Federasyon Hizmeti, AD FS rol hizmetlerinden bağımsız olarak yüklenebilen bir Active Directory Federasyon Hizmetleri (AD FS) rol hizmetidir. Federasyon Hizmeti bir güvenlik belirteci hizmeti gibi çalışır. Bir bilgisayara Federasyon Hizmeti rol hizmetinin yüklenmesi, bu bilgisayarı bir federasyon sunucusu yapar. Bu, ayrıca Active Directory Federasyon Hizmetleri ek bileşeninin söz konusu bilgisayarda Yönetimsel Araçlar menüsünde kullanılabilmesini de sağlar. AD FS ek bileşeni hakkında daha fazla bilgi için bkz. Active Directory Federasyon Hizmetleri Ek Bileşenini Kullanma.

Federasyon Hizmeti, güvenlik belirteci isteklerine yanıt verecek belirteçler sağlamak için Active Directory Etki Alanı Hizmetleri'ni (AD DS) kullanacak şekilde tasarlanmıştır. Bu, Active Directory etki alanlarının ve ormanların aşağıdaki gibi çalışmasını sağlar:

  • Uyumlu hesap ortaklarıyla ve kaynak ortaklarıyla federe olabilen kimlik sağlayıcıları. Kimlik sağlayıcısı olarak, Federasyon Hizmeti, uyumlu hizmet sağlayıcılarındaki uygulamalarla etkileşimde bulunmak için Active Directory kimliklerini Internet üzerinden yansıtabilir.

  • Uyumlu hesap ortaklarıyla ve kaynak ortaklarıyla federe olabilen hizmet sağlayıcıları. Hizmet sağlayıcısı olarak, Federasyon Hizmeti, diğer kuruluşlara ait kimliklerin, ortakların Windows tabanlı ve ASP.NET tabanlı uygulamalarına erişmelerine izin verebilir.

  • WS-Federasyon Edilgen İstek Sahibi Profili (WS-F PRP) belirtimleri ile uyumlu uygulamalar için güvenlik belirteci sağlayıcıları.

Hesap ortağı olarak, Federasyon Hizmeti, kullanıcıların ortak kuruluşlardaki kaynaklara erişebilmelerine izin verir. Kaynak ortağından gelen bir isteğe yanıt olarak, Federasyon Hizmeti, kullanıcı kimlik bilgilerini toplar ve AD DS veya Active Directory Basit Dizin Hizmetleri'nin (AD LDS) bir örneği ile karşılaştırarak doğrular. Federasyon Hizmeti daha sonra, kullanıcı hesabının Basit Dizin Erişimi Protokolü (LDAP) özniteliklerini temel alan bir dizi kuruluş talebini doldurabilir. Kuruluş talepleri daha sonra, kaynak ortağıyla ilgili taleplerle eşlenir ve Federasyon Hizmeti'nin belirteç imzalama sertifikası tarafından imzalanmış bir güvenlik belirtecinde paketlenir. Sonuçta ortaya çıkan güvenlik belirteci, kaynak ortağının özgün isteğine yanıt olarak postalanır. Kaynak ortağı daha sonra bu belirteci kullanıcı erişimine izin vermek için kullanır.

Kaynak ortağı olarak, Federasyon Hizmeti karşıt rolü oynar. Bir kullanıcı AD FS korumalı uygulamaya erişme girişiminde bulunduğunda, Federasyon Hizmeti hangi hesap ortağının kullanıcının kimliğini doğrulayacağını belirler. Daha sonra, o ortağa kimlik doğrulama isteği gönderir. Kullanıcı güvenlik belirteciyle döndüğünde, Federasyon Hizmeti belirtecin ortak tarafından doğru şekilde imzalandığını doğrular. Sonra, talepleri belirteçten ayıklar. Talepler kuruluş taleplerine eşlenir ve belirli uygulama için filtreleme ilkesi uygulanır. Filtrelenmiş kuruluş talepleri, Federasyon Hizmeti belirteç imzalama sertifikası tarafından imzalanmış veya Web uygulaması için Kerberos oturum anahtarı tarafından korunmuş güvenlik belirteçleri içine paketlenir. Sonuçta ortaya çıkan güvenlik belirteci, özgün uygulama Tekdüzen Kaynak Tanımlayıcısı'na (URL) geri postalanır. Uygulama daha sonra bu belirteci kullanıcı erişimine izin vermek için kullanır.

AD FS, Federasyon Hizmeti tarafından yayınlanan güvenlik belirteçlerindeki talepleri Web uygulamasına taşımak için WS-F PRP protokolünü kullanır. WS-F PRP belirtimleri hakkında daha fazla bilgi için bkz. AD FS için Kaynaklar.

Bu talepler başlangıçta AD DS veya AD LDS hesap depolarından birinden doldurulur. Federasyon Hizmeti, belirtilen kimlik bilgilerini temel alan belirteçler yayınlar. Hesap deposu kullanıcının kimlik bilgilerini doğrulandıktan sonra, kullanıcıyla ilgili talepler güven ilkesi kurallarına bağlı olarak üretilir. Federasyon Hizmeti gelen talepleri, kaynak ortağı için uygun olan giden taleplerle eşler. Sonuçta ortaya çıkan talep eşlemeleri, kaynak ortağına verilen güvenlik belirtecine eklenir. Talepler hakkında daha fazla bilgi için bkz. Talepleri Anlama.

Federasyon Hizmeti belirteci doğruladıktan sonra, kimlik doğrulama tanımlama bilgileri verilir ve istemci tarayıcısına yazılır. İstemcinin kimlik doğrulamasına her gerek duyulduğunda, istemcinin kimlik bilgilerini yeniden girmesine gerek kalmaması için SSO'yu etkinleştirmek amacıyla Federasyon Hizmeti bu tanımlama bilgilerini kullanılır. Bu, çoklu oturum açmaya (SSO) olanak sağlar. Tanımlama bilgileri hakkında daha fazla bilgi için bkz. AD FS Tarafından Kullanılan Tanımlama Bilgilerini Anlama.

Federasyon Hizmeti Web sayfaları

Federasyon Hizmeti, kullanıcıdan kimlik doğrulamasını yapabilecek uygun bir hesap ortağı seçmesini isteyen bir Web sayfası sağlar. Federasyon Hizmeti, ayrıca form tabanlı kimlik doğrulaması için kullanıcı adı ve parolası gibi kullanıcı kimlik bilgilerini isteyen bir Web sayfası da sağlar. Windows Tümleşik Kimlik Doğrulaması'nı destekleyen bir Web sayfası da sağlanır.

Web sayfalarının arkasında, Federasyon Hizmeti, istemciden veya federasyon sunucusu proxy'sinden gelen istekleri işleyen bir Microsoft ASP.NET Web hizmeti sağlar. Federasyon sunucusu proxy'si çevre ağında bulunur. İntranet'te, Internet istemcisi ve Federasyon Hizmeti arasında aracı görevi görür. Federasyon sunucusu proxy'nin rolü hakkında daha fazla bilgi için, bkz. Federasyon Hizmeti Proxy Rol Hizmetini Anlama.

Federasyon Hizmeti'nin yanıt verdiği iki temel istek türü vardır:

  • Güvenlik belirteçleri vermesi için yapılan istekler

  • Güven ilkesi verilerini almak için yapılan istekler

Hesap ortağı bulma

Hesap ortağı bulma, birden fazla hesap ortağının yapılandırılmış olması durumunda, kullanıcıların kimlik doğrulama için hangi hesap ortağını tercih edeceklerini tanımlama sürecidir. Federasyon hizmeti, bu seçeneği, hesap ortağı adlarını güven ilkesinde yapılandırıldıkları şekilde içeren bir açılan kutu şeklinde istemci tarayıcısına sunar.

Hesap ortağı bulmayı ortadan kaldırmak için kullanabileceğiniz bir mekanizma; ulaşılacak kaynağın sorgu dizesine whr parametresini dahil etmektir, örneğin;

https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>

burada <accountpartner> istemcinin hesap ortağı bölgesidir.

whr parametresini kullandığınızda, kaynak federasyon sunucusu parametreyi kaldırır ve ilerdeki isteklerde bu ayarları anımsamak için istemci tarayıcısına bir tanımlama bilgisi yazar. Sonra istek, sağlanmamış gibi aynı şekilde devam eder.


İçindekiler