Active Directory Federasyon Hizmetleri (AD FS), Web Hizmetleri Federasyonu (WS-Federasyon), WS-Federasyon Edilgen İstek Sahibi Profili (WS-F PRP) ve WS-Federasyon Edilgen İstek Sahibi Birlikte Çalışma Profili belirtimleri kullanan federe kimlik tasarımlarını (federasyon senaryoları da denir) destekler. AD FS çözümü, kuruluşların, kullanıcının kimlik bilgilerini federasyon güvenleri üzerinden güvenli bir şekilde paylaşmalarını sağlayarak, federe kimlik yönetimi güçlükleriyle uğraşan yöneticilere yardımcı olur. Aşağıdaki üç dağıtım tasarımı açıklamasında, kuruluşunuzun gereksinimlerine bağlı olarak kimlikleri federasyon halinde birleştirmek için AD FS sunucu rollerini birlikte nasıl kullanacağınız gösterilmiştir. Çeşitli sunucu rolleri hakkında bilgi için bkz. AD FS Rol Hizmetlerini Anlama.

Federe Web SSO'su

Federe Web Çoklu Oturum Açma (SSO) tasarımı, tüm Internet yönlendirme altyapısının yanı sıra, çoğunlukla birden çok güvenlik duvarına, çevre ağa ve ad çözümleme sunucusuna yayılan güvenli iletişimi kapsar. Federe Web SSO ortamı üzerinden sağlanan iletişim, federasyon güven ilişkileriyle bir araya getirilen kuruluşlar arasında daha etkin ve güvenli çevrimiçi işlemler yapılmasına yardımcı olabilir.

Aşağıdaki şekilde gösterildiği gibi, iki iş arasında federasyon güven ilişkisi kurulabilir. Bu tasarımda, federasyon sunucuları, kimlik doğrulama isteklerini Tailspin Toys şirketindeki kullanıcı hesaplarından Çevrimiçi Perakendeci'nin ağında bulunan Web tabanlı uygulamalara yönlendirir.

Federe Web SSO'su senaryosu

Federasyon sunucuları, güvenilen ortaklardan gelen isteklerin kimlik doğrulamasını ortakların kimlik bilgilerini temel alarak yapar. Kimlik bilgilerinin gösterimleri güvenlik belirteçleri biçiminde değiştirilir.

Federasyon sunucusu proxy'leri, güvenliğin geliştirilmesi için, istekleri Internet'ten doğrudan erişilemeyen federasyon sunucularına aktarmak üzere kullanılabilir.

Orman Güveni olan Federe Web SSO'su

Orman Güveni olan Federe Web SSO tasarımı, aşağıdaki şekilde gösterildiği gibi tek bir kuruluştaki iki Active Directory ormanını kapsar. Ormanlardan biri kuruluşun çevre ağında (arındırılmış bölge, extranet veya filtrelenmiş alt ağ olarak da bilinir) bulunur. Diğer orman iç ağda bulunur. Çevre ağdaki orman iç ağdaki ormana güvenecek şekilde tek yönlü bir orman güveni kurulur. Federasyon sunucuları her iki ağda dağıtılır. Hesaplar siteye ister intranet ormanından, ister Internet'ten erişsin, çevre ağdaki Web tabanlı bir uygulamaya erişmek üzere iç ormandaki hesapların kullanılabilmesi için bir federasyon güveni kurulur.

Orman Güveni Olan Federe Web SSO'su senaryosu

Bu tasarımda, dış kullanıcılar (örn. müşteriler), çevre ağda bulunan dış hesap federasyon sunucusu için kimlik doğrulama işlemi yaparak Web uygulamasına erişebilir. Dış kullanıcıların, çevre ağı Active Directory ormanında kullanıcı hesapları vardır. İç kullanıcılar (örn. çalışanlar), iç ağda bulunan iç hesap federasyon sunucusu için kimlik doğrulama işlemi yaparak da Web uygulamasına erişebilir. İç kullanıcıların, iç Active Directory ormanında hesapları vardır.

Web tabanlı uygulama, Windows NT belirteci tabanlı bir uygulama ise, Web uygulama sunucusunda çalışan AD FS Web Aracısı, istekleri alır ve Web uygulamasının yetkilendirme kararları vermesi için gereken Windows NT güvenlik belirteçlerini oluşturur. Dış kullanıcılarda Windows NT belirteci tabanlı uygulamayı barındıran AD FS barındıran Web sunucusu dış ormandaki etki alanına katıldığı için, bu olanak sağlanır. Bu, iç kullanıcılarda, çevre ormanı ve iç orman arasında varolan orman güveni ilişkisi aracılığıyla etkinleştirilir.

Web tabanlı uygulama talep kullanan bir uygulamaysa, Web uygulama sunucusunda çalışan AD FS Web Aracısı, kullanıcı için Windows NT güvenlik belirteçleri oluşturmak zorunda kalmaz. AD FS Web aracısı, karşılaşılan talepleri gösterebilir, bu da uygulamanın, hesap federasyon sunucusu tarafından sağlanan güvenlik belirtecinin içeriğine dayanan yetkilendirme kararları almasına olanak verir. Sonuç olarak, AD FS barındıran Web sunucusu, talep kullanan uygulamalar dağıttığında etki alanına katılmak zorunda kalmaz ve dış orman ile iç orman arasında güven sağlanması gerekmez.

Web SSO'su

AD FS Web SSO'su tasarımında, kullanıcıların, birden çok Web tabanlı uygulamaya erişmek için yalnızca bir kez kimlik doğrulama işlemi yapması gerekir. Bu tasarımda tüm kullanıcılar dış kullanıcıdır ve federasyon güveni yoktur. AD FS barındıran Web sunucularının Internet'e erişebilmeleri ve ayrıca Active Directory etki alanına katılmaları gerektiğinden, iki ağa bağlanırlar; başka bir deyişle, birden çok ağ bağlantıları vardır. Gerekli bağlantıyı sağlamak üzere, ilk ağ Internet katmanıdır (çevre ağ). İkinci ağ, doğrudan Internet'e erişemeyen Active Directory ormanını (korunan ağ) içerir. Federasyon sunucusuna ve Internet'e gerekli bağlantıyı sağlamak üzere federasyon sunucusu proxy'sinin de birden çok ağ bağlantısı vardır. Bu tasarımda, federasyon sunucusunun Internet'ten doğrudan erişilemeyen bir ağa yerleştirilmesi, federasyon sunucusu için riski büyük ölçüde azaltır.

Web SSO'su senaryosu

İçindekiler