Como parte do processo de concepção da implementação do AD FS (Active Directory Federation Services), identifique o tipo de aplicação federada que pretende que seja protegida pelo AD DS. Para uma aplicação ser federada, a aplicação tem de ser, pelo menos, de um dos tipos de aplicação descritas nas seguintes secções.

Para obter mais informações sobre o suporte melhorado para aplicações nesta versão do AD FS, consulte Novidades no AD FS em Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684) (esta página poderá estar em inglês).

Aplicação com detecção de afirmações

As afirmações são declarações (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) efectuadas sobre utilizadores, e compreendidas por parceiros numa federação do AD FS, utilizadas para efeitos de autorização numa aplicação.

Uma aplicação com detecção de afirmações é uma aplicação do Microsoft ASP.NET que foi escrita utilizando a biblioteca de classes do AD FS. Este tipo de aplicação é perfeitamente capaz de utilizar afirmações do AD FS para efectuar directamente decisões de autorização. Uma aplicação com detecção de afirmações aceita afirmações que o Serviço de Federação envia em tokens de segurança do AD FS. Para mais informações sobre como o Serviço de Federação utiliza tokens de segurança e afirmações, consulte Noções sobre o Serviço de Função do Serviço de Federação.

O mapeamento de afirmações é a acção de mapear, remover ou filtrar ou transmitir afirmações recebidas para afirmações enviadas. O mapeamento de afirmações não ocorre quando as afirmações são enviadas para uma aplicação. Em vez disso, apenas as afirmações de organização especificadas pelo administrador do Serviço de Federação no parceiro de recursos são enviadas para a aplicação. (As afirmações de organização são afirmações no formato intermédio ou normalizado no espaço de nomes de uma organização.) Para mais informações sobre afirmações e mapeamento de afirmações, consulte Noções sobre Afirmações.

A lista seguinte descreve as afirmações de organização que podem ser utilizadas por aplicações com suporte para afirmações:

  • Afirmações de identidade (UPN, correio electrónico, nome comum)

    Quando configura a aplicação, especifica qual destas afirmações de identidade será enviada para a aplicação. Não é efectuado qualquer mapeamento ou filtragem.

  • Afirmações de grupo

    Quando configura a aplicação, especifica as afirmações do grupo de organização que serão enviadas para a aplicação. As afirmações do grupo de organização que não foram concebidas para serem enviadas para a aplicação serão ignoradas.

  • Afirmações personalizadas

    Quando configura a aplicação, especifica as afirmações personalizadas de organização que serão enviadas para a aplicação. As afirmações personalizadas de organização que não foram concebidas para serem enviadas para a aplicação serão ignoradas.

Aplicações com detecção de afirmações

A autorização com detecção de afirmações é composta por objectos e um módulo com o Protocolo de Transferência de Hipertexto (HTTP) para consultar as afirmações transportadas no token de segurança do AD FS. A autorização com detecção de afirmações é apenas suportada para aplicações do Microsoft ASP.NET.

O módulo de HTTP processa mensagens do protocolo de AD FS com base nas definições de configuração no ficheiro Web.config da aplicação Web. As páginas Web executam tarefas de autenticação e de autorização. O módulo HTTP autentica também cookies e obtém afirmações dos mesmos.

Aplicação baseada em tokens do Windows NT

Uma aplicação baseada em tokens do Windows NT é uma aplicação de Serviços de Informação Internet (IIS) escrita para utilizar mecanismos de autorização nativos tradicionais do Windows. Este tipo de aplicação não está preparada para consumir afirmações do AD FS.

As aplicações baseadas em tokens do Windows NT podem ser utilizadas por utilizadores do Windows a partir do realm local ou de qualquer realm considerado fidedigno pelo realm local, ou seja, apenas pelos utilizadores que podem iniciar sessão no computador com mecanismos de autenticação baseados em tokens do Windows NT.

Nota

Nas concepções de federações, isto significa que as contas de recurso ou grupos de recursos poderão ser necessárias para a autenticação baseada em tokens do Windows NT.

O token de segurança do AD FS enviado para o agente baseado em tokens do Windows NT pode conter qualquer dos seguintes tipos de afirmação:

  • Uma afirmação UPN (User Principal Name) para o utilizador

  • Uma de correio electrónico para o utilizador

  • Uma afirmação de grupo

  • Uma afirmação personalizada para o utilizador

  • Uma afirmação UPN, de correio electrónico, grupo ou personalizada contendo os SID (Security Identifier) da conta de utilizador. (Isto só é aplicado quando a opção Fidedignidade do Windows está activada.)

O servidor Web com capacidade para AD FS gera um token de acesso ao nível de representação do Windows. Um token de acesso ao nível de representação captura as informações de segurança de um processo cliente, o que permite a um serviço "representar" o processo cliente em operações de segurança.

Para aplicações Web baseadas em tokens do Windows NT, a seguinte ordem de processamento determina a forma como um token do Windows NT é criado:

  1. Se o token SAML (Security Assertion Markup Language) contiver SIDs no elemento SAML, os SIDs serão utilizados para gerar o token do Windows NT.

  2. Se o token SAML não contiver SIDs mas sim uma afirmação de identidade UPN, a afirmação UPN é utilizada para gerar o token do Windows NT.

  3. Se o token SAML não contiver SIDs e se existir uma afirmação de identidade de UPN na afirmação de identidade de correio electrónico, este será interpretado como UPN e utilizado para gerar o token do Windows NT.

Este comportamento ocorre independentemente de a afirmação de identidade de UPN ou de correio electrónico ser especificada como afirmação de identidade utilizada para gerar o token do Windows NT ao criar a entrada da política de fidedignidade da aplicação Web no Serviço de Federação.

Autorização tradicional baseada no Windows

O suporte para converter um token de segurança do AD FS num token de acesso ao nível de representação do Windows NT requer vários componentes:

  • Extensão Internet Server Application Programming Interface (ISAPI): Este componente verifica a existência de cookies e tokens de segurança do AD FS a partir do Serviço de Federação, executa os redireccionamentos de protocolo adequados e escreve os cookies necessários para que o AD FS funcione.

  • Pacote de autenticação do AD FS: O pacote de autenticação do AD FS gera um token de acesso ao nível de representação atribuindo um UPN a uma conta de domínio. O pacote requer que o emissor tenha o privilégio Trusted Computing Base (TCB).

  • Páginas de propriedades do Agente Web AD FS e do URL dos Serviços de Federação no snap-in Gestor de IIS: Poderá utilizar estas páginas de propriedades para administrar a política e os certificados para verificar os cookies e o token de segurança do AD FS.

  • Serviço de Autenticação do Agente Web AD FS: O Serviço de Autenticação do Agente Web AD FS é executado como Sistema Local para gerar um token utilizando o S4U (Service-for-User) ou o pacote de autenticação do AD FS. No entanto, o conjunto aplicacional do IIS (Internet Information Services) não é necessário para executar como Sistema Local. O Serviço de Autenticação do Agente Web AD FS tem interfaces que só poderão ser chamadas através do LRPC (Local Remote Procedure Call) e não do RPC (Remote Procedure Call). O serviço devolve um token de acesso do Windows NT ao nível de representação se for atribuído um token de segurança do AD FS ou um cookie do AD FS.

  • Filtro de ISAPI do Agente Web AD FS: Determinadas aplicações Web de IIS tradicionais utilizam um filtro ISAPI que poderá modificar os dados recebidos, como, por exemplo, Uniform Resource Locators (URLs). Se for o caso, o Filtro de ISAPI do Agente Web AD FS terá de ser activado e configurado como o filtro de prioridade mais elevada. Este filtro não está activado por predefinição.

Sumário