Веб-агент служб федерации Active Directory - это служба роли служб федерации Active Directory, которую можно установить независимо от других служб роли служб федерации Active Directory. В результате установки службы роли «Веб-агент служб федерации Active Directory» компьютер становится веб-сервером с поддержкой служб федерации Active Directory.

Веб-серверы с поддержкой служб федерации Active Directory потребляют токены безопасности и разрешают или запрещают доступ пользователя к веб-приложению. Для выполнения этих действий должно существовать отношение между веб-сервером с поддержкой служб федерации Active Directory и службой федерации ресурсов, чтобы по мере необходимости веб-сервер мог направлять пользователя к службе федерации.

Веб-агент служб федерации Active Directory может использоваться для работы с приложениями двух типов:

  • Приложения, поддерживающие утверждения. Это приложения Microsoft ASP.NET, предназначенные для публикации объектов служб федерации Active Directory, которые позволяют запрашивать утверждения, содержащиеся в токенах безопасности служб федерации Active Directory. Решения об авторизации принимаются приложениями на основании этих утверждений.

  • Приложения, использующие токены Windows NT. Это приложения, использующие механизмы авторизации Windows. Веб-агент служб федерации Active Directory поддерживает преобразование токена безопасности служб федерации Active Directory в токен доступа Windows NT® на уровне олицетворения.

Веб-сервер, поддерживающий службы федерации Active Directory, хранит также на клиентах файлы «cookie» в формате HTTP, если эти файлы «cookie» необходимы для облегчения единого входа. Веб-агент служб федерации Active Directory состоит из двух отдельных компонентов:

  • Расширение для агента служб федерации Active Directory, использующего токены Windows

  • Служба проверки подлинности веб-агента служб федерации Active Directory

Расширение для агента служб федерации Active Directory, использующего токены Windows

Расширение для агента служб федерации Active Directory, использующего токены Windows, - это расширение интерфейса приложений ISAPI, которое можно использовать для настройки информации в метабазе служб IIS. Страницы свойств URL-адрес служб федерации и Веб-агент AD FS в диспетчере служб IIS можно использовать для управления политикой и сертификатами для проверки токенов безопасности и файлов «cookie» служб федерации Active Directory.

Свойства веб-агента служб федерации Active Directory, перечисленные в приведенной ниже таблице, наследуются. Эти свойства требуются для ресурса IIS, если расширение ISAPI должно обеспечить поддержку протокола WS-F PRP.

Свойства Описание

URL-адрес службы федерации

URL-адрес службы федерации. Этот URL-адрес обязателен для запроса сведений о доверии.

Путь к файлу «cookie»

Путь, заданный при записи файла «cookie» для проверки подлинности.

Домен файла «cookie»

Домен, для которого действителен данный файл «cookie».

URL-адрес возврата

URL-адрес, по которому токен возвращается из службы федерации после проверки подлинности в службе федерации. Этот URL-адрес должен соответствовать элементу «Аудитория» токена. Проверка соответствия элементу «Аудитория» выполняется службой Windows.

Служба проверки подлинности веб-агента служб федерации Active Directory

Служба проверки подлинности веб-агента служб федерации Active Directory осуществляет проверку подлинности входящих токенов и файлов «cookie». Она работает как локальная система, задача которой - генерировать токен либо с помощью пакета проверки подлинности служб федерации Active Directory, либо с помощью службы «сервис для пользователя» (S4U), позволяющей получить токен Windows для клиента путем предоставления имени участника-пользователя без пароля. Однако пул приложений IIS для работы в качестве локальной системы не нужен.

Служба проверки подлинности веб-агента служб федерации Active Directory содержит интерфейсы, которые могут вызываться только посредством локально-удаленного вызова процедур (LRPC), а не удаленного вызова процедур (RPC). Если эта служба принимает токен безопасности служб федерации Active Directory или файл «cookie» служб федерации Active Directory, она возвращает токен олицетворения доступа Windows NT.

См. также


Содержание