Federationstjänsten är en rolltjänst i Active Directory Federation Services (AD FS) som kan installeras fristående från andra AD FS-rolltjänster. Federationstjänsten fungerar som en säkerhetstokentjänst. Om du installerar rolltjänsten för federationstjänsten på en dator blir datorn en federationsserver. Den gör också snapin-modulen Active Directory Federation Services tillgänglig på menyn Administrationsverktyg på datorn. Mer information om snapin-modulen AD FS finns i avsnittet Använda snapin-modulen Active Directory Federation Services.
Federationstjänsten är utformad att använda Active Directory-domäntjänster (AD DS) när token ska tillhandahållas som svar på begäranden om säkerhetstoken. Detta gör att domäner och skogar i Active Directory kan fungera som:
-
Identitetsproviders som kan federera med kontopartner och resurspartner som följer standarder. Som identitetsprovider kan federationstjänsten distribuera Active Directory-identiteter över Internet för att interagera med program hos tjänstproviders som följer standarder.
-
Tjänstproviders som kan federera med kontopartner och resurspartner som följer standarder. Som tjänstprovider kan federationstjänsten tillåta identiteter från andra organisationer att komma åt en partners Windows- och ASP.NET-baserade program.
-
Säkerhetstokenproviders för program som uppfyller kraven i specifikationen WS-F PRP (WS-Federation Passive Requestor Profile).
Som kontopartner kan federationstjänsten tillåta användare att komma åt resurser i partnerorganisationer. Som svar på en begäran från en resurspartner samlar federationstjänsten in användarautentiseringsuppgifter och verifierar dem mot AD DS eller en instans av Active Directory Lightweight Directory Services (AD LDS). Federationstjänsten kan fylla en uppsättning organisationsanspråk som baserar sig på användarkontots LDAP-attribut (Lightweight Directory Access Protocol). Organisationens anspråk mappas sedan till lämpliga anspråk för resurspartnern och paketeras i en säkerhetstoken som har signerats av federationstjänstens certifikat för tokensignering. Den färdigställda säkerhetstoken skickas som svar på resurspartnerns ursprungliga begäran. Resurspartnern använder sedan token för att ge användaren åtkomst.
Som resurspartner har federationstjänsten motsatt roll. När en användare försöker komma åt ett AD FS-skyddat program avgör federationstjänsten vilken kontopartner som ska autentisera användaren. Därefter skickas en autentiseringsbegäran till partnern. När användaren återkommer med en säkerhetstoken verifierar federationstjänsten att denna token har blivit korrekt signerad av partnern. Därefter extraheras anspråken från token. Anspråken mappas till organisationsanspråk och det aktuella programmets filtreringsprincip tillämpas. De filtrerade organisationsanspråken paketeras till en säkerhetstoken som antingen har signerats av federationstjänstens certifikat för tokensignering eller har skyddats av en Kerberos-sessionsnyckel för webbprogrammet. Den färdigställda säkerhetstoken skickas tillbaka till det ursprungliga programmets URL (Uniform Resource Locator). Programmet använder sedan token för att ge användaren åtkomst.
AD FS använder WS-F PRP-protokollet vid transport av anspråk i säkerhetstoken som har utfärdats av federationstjänsten till webbprogrammet. Mer information om WS-F PRP-specifikationen finns i avsnittet Resurser för AD FS.
De här anspråken fylls inledningsvis från antingen AD DS- eller AD LDS-kontoarkiv. Federationstjänsten utfärdar token som baseras på de visade autentiseringsuppgifterna. När kontoarkivet har verifierat en användares autentiseringsuppgifter skapas anspråken för användaren enligt förtroendeprincipens regler. Federationstjänsten mappar de inkommande anspråken till utgående anspråk som är lämpliga för en resurspartner. De färdigställda anspråksmappningarna läggs till i en säkerhetstoken som utfärdas till resurspartnern. Mer information om anspråk finns i avsnittet Så här fungerar anspråk.
När federationstjänsten har verifierat token utfärdas och skrivs en autentiseringscookie till klientens webbläsare. När sedan klienten måste autentiseras använder federationstjänsten den här cookien och klienten behöver då inte ange autentiseringsuppgifterna igen. Det möjliggör enkel inloggning (SSO). Mer information om cookies finns i avsnittet Så här fungerar de cookies som AD FS använder.
Webbsidor för federationstjänsten
Federationstjänsten har en webbsida som uppmanar användaren att välja en lämplig kontopartner till vilken användaren kan autentiseras. Federationstjänsten har också en webbsida som uppmanar användaren att ange sina autentiseringsuppgifter, d.v.s. användarnamn och lösenord för formulärbaserad autentisering. Det finns också en webbsida som stöder Windows-integrerad autentisering.
Bakom webbsidorna har federationstjänsten en Microsoft ASP.NET-webbtjänst som behandlar begäranden från klienten eller federationsserverproxyn. Federationsserverproxyn finns i perimeternätverket. Den fungerar som en mellanhand mellan en Internetklient och en federationstjänst i intranätet. Mer information om federationsserverproxyns roll finns i avsnittet Så här fungerar rolltjänsten Federationstjänstproxy.
Det finns två grundläggande typer av begäranden som federationstjänsten besvarar:
-
Begäranden att utfärda säkerhetstoken
-
Begäranden att hämta förtroendeprincipdata
Identifiering av kontopartner
Identifiering av kontopartner är den process genom vilken användare kan identifiera den kontopartner som passar bäst för autentisering om flera kontopartner är konfigurerade. Federationsservern presenterar det här alternativet för klientens webbläsare i form av en listruta som innehåller namnen på de kontopartner som har konfigurerats i förtroendeprincipen.
Ett sätt att undvika identifiering av kontopartner är att inkludera parametern whr i frågesträngen för den resurs som åtkomsten avser, till exempel
https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>
där <accountpartner> indikerar klientens kontopartnerdomän.
När parametern whr används lagras inställningarna för framtida begäranden på webbservern genom att en cookie skrivs till klientens webbläsare och parametern tas bort. Därefter fortsätter begäran på samma sätt som om den inte hade tillhandahållits.