Службы федерации Active Directory - это компонент операционных систем Microsoft® Windows Server® 2003 R2, Windows Server 2008 и Windows Server 2008 R2, который обеспечивает использование технологии единого входа для проверки подлинности пользователя в нескольких связанных веб-приложениях в течение всего сетевого сеанса. В службах федерации Active Directory это достигается путем предоставления безопасного общего доступа к цифровому удостоверению и правам (или «утверждениям») на границах организации и системы безопасности.

Функции служб федерации Active Directory

В операционных системах Windows Server 2008 и Windows Server 2008 R2 службы федерации Active Directory включают в себя новые компоненты, которые отсутствовали в Windows Server 2003 R2. Дополнительные сведения об этих новых возможностях см. в статье «Что нового в службах федерации Active Directory в Windows Server 2008» (https://go.microsoft.com/fwlink/?LinkId=85684) (на английском языке).

Ниже перечислены некоторые из основных возможностей служб федерации Active Directory:

  • Федерация и единый вход в Интернет

    Организации, которые применяют доменные службы Active Directory®, могут использовать преимущества технологии единого входа благодаря встроенной проверке подлинности Windows в границах области безопасности или в пределах организации. Службы федерации Active Directory расширяют эти функциональные возможности на приложения, подключенные к Интернету. Благодаря этому клиенты, партнеры и поставщики получают единообразный оптимизированный пользовательский интерфейс единого входа при работе с веб-приложениями организации. Кроме того, серверы федерации могут быть развернуты в нескольких организациях, что облегчает федеративные транзакции «бизнес-бизнес» между организациями-партнерами. Дополнительные сведения о федерации служб федерации Active Directory см. в разделе Общее представление о схемах федерации.

  • Взаимодействие веб-служб (WS-*)

    Службы федерации Active Directory предоставляют федеративное решение для службы управления идентификацией, которое взаимодействует с другими продуктами обеспечения безопасности, поддерживающими архитектуру веб-служб WS-*. Службы федерации Active Directory реализуют это, используя спецификацию федерации WS-*, которая называется WS-Federation. Спецификация WS-Federation позволяет создавать федеративные отношения со средами Windows в средах, в которых не используется модель идентификации Microsoft Windows®. Дополнительные сведения о спецификациях WS-* см. в разделе Службы федерации Active Directory: ресурсы.

  • Расширяемая архитектура

    Службы федерации Active Directory предоставляют расширяемую архитектуру, которая поддерживает тип токена SAML 1.1 и проверку подлинности Kerberos (в схеме федеративной веб-службы единого входа с доверием леса). Службы федерации Active Directory могут также выполнять сопоставление утверждений, например изменяя утверждения с использованием настраиваемой деловой логики в качестве переменной в запросе доступа. Организации могут использовать эту расширяемость для изменения служб федерации Active Directory в целях их адаптации к текущей инфраструктуре безопасности и деловым политикам. Дополнительные сведения об изменении утверждений см. в разделе Общее представление об утверждениях.

Расширение доменных служб Active Directory в Интернет

Доменные службы Active Directory во многих организациях выполняют функции основной службы по хранению учетных данных и проверке подлинности. С помощью Active Directory в Windows Server 2003 и доменных служб Active Directory в Windows Server 2008 и Windows Server 2008 R2 можно создавать доверия лесов между двумя и более лесами Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Это позволяет обеспечить доступ к ресурсам, расположенным в разных производственных подразделениях или организациях. Дополнительные сведения о довериях лесов см. в статье, описывающей работу отношений доверия доменов и лесов (https://go.microsoft.com/fwlink/?LinkId=35356).

Однако существуют схемы, в которых доверия лесов не являются приемлемым типом отношений. Например, может потребоваться ограничение доступа к ресурсам, расположенным в разных организациях, только небольшим подмножеством пользователей, закрыв его для остальных членов леса.

Используя службы федерации Active Directory, организации могут расширить свои существующие инфраструктуры Active Directory для предоставления доступа к ресурсам, которые предлагают их доверенные партнеры в Интернете. Этими доверенными партнерами могут быть внешние организации либо другие подразделения или филиалы этой же организации.

Службы федерации Active Directory поддерживают распределенную проверку подлинности и авторизацию через Интернет. Службы федерации Active Directory могут быть интегрированы в существующее решение по управлению доступом организации или подразделения для преобразования утверждений, используемых в организации, в утверждения, которые согласованы как часть федерации. Службы федерации Active Directory могут создавать, защищать и проверять утверждения, перемещаемые между организациями. Чтобы гарантировать безопасность транзакций, эти службы могут также проводить аудит и контролировать действия по обмену данными между организациями и подразделениями.

Дополнительные обзорные сведения о службах федерации Active Directory см. в перечисленных ниже статьях.

Содержание