Active Directory Federasyon Hizmetleri (AD FS); sertifika hizmetleri, Internet Information Services (IIS), Active Directory Etki Alanı Hizmetleri (AD DS), Active Directory Basit Dizin Hizmetleri (AD LDS) ve Web Hizmetleri (WS-*) gibi çeşitli teknolojilerin terminolojilerini kullanır. Aşağıdaki tabloda bu terimler açıklanmıştır.

Terim Description

hesap federasyon sunucusu

Hesap ortağı kuruluşun şirket ağında bulunan federasyon sunucusudur. Hesap federasyon sunucusu, kullanıcılara kimlik doğrulamasına göre güvenlik belirteçleri verir. Sunucu bir kullanıcının kimlik doğrulamasını yapar, hesap deposundan ilgili öznitelikleriyle grup üyeliği bilgilerini alır ve (kendi kuruluşunda kullanılmak veya ortak kuruluşa gönderilmek üzere) kullanıcıya döndürmek için bir güvenlik belirteci oluşturup imzalar.

hesap federasyon sunucusu proxy'si

Hesap ortağı kuruluşun çevre ağında bulunan federasyon sunucusu proxy'sidir. Hesap federasyon sunucusu proxy'si, Internet üzerinden (veya çevre ağdan) oturum açan bir istemciden kimlik doğrulama bilgilerini alır ve bunları hesap federasyon sunucusuna aktarır.

hesap ortağı

Kaynak ortağındaki Web tabanlı uygulamalara erişebilmeleri için kullanıcılarına (hesap ortağı kuruluştaki kullanıcılar) güvenlik belirteçleri sağlamak üzere Federasyon Hizmeti tarafından güvenilen federasyon ortağıdır.

Active Directory Federasyon Hizmetleri (AD FS)

Kullanıcının tek bir çevrimiçi oturum süresince birden çok Web uygulamasında kimlik doğrulamasının yapılması için Web çoklu oturum açma (SSO) teknolojilerini sağlayan Windows Server 2003 R2, Windows Server 2008 ve Windows Server 2008 R2 işletim sistemlerindeki bir bileşendir. AD FS bunu, dijital kimlik ve yetki verme haklarını güvenlik ve kuruluş sınırları içinde güvenli şekilde paylaştırarak gerçekleştirir. AD FS, WS-Federasyon Edilgen İstek Sahibi Profili'ni (WS-F PRP) destekler.

AD FS Web Aracısı

AD FS'nin AD FS özellikli Web sunucusu oluşturmak için kullanılan yüklenebilir bir rol hizmetidir. AD FS Web Aracısı, bir yandan uygulamaya özgü erişim denetimi ayarlarını dikkate alırken diğer yandan kullanıcıların korunan uygulamaya erişmesine izin vermek veya bunu reddetmek için, geçerli bir federasyon sunucusu tarafından imzalanmış gelen güvenlik belirteçlerini ve kimlik doğrulama tanımlama bilgilerini kullanır.

AD FS özellikli Web sunucusu

Yerel olarak barındırılan Web tabanlı uygulamaların kimliklerini doğrulamak ve bunlara federasyon erişimini yetkilendirmek için gerekli olan uygun AD FS Web Aracısı yazılımıyla (talep kullanan aracı veya Windows belirteci tabanlı aracı) yapılandırılan, Windows Server 2003 R2, Windows Server 2008 veya Windows Server 2008 R2 çalıştıran bir Web sunucusudur.

talep

Sunucunun bir istemci hakkında yaptığı bildirimdir (örneğin ad, kimlik, anahtar, grup, ayrıcalık veya yetenek gibi).

talep kullanan uygulama

AD FS güvenlik belirtecinde bulunan taleplere göre yetkilendirme yapan bir Microsoft ASP.NET uygulamasıdır.

talep eşleme

Talepleri eşleme, kaldırma veya filtre uygulama ya da çeşitli talep kümeleri arasında iletme eylemidir.

istemci hesap ortağı bulma Web sayfası

Kullanıcının kimlik doğrulamasının hangi hesap ortakları tarafından yapılacağı AD FS tarafından otomatik olarak belirlenemediği zaman, kullanıcının hangi hesap ortağına ait olduğunu belirlemek için kullanıcıyla etkileşimde bulunan Web sayfasıdır.

istemci kimlik doğrulama sertifikası

AD FS'de, federasyon sunucusu proxy'leri tarafından bir istemcinin Federasyon Hizmeti'ne kimlik doğrulamasını yapmak için kullanılan sertifikadır.

istemci oturum kapatma Web sayfası

AD FS bir oturum kapatma işlemi gerçekleştirdiğinde, kullanıcıya oturum kapatma işleminin gerçekleştiğine ilişkin görsel geribildirim sağlamak amacıyla başlatılan Web sayfasıdır.

istemci oturum açma Web sayfası

AD FS istemci kimlik bilgilerini toplarken, kullanıcıyla etkileşim sağlamak için başlatılan Web sayfasıdır. İstemci oturum açma Web sayfası, hangi türde kimlik bilgilerinin toplanacağını belirlemek için gereken tüm iş mantıklarını kullanabilir.

federasyon uygulaması

AD FS özellikli olan, başka bir deyişle federasyon kullanıcıları tarafından erişilebilen Web tabanlı bir uygulamadır.

federasyon kullanıcısı

Hesabı hesap ortağı kuruluşta bulunan ve hesap ortağı kuruluştaki federasyon uygulamalarına erişebilen kullanıcıdır.

federasyon

Federasyon güveni oluşturan bir bölge ya da etki alanı çiftidir.

federasyon sunucusu

AD FS'nin Federasyon Hizmeti bileşenini barındıracak şekilde yapılandırılan ve Windows Server 2003 R2, Windows Server 2008 veya Windows Server 2008 R2 çalıştıran bir bilgisayardır. Federasyon sunucuları, başka kuruluşlardaki kullanıcı hesaplarından ve Internet'te herhangi bir yerde bulunan istemcilerden isteklerin kimlik doğrulamasını yapabilir veya bu istekleri yönlendirebilir.

federasyon sunucusu proxy'si

AD FS'nin Federasyon Hizmeti Proxy'si bileşenini barındıracak şekilde yapılandırılan, Windows Server 2003 R2, Windows Server 2008 veya Windows Server 2008 R2 çalıştıran bir bilgisayardır. Federasyon sunucusu proxy'leri bir Internet istemcisi ile bir şirket ağındaki güvenlik duvarı ardında bulunan bir federasyon sunucusu arasında aracı proxy hizmetleri sağlayabilir.

Federasyon Hizmetleri

AD FS'nin federasyon sunucusu oluşturmak için kullanılan yüklenebilir bir rol hizmetidir. Federasyon Hizmeti yüklendiğinde, güvenlik belirteci isteklerine yanıt olarak belirteçler sağlar. Hataya dayanıklılık ve yük dengelemesi sağlamak amacıyla tek bir Federasyon Hizmeti için birden fazla federasyon sunucusu yapılandırılabilir.

Federasyon Hizmeti Proxy'si

AD FS'nin federasyon sunucusu proxy'si oluşturmak için kullanılan yüklenebilir bir rol hizmetidir. Federasyon Hizmeti Proxy'si rol hizmeti yüklendiğinde, tarayıcı istemcilerinden ve Web uygulamalarından kullanıcı kimlik bilgilerini toplamak ve bu bilgileri onlar adına Federasyon Hizmeti'ne göndermek için WS-F PRP protokollerini kullanır.

kuruluş talepleri

Kuruluş ad alanında, ara formda veya normalleştirilmiş formda bulunan taleplerdir.

edilgen istemci

Tanımlama bilgilerini kullanabilen, yaygın olarak desteklenen HTTP yeteneğine sahip olan bir Köprü Metni Aktarım Protokolü (HTTP) tarayıcısıdır. Windows Server 2003 R2, Windows Server 2008 ve Windows Server 2008 R2 işletim sistemlerindeki AD FS, yalnızca edilgen istemcileri destekler ve WS-F PRP belirtimine uygun şekilde çalışır.

kaynak hesabı

AD DS'de oluşturulan ve tek bir federasyon kullanıcısını eşlemek için kullanılan tek bir güvenlik sorumlusudur (genellikle bir kullanıcı hesabıdır). Windows belirteci tabanlı aracının Windows NT erişim belirtecini oluşturmak ve böylece uygulamada erişim denetimi izinlerini zorunlu kılmak için bir Active Directory güvenlik sorumlusuna başvuruda bulunması gerektiğinden, Windows NT belirteci tabanlı uygulamaları federe hale getirdiğinizde bir kaynak hesabı gerekir.

kaynak federasyon sunucusu

Kaynak ortağı kuruluştaki federasyon sunucudur. Kaynak federasyon sunucusu genellikle, bir hesap federasyon sunucusu tarafından verilen bir güvenlik belirtecine dayalı olarak kullanıcılara güvenlik belirteçleri verir. Sunucu:

  • Güvenlik belirtecini alır.

  • İmzayı doğrular.

  • Kuruluş taleplerini güven ilkesini temel alarak dönüştürür.

  • Gelen güvenlik belirtecindeki bilgilere dayalı olarak yeni bir güvenlik belirteci oluşturur.

  • Yeni belirteci kullanıcıya ve sonunda Web uygulamasına döndürmek üzere imzalar.

kaynak federasyon sunucusu proxy'si

Kaynak ortağı kuruluşun çevre ağında bulunan federasyon sunucusu proxy'sidir. Kaynak federasyon sunucusu proxy'si Internet istemcileri için hesap ortağı bulma işlemini gerçekleştirir ve gelen güvenlik belirteçlerini kaynak federasyon sunucusuna yönlendirir.

kaynak grubu

AD DS'de oluşturulan ve gelen grup taleplerinin (hesap ortağından gelen AD FS grup talepleri) eşlendiği tek bir güvenlik grubudur. Federasyon kullanıcıları bir kaynak grubuyla eşlendikten sonra, AD FS özellikli Web sunucuları kaynak grubunun güvenlik tanımlayıcısına (SID) atanan erişim denetimlerine dayalı olarak, Windows NT belirteci tabanlı uygulamalara yetkilendirme kararları verebilir.

kaynak ortağı

Hesap ortağındaki kullanıcıların erişebileceği Web tabanlı uygulamalar (kaynak ortağı kuruluştaki uygulamalar) için talep temelinde güvenlik belirteçleri vermek üzere Federasyon Hizmeti'ne güvenen bir federasyon ortağıdır.

güvenlik belirteci

Bir veya birden fazla talebi ifade eden, şifreli olarak imzalanmış veri birimidir. AD FS'de, imzalı güvenlik belirteci, güvenlik belirtecini veren federasyon sunucusunun federasyon kullanıcısının özgün olduğunu başarılı şekilde doğruladığını gösterir.

güvenlik belirteci hizmeti (STS)

Güvenlik belirteçleri veren bir Web hizmetidir. Bir STS, onaylarını güvendiği kanıta göre, buna güvenen herkese (veya belirli alıcılara) verir. Bir hizmet güvenle iletişim kurabilmek için, bir güvenlik belirteci veya güvenlik belirteci kümesi için bilgi sağlayan imza gibi bir kanıt gerektirir. Bir hizmetin kendisi belirteç oluşturabileceği gibi, kendi güven bildirimiyle güvenlik belirteci vermek amacıyla farklı bir STS'den de yararlanabilir. Bu, güven aracılığının temelini oluşturur. AD FS'de, Federasyon Hizmeti bir STS'dir.

sunucu kimlik doğrulama sertifikası

AD FS özellikli Web sunucuları, federasyon sunucuları ve federasyon sunucusu proxy'leri, Web istemcilerinin yanı sıra kendi aralarındaki iletişim için Web hizmetleri trafiğinin güvenliğini sağlamak üzere sunucu kimlik doğrulama sertifikaları kullanır.

sunucu grubu

AD FS'de, yükü dengelenmiş federasyon sunucuları topluluğu, federasyon sunucusu proxy'si veya AD FS Web Aracısını barındıran Web sunucularıdır.

çoklu oturum açma (SSO)

Son kullanıcı tarafından yinelenen oturum açma eylemlerinin yükünü ortadan kaldırmak amacıyla kimlik doğrulama sıralamasını en iyi duruma getirme işlemidir.

belirteç imzalama sertifikası

İlişkili genel/özel anahtar çifti, federasyon sunucuları tarafından, ürettikleri tüm güvenlik belirteçlerini dijital olarak imzalamak için kullanılan bir X.509 sertifikasıdır.

Tekdüzen Kaynak Tanımlayıcısı (URI)

Soyut veya fiziksel bir kaynağı tanımlayan toplu karakter dizisidir. URI'ler Açıklama İsteği (RFC) 2396'da açıklanmıştır (https://go.microsoft.com/fwlink/?LinkId=48289) (Bu sayfa İngilizce içeriğe sahip olabilir). AD FS'de, URI'ler ortakları veya hesap depolarını benzersiz şekilde tanımlamak için kullanılır.

doğrulama sertifikası

Bir belirteç imzalama sertifikasının genel anahtar bölümünü gösteren bir sertifikadır. Doğrulama sertifikası güven ilkesinde saklanır ve bir kuruluştaki federasyon sunucusu tarafından, gelen güvenlik belirteçlerinin kuruluşun grubundaki ve diğer kuruluşlardaki geçerli federasyon sunucuları tarafından verildiğini doğrulamak için kullanılır.

Web Hizmetleri

(WS-*)

Basit Nesne Erişim Protokolü (SOAP), XML; Web Hizmeti Açıklama Dili (WSDL) ve Evrensel Açıklama, Bulma ve Tümleştirme (UDDI) gibi endüstri standartlarına dayalı Web Hizmetleri Mimarisi belirtimleridir. WS-*, geniş kuruluşlar için, federe kimlik ve güvenlik yönetimi yeteneği de dahil olmak üzere, eksiksiz, birlikte çalışabilen iş çözümleri için temel sağlar.

Web hizmetleri modeli, kuruluş sistemlerinin değişik türde aygıtlar tarafından çalıştırılan ve erişilen değişik programlama modelleriyle, değişik dillerde yazıldığı fikrine dayanmaktadır. Web hizmetleri, yazıldıkları dil veya çalıştıkları platformdan bağımsız olarak, Internet üzerinden birbiriyle kolayca ve etkili şekilde bağlantı kuran ve etkileşimde bulunan dağıtılmış sistemler oluşturma yoludur.

Web Hizmetleri Güvenliği (WS-Güvenlik)

SOAP iletilerine şifreleme üstbilgileri ve imza eklemenin nasıl yapılacağını açıklayan bir dizi belirtimdir. Buna ek olarak WS-Güvenlik, X.509 sertifikaları ve Kerberos biletleri gibi ikili güvenlik belirteçleri de dahil olmak üzere, iletilere güvenlik belirteçlerinin nasıl ekleneceğini de açıklar. AD FS'de, Kerberos güvenlik belirteçlerini imzaladığında WS-Güvenlik kullanılır.

Windows NT belirteci tabanlı uygulama

Kullanıcıları yetkilendirmek için Windows NT belirtecinden yararlanan bir Windows uygulamasıdır.

WS-Federasyon

Farklı güven bölgelerinde güven aracılığı, kimlik federasyonu ve kimlik doğrulama bilgileri için bir model ve ileti grubu tanımlayan belirtimdir.

WS-Federasyon belirtimi, güven bölgelerinde iki kimlik ve kimlik doğrulama kaynağı tanımlar:

  • SOAP kullanan uygulamalar gibi etkin istek sahipleri

  • HTTP'nin, HTTP 1.1 gibi yaygın şekilde desteklenen sürümlerini destekleyebilen HTTP tarayıcıları olarak tanımlanan edilgen istek sahipleri

WS-Federasyon Edilgen İstek Sahibi Profili (WS-F PRP)

WS-Federasyon belirtiminin, edilgen istemcilerin (örneğin, Web tarayıcılarının) federasyon çerçevesini nasıl uygulayacağına ilişkin standart bir protokol öneren uygulamasıdır. Bu protokolde, Web hizmeti istek sahiplerinin yeni güvenlik mekanizmalarını kabul etmeleri ve Web hizmeti sağlayıcılarıyla etkileşimde bulunabilmeleri beklenir.

Ayrıca Bkz.


İçindekiler