AD FS (Active Directory Federation Services) stöder federerade identitetsdesigner (även kallade federationsscenarier) som använder WS-Federation (Web Services Federation), WS-F PRP (WS-Federation Passive Requestor Profile) och WS-Federation Passive Requestor Interoperability Profile-specifikationer. AD FS-lösningen hjälper administratörer att hantera problem med federerad identitetsadministration genom att organisationer på ett säkert sätt kan dela en användares identitetsuppgifter över federationsförtroenden. Följande tre beskrivningar av distributionsdesigner åskådliggör hur du kan använda en kombination av AD FS-serverroller när du vill federera identiteter, beroende på behoven hos organisationen. Mer information om de olika serverrollerna finns i avsnittet Så här fungerar rolltjänster i AD FS.

Federerad enkel inloggning på webben

Design för federerad enkel inloggning (SSO) på webben innefattar säker kommunikation som ofta sträcker sig över flera brandväggar, perimeternätverk och namnmatchningsservrar, utöver hela Internetroutninginfrastrukturen. Kommunikation över en federerad enkel inloggningsmiljö på webben kan underlätta skapandet av effektivare och säkrare onlinetransaktioner mellan organisationer som sammankopplas av federationsförtroenden.

Enligt nedanstående illustration kan ett federationsförtroende upprättas mellan två företag. I den här designen vidarebefordrar federationsservrar autentiseringsbegäranden från användarkonton i Tailspin Toys till webbaserade program som finns på nätverket hos Online Retailer.

Federerat Web SSO-scenario

Federationservrar autentiserar begäranden från betrodda partner baserat på deras autentiseringsuppgifter. Representationer av autentiseringsuppgifterna utväxlas i form av säkerhetstoken.

För ökad säkerhet kan federationsserverproxy användas för att vidarebefordra begäranden till federationsservrar som inte är direkt åtkomliga via Internet.

Federerad enkel inloggning på webben med skogsförtroende

Designen federerad enkel inloggning på webben med skogsförtroende innefattar två Active Directory-skogar i en enda organisation, vilket visas i följande illustration. En av skogarna finns på organisationens perimeternätverk (kallas även demilitariserad zon, extranät och avskärmat undernät). Den andra skogen finns på det interna nätverket. Ett enkelriktat skogsförtroende upprättas så att skogen i perimeternätverket har förtroende för skogen i det interna nätverket. Federationsservrar distribueras i båda nätverken. Ett federationsförtroende upprättas så att konton i den interna skogen kan användas för att komma åt ett webbaserat program i perimeternätverket, oavsett om kontona kommer åt platsen från intranätskogen eller via Internet.

Federerat Web SSO med skogsförtroendescenario

I den här designen kan externa användare, t.ex. kunder, komma åt webbprogrammet genom autentisering till den externa kontofederationsservern som finns på perimeternätverket. Externa användare har användarkonton i Active Directory-skogen på perimeternätverket. Interna användare, t.ex. personal, kan också få åtkomst till webbprogrammet genom autentisering till den interna kontofederationsservern som finns i det interna nätverket. Interna användare har konton i den interna Active Directory-skogen.

Om det webbaserade programmet är ett Windows NT-tokenbaserat program fångar AD FS Web Agent som körs på webbprogramservern upp begäranden och skapar Windows NT-säkerhetstoken vilka krävs av webbprogrammet vid auktoriseringsbeslut. För externa användare är detta möjligt eftersom den AD FS-aktiverade webbserver som är värd för det Windows NT-tokenbaserade programmet är ansluten till domänen i den externa skogen. För interna användare blir detta möjligt genom det skogsförtroende som finns mellan perimeterskogen och den interna skogen.

Om det webbaserade programmet är ett anspråksmedvetet program behöver AD FS Web Agent som körs på webbprogramservern inte skapa Windows NT-säkerhetstoken för användaren. AD FS Web Agent kan använda de anspråk som kommer vilket innebär att auktoriseringsbeslut fattas baserat på innehållet i den säkerhetstoken som tillhandahålls av kontofederationsservern. När anspråksmedvetna program distribueras behöver den AD FS-aktiverade webbservern inte anslutas till domänen och förtroendet mellan den externa och den interna skogen krävs inte.

enkel inloggning på webben

I AD FS-designen för enkel inloggning på webben måste användare endast autentisera sig en gång för att få åtkomst till flera webbaserade program. I den här designen är alla användare externa och det finns inget federationsförtroende. Eftersom de AD FS-aktiverade webbservrarna måste vara åtkomliga på Internet och anslutna till Active Directory-domänen ansluts de till två nätverk, d.v.s. de har flera IP-adresser (multihomed). Det första nätverket (perimeternätverket) är anslutet till Internet för att tillhandahålla den nödvändiga anslutningen. Det andra nätverket (det skyddade nätverket) innehåller Active Directory-skogen som inte går att komma åt direkt via Internet. Federationsserverproxyn har också flera IP-adresser för att tillhandahålla den nödvändiga anslutningen till federationsservern och Internet. I den här designen minskar risken för federationsservern betydligt om den placeras på ett nätverk som saknar direkt anslutning till Internet.

Web SSO-scenario

Innehåll