Службы федерации Active Directory (AD FS) используют файлы «cookie» следующих трех типов:

  • Файлы «cookie» для проверки подлинности

  • Файлы «cookie» партнера по учетным записям

  • Файлы «cookie» выхода из системы

Файлы Cookie для проверки подлинности

Файлы «cookie» для проверки подлинности может выпускать и служба федерации, и веб-агент AD FS. Веб-агент AD FS принимает токен безопасности AD FS и использует его в качестве значения «cookie». Преимущество веб-сервера с поддержкой AD FS заключается в том, что для него не требуется настраивать пару из открытого и закрытого ключа, которыми можно подписать и проверить собственные файлы «cookie» веб-сервера. Служба федерации публикует всю информацию, необходимую для проверки правильности ее токенов.

Для службы федерации токен безопасности хранит в файле «cookie» утверждения организации для клиента. Утверждения организации могут быть сопоставлены с исходящими утверждениями для конкретного ресурса. Веб-агент AD FS может также выполнять проверку подлинности и использовать файлы «cookie», созданные службой федерации. Веб-сервер с поддержкой AD FS получает файл «cookie», когда клиент заходит на этот веб-сервер с поддержкой AD FS. Затем веб-агент AD FS может проверить подлинность этого файла «cookie» и использовать содержащиеся в нем утверждения. Дополнительные сведения об использовании службой федерации токенов, утверждений и файлов «cookie» для проверки подлинности см. в разделе Общее представление о службе роли «Служба федерации».

Файлы «cookie» для проверки подлинности обеспечивают возможность единого входа. После того как служба федерации проверит подлинность клиента, файл «cookie» для проверки подлинности записывается на клиент. Содержимое файла «cookie» для проверки подлинности создает и использует служба федерации. Это содержимое недоступно для прокси-серверов федерации. Дальнейшая проверка подлинности осуществляется путем использования файла «cookie» вместо повторного сбора учетных данных клиента. Дополнительные сведения о прокси-серверах федерации см. в разделе Общее представление о службе роли «Прокси-агент службы федерации».

На следующем рисунке показано содержимое файла «cookie» для проверки подлинности и служб ролей AD FS, которые используют этот файл «cookie». Веб-агент AD FS объединяет службу проверки подлинности веб-агента AD FS и расширение агента AD FS, использующее токены Windows.

Содержимое файла cookie проверки подлинности

Файл «cookie» для проверки подлинности всегда является файлом «cookie» сеанса. Файл «cookie» для проверки подлинности подписывается, но не шифруется, что является одной из причин обязательного использования в AD FS протокола TLS/SSL.

Файлы Cookie партнера по учетным записям

Файлы «cookie» партнера по учетным записям используются при реализации единого входа в систему. Если после интерактивного обнаружения членства партнера по учетным записям файл «cookie» партнера по учетным записям имеет допустимый токен, «cookie» записывается на клиент. Для дальнейшего взаимодействия вместо повторного запроса у клиента информации о членстве у партнера по учетным записям используются сведения из этого файла «cookie». Файл «cookie» партнера по учетным записям создается в результате процесса обнаружения партнера по учетным записям. Дополнительные сведения об обнаружении партнера по учетным записям см. в разделе Общее представление о службе роли «Служба федерации».

Файл «cookie» партнера по учетным записям - файл длительного использования. Он не подписывается и не шифруется.

Файлы Сookie выхода из системы

Файлы «cookie» для выхода используются при завершении сеанса. Всякий раз, когда служба федерации создает токен, к файлу «cookie» для выхода добавляются сведения из токена о партнере по ресурсам или о конечном сервере. При получении запроса на завершение сеанса служба федерации или прокси-агент службы федерации отправляют каждому из конечных серверов токена запросы с требованием очистки всех материалов проверки подлинности, таких как кэшированные файлы «cookie», которые партнер по ресурсам или веб-сервер с поддержкой AD FS могли записать на клиенте. В случае партнера по ресурсам запрос очистки отправляется всем веб-серверам с поддержкой AD FS, которые использовал клиент.

Файл «cookie» для выхода всегда является файлом «cookie» сеанса. Он не подписывается и не шифруется.


Содержание