AD FS (Active Directory Federation Services) är en funktion i operativsystemen Windows Server™ 2003 R2, Windows Server 2008 och Windows Server 2008 R2. Funktionen tillhandahåller tekniker för enkel inloggning på webben vilket används vid autentisering av en användare i flera relaterade webbprogram under en och samma session. Detta sker i AD FS genom att digital identitet och information om rättigheter, även kallade anspråk, delas på ett säkert sätt över säkerhets- och företagsgränser.
Funktioner i AD FS
I Windows Server 2008 och Windows Server 2008 R2 innehåller AD FS nya funktioner som inte var tillgängliga i Windows Server 2003 R2. Om du vill lära dig mer om de här nya funktionerna går du till avsnittet Vad är nytt i AD FS i Windows Server 2008 (
Följande är några av nyckelfunktionerna i AD FS:
-
Federation och enkel inloggning på webben
Det är nu möjligt att utnyttja funktioner för enkel inloggning via Windows-integrerad autentisering inom organisationens säkerhets- och företagsgränser när en organisation använder AD DS (Active Directory Domain Services). AD FS utökar den här funktionen för program med anslutning mot Internet. Det möjliggör enhetlig enkel inloggning på webben för kunder, partner och leverantörer när de ansluter till organisationens webbaserade program. Dessutom kan federationsservrar distribueras i flera organisationer för att underlätta federerade B2B-transaktioner (Business-to-Business) mellan partnerorganisationer. Mer information om AD FS-federation finns i avsnittet Så här fungerar federationsdesigner.
-
Samverkan för webbtjänster (WS-*)
AD FS innehåller en lösning för federerad identitetshantering som samverkar med andra säkerhetsprodukter som har stöd för webbtjänstarkitekturen WS-*. Detta görs i AD FS genom att federationsspecifikationen för WS-*, kallad WS-Federation, används. Specifikationen WS-Federation gör det möjligt för miljöer som inte använder identitetsmodellen i Microsoft® Windows® att federera med Windows-miljöer. Mer information om WS-*-specifikationer finns i Resurser för AD FS.
-
Utökningsbar arkitektur
AD FS innehåller en utökningsbar arkitektur som stöder tokentypen SAML 1.1 (Security Assertion Markup Language) och Kerberos-autentisering (i designen med federerad enkel inloggning på webben med skogsförtroende). Det går också att utföra anspråksmappning i AD FS, t.ex. ändring av anspråk med anpassad affärslogik som en variabel i en åtkomstbegäran. Organisationer kan genom den här möjligheten till utökning ändra AD FS så att det kan samexistera med den befintliga infrastrukturen för säkerhet och affärsprinciper. Mer information om hur anspråk ändras finns i avsnittet Så här fungerar anspråk.
Utöka AD DS till Internet
AD DS fungerar som en primär identitets- och autentiseringstjänst i många organisationer. Med Active Directory i Windows Server 2003 och AD DS i Windows Server 2008 och Windows Server 2008 R2 kan skogsförtroenden skapas mellan två eller flera Windows Server 2003-, Windows Server 2008- eller Windows Server 2008 R2-skogar, vilket ger åtkomst till resurser som finns i olika affärsenheter eller organisationer. Mer information om skogsförtroenden finns på sidan som handlar om hur domän- och skogsförtroenden fungerar (
Det finns emellertid designer där skogsförtroenden inte är ett lämpligt alternativ. Åtkomst mellan organisationer kan t.ex. behöva begränsas till en liten grupp användare och inte tillåtas för samtliga medlemmar i en skog.
Med hjälp av AD FS kan organisationer utöka sina befintliga Active Directory-infrastrukturer vilket ger åtkomst till resurser som erbjuds av betrodda partner via Internet. Dessa betrodda partner kan inkludera externa tredje parter, andra avdelningar eller lokala kontor i samma organisation.
I AD FS finns stöd för distribuerad autentisering och auktorisering via Internet. AD FS kan integreras i den befintliga lösningen för åtkomsthantering för en organisation eller avdelning och översätta de anspråk som används i organisationen till anspråk som ingår i en federation. Med AD FS kan du skapa, skydda och verifiera anspråken som flyttar mellan organisationer. AD FS kan också användas för granskning och övervakning av kommunikationsaktiviteten mellan organisationer och avdelningar vilket upprätthåller säkra transaktioner.
Mer information om AD FS finns i följande avsnitt: