
O AD FS fornece uma solução de gestão de identidades federada que interage com outros produtos de segurança que suportam a Arquitectura de Serviços Web WS-*. O AD FS efectua isto ao aplicar a especificação de federação de WS-*, denominada WS-Federation. A especificação WS-Federation permite a ambientes que não utilizam o modelo de identidade do Microsoft® Windows® federar com ambientes Windows. Para mais informações sobre especificações WS-*, consulte Recursos para AD FS.
-
Arquitectura extensível
O AD FS fornece uma arquitectura extensível que suporta o tipo de token SAML (Security Assertion Markup Language) 1.1 e autenticação Kerberos (na concepção SSO na Web Federado com Fidedignidade de Floresta). O AD FS pode também executar o mapeamento de afirmações, por exemplo, modificar afirmações utilizando a lógica empresarial personalizada como uma variável num pedido de acesso. As organizações podem utilizar esta extensibilidade para modificar o AD FS de modo a coexistir com a respectiva infra-estrutura de segurança e políticas empresariais actuais. Para mais informações sobre como modificar afirmações, consulte Noções sobre Afirmações.
Expandir o AD DS para a Internet
O AD DS serve de identidade primária e de serviço de autenticação em várias organizações. Com o Windows Server 2003 Active Directory e o Windows Server 2008 e do Windows Server 2008 R2 AD DS, as fidedignidades de floresta podem ser criadas entre duas ou mais florestas do Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 para fornecer acesso a recursos localizados em organizações ou unidades de negócio diferentes. Para mais informações sobre fidedignidades de floresta, consulte Funcionamento das Fidedignidades de Domínio e de Floresta (
No entanto, existem concepções nas quais as fidedignidades de floresta não constituem uma opção viável. Por exemplo, o acesso nas organizações pode ter de ser limitado a apenas um pequeno subconjunto de indivíduos e não a cada membro de uma floresta.
Ao aplicar o AD FS, as organizações podem expandir as respectivas infra-estruturas do Active Directory existentes para fornecer acesso a recursos fornecidos por parceiros fidedignos na Internet. Estes parceiros fidedignos podem incluir terceiros ou outros departamentos ou subsidiárias na mesma organização.
O AD FS suporta a autorização e a autenticação distribuída pela Internet. O AD FS pode ser integrado na solução de gestão de acesso existente de uma organização ou departamento para converter as afirmações utilizadas na organização em afirmações consideradas como parte de uma federação. O AD FS pode criar, proteger e verificar as afirmações que se movem entre organizações. Também poderá auditar e monitorizar a actividade de comunicação entre organizações e departamentos para ajudar a assegurar transacções seguras.
Para obter mais informações gerias sobre o AD FS, consulte os seguintes tópicos: