Microsoft Federation Gateway — это служба удостоверений, работающая через Интернет и выполняющая функции посредника между организацией или предприятием и внешними службами, которые требуется использовать. Шлюз выступает в роли узла для подключений, которые организация устанавливает с приложениями на основе Windows Azure или с приложениями Microsoft, работающими в Интернете. Шлюз подключает пользователей и другие удостоверения к службе, с которой он работает, поэтому организации нужно управлять всего одной связью удостоверения и федерации, чтобы ее удостоверения могли получать доступ ко всем нужным службам Microsoft и основанным на них службам.

Microsoft Federation Gateway предоставляет приложениям простой стандартизированный способ установления отношений доверия между организациями с использованием SSL-сертификатов для подтверждения прав владения доменом. Поскольку организации взаимодействуют через шлюз, установление доверенных отношений с несколькими партнерами существенно упрощается по сравнению с традиционным подключением «один-к-одному» или с другими видами доверенных отношений. Пределы взаимодействия можно легко задать с помощью списков разрешения или запрета, включающих пользователей и домены для лицензирования, и указания доменов, которые могут получать лицензии на публикацию. Это гарантирует, что доступ к защищенным данным будет предоставлен только соответствующим организациям.

Связь удостоверения и федерации — это основанная на стандартах договоренность между организациями, в рамках которой утверждения из одной организации передаются в другую и принимаются ей. При использовании этой связи пользователи могут входить в систему и прохводить подлинность с помощью своего поставщика удостоверений — организации, управляющей их учетными записями, — после чего сведения о проверке подлинности передаются федеративному партнеру, исключая необходимость повторного входа.

Microsoft Federation Gateway устанавливает связи удостоверений и федерации, используя спецификации веб-служб (WS-*), такие как WS-Trust и WS-Security, совместное использование которых улучшает взаимодействие систем и повышает безопасность. Используя эти стандартные протоколы, организации могут устанавливать связь удостоверения и федерации на основе различных платформ или инфраструктур.

Когда две организации устанавливают эту связь, один из партнеров (поставщик удостоверений) контролирует собственные учетные записи пользователей, а другой партнер (поставщик ресурсов) предоставляет доступ к своим ресурсам, полагаясь на проверку подлинности, выполненную первым. Удостоверение пользователя определяется как набор утверждений, которые сервер делает в отношении пользователя. Примерами подобных утверждений могут служить группы, разрешения или имя пользователя. Федерация удостоверений делает возможным общий доступ к этим утверждениям.

При использовании Microsoft Federation Gateway сведения о проверке подлинности передаются от поставщика удостоверений шлюзу с использованием стандартного формата — SAML (Security Assertion Markup Language). Затем Microsoft Federation Gateway преобразует сведения о проверке подлинности в маркер службы, который могут использовать службы Microsoft.

Microsoft Federation Gateway Support в Windows Server® 2008 R2 позволяет AD RMS принимать маркеры от Microsoft Federation Gateway для проверки подлинности пользователей с целью сертификации и лицензирования. Например, Microsoft Exchange Server 2010 использует преимущества этой функции, делая возможным обмен сообщениями, защищенными AD RMS, между организациями, не имеющими общей инфраструктуры Службы домена Active Directory (Доменные службы Active Directory). Если сервер Exchange Server 2010 настроен для использования этих функций, пользователи могут отправлять сообщения электронной почты, защищенные AD RMS, получателям за пределами организации отправителя, которые могут просмотреть эти сообщения с помощью Exchange Server 2010 Outlook Web App или Microsoft Outlook. Кроме того, отправители могут предоставить организациям-получателям, использующим Exchange Server 2010, разрешение на расшифровку содержимого для его регистрации или сканирования на наличие вредоносных программ.

Дополнительные сведения о развертывании Microsoft Federation Gateway Support в AD RMS см. в разделе Контрольный список: Развертывание службы управления правами Active Directory с поддержкой шлюза Microsoft Federation Gateway

Дополнительные сведения

Содержание