Microsoft Federation Gateway är en identitetstjänst som körs via Internet och som fungerar som förmedlare mellan organisationer och externa tjänster. Tjänsten fungerar som ett nav för alla anslutningar mellan organisationen och program som bygger på Windows Azure och Microsoft-program som körs på Internet. Med Microsoft Federation Gateway ansluts användare och andra identiteter till de tjänster som den fungerar med, så att organisationen endast behöver hantera en enkel identitetsfederation när dess identiteter ska anslutas till alla önskade Microsoft-tjänster och Microsoft-baserade tjänster.
Med Microsoft Federation Gateway kan en enkel standardbaserad metod användas i program för att upprätta förtroende mellan olika organisationer som använder SSL-certifikat för att bevisa domänägarskap. Eftersom organisationerna federerar med en gateway i stället för med varandra är det mycket enklare för en organisation att upprätta betrodda relationer med flera partners än vad som är möjligt vid vanlig federation mellan två parter och andra betrodda relationer. Du kan enkelt styra federationens omfattning genom att skapa tillåt- och neka-listor med användare och domäner för licensiering och genom att ange vilka domäner som får ta emot publiceringslicenser. Detta säkerställer att endast lämpliga organisationer får åtkomst till skyddad information.
En federerad identitetsrelation är en standardbaserad överenskommelse mellan organisationer där en organisations anspråk skickas till och identifieras av en annan organisation. Via denna relation kan användare logga in i och autentiseras via sin identitetsleverantör — organisationen där identitetskontot hanteras — och sedan få sin autentisering överförd till en federerad partner utan att behöva logga in igen.
I Microsoft Federation Gateway upprättas federerade identitetsrelationer med grund i webbtjänstspecifikationer (WS-*) som WS-Trust och WS-Security som fungerar tillsammans för enklare samarbete och bättre säkerhet. Genom att använda dess standardprotokoll kan organisationer upprätta federerade identitetsrelationer utan att det krävs identiska plattformar eller infrastrukturer.
När två organisationer upprättar en federerad identitetsrelation styr den ena partnern (identitetsleverantören) sina egna användarkonton och den andra (resursleverantören) beviljar åtkomst till sina resurser enligt autentiseringen som utförs på identitetsleverantören. En användares identitet definieras som en uppsättning anspråk, d.v.s de utlåtande som görs om en användare på en server. Exempel på sådana anspråk är användarens namn, grupper och behörigheter. Identitetsfederation gör att dessa identitetsanspråk kan delas.
Med Microsoft Federation Gateway tillhandahålls autentisering från identitetsleverantören till gateway-datorn i ett standardformat som kallas SAML (Security Assertion Markup Language). I Microsoft Federation Gateway konverteras sedan autentiseringsinformationen till en tjänsttoken som kan användas i Microsoft-tjänster.
Med Stöd för Microsoft Federation Gateway i Windows Server® 2008 R2 kan token från Microsoft Federation Gateway accepteras i AD RMS för autentisering av användare för certifiering och licensiering. Till exempel är Microsoft Exchange Server 2010 anpassat för denna funktion genom att meddelanden som skyddas med AD RMS kan skickas mellan organisationer som inte har samma Active Directory-domäntjänster-infrastruktur (AD DS). När Exchange Server 2010-infraastrukturen har konfigurerats för användning av dessa funktioner kan användare skicka AD RMS–skyddade e-postmeddelanden till mottagare i andra organisationer, vilka sedan kan visa dessa meddelanden i Exchange Server 2010 Outlook Web Access och Microsoft Outlook. Avsändaren kan även bevilja behörighet åt mottagarorganisationen som använder Exchange Server 2010 att dekryptera innehåll för bl.a. användning av journaler och genomsökning efter skadlig programvara.
Mer information om hur du distribuerar Stöd för Microsoft Federation Gateway i AD RMS finns i Checklista: Distribuera AD RMS med Microsoft Federation Gateway-stöd.