На серверах федерации обязательно использование сертификатов для подписи токена, чтобы защититься от изменения или подделки токенов безопасности злоумышленниками, пытающимися получить несанкционированный доступ к федеративным ресурсам. Каждый сертификат для подписи токена содержит криптографические закрытые и открытые ключи, которые используются для цифровой подписи (с помощью закрытого ключа) токена безопасности. Позже, когда эти ключи получены сервером федерации у партнера, они удостоверяют подлинность (с помощью открытого ключа) зашифрованного токена безопасности.

При развертывании первого сервера федерации в новой установке служб федерации Active Directory необходимо получить сертификат для подписи токена и установить его в хранилище личных сертификатов локального компьютера на сервере федерации. Сертификат для подписи токена можно получить, отправив запрос сертификата в корпоративный центр сертификации или общедоступный центр сертификации либо создав самозаверяющий сертификат.


Содержание