Active Directory Federasyon Hizmetleri (AD FS) kullanarak kuruluşlar arası (federasyon tabanlı) işbirliği için planlama yaparken, önce kuruluşunuzun diğer kuruluşlar tarafından Internet üzerinden (veya tersi) erişilecek bir Web kaynağı barındırıp barındırmayacağını belirlersiniz. Bu belirleme, AD FS'yi dağıtma şeklinizi etkiler ve AD FS altyapısı planınızın temelini oluşturur.

AD FS, Federe Web Çoklu Oturum Açma (SSO) ve Orman Güveni Olan Federe Web SSO'su gibi federasyon tasarımlarında (Web SSO tasarımları değil), hesapları barındıran kuruluş (hesap ortağı) ile Web tabanlı kaynakları barındıran kuruluşu (kaynak ortağı) ayırt etmeye yardımcı olmak için "hesap ortağı" ve "kaynak ortağı" gibi terimler kullanır. AD FS'de "federasyon güveni" terimi, hesap ortağı ile kaynak ortağı arasında kurulan tek yönlü, geçişsiz ilişkiyi tanımlamak için kullanılır.

AD FS tasarımları hakkında daha fazla bilgi için bkz. Federasyon Tasarımlarını Anlama.

Aşağıdaki bölümlerde, hesap ortakları ve kaynak ortakları ile ilgili bazı kavramlar açıklanmaktadır.

Hesap ortağı

Hesap ortağı, federasyon güveni ilişkisinde, Active Directory Etki Alanı Hizmetleri (AD DS) deposunda veya Active Directory Basit Dizin Hizmetleri (AD LDS) deposunda kullanıcı hesaplarını fiziksel olarak depolayan kuruluşu temsil eder. Hesap ortağı, kullanıcının kimlik bilgilerinin toplanmasından ve doğrulanmasından, söz konusu kullanıcıyla ilgili taleplerin oluşturulmasından ve taleplerin güvenlik belirteçlerinde paketlenmesinden sorumludur. Bu belirteçler, kaynak ortağı kuruluşta bulunan Web tabanlı kaynaklara erişim için bir federasyon güveni üzerinden sunulabilir.

Diğer bir deyişle, hesap ortağı, hesap tarafı Federasyon Hizmeti'nin, kullanıcılarına güvenlik belirteçleri verdiği kuruluşu temsil eder. Hesap ortağı kuruluştaki Federasyon Hizmeti, yerel kullanıcıların kimliklerini doğrular ve kaynak ortağının yetkilendirme kararları vermek için kullandığı güvenlik belirteçlerini oluşturur.

AD DS ile ilgili olarak, AD FS'deki hesap ortağı, hesaplarının fiziksel olarak başka bir ormanda bulunan kaynaklara erişmesi gereken tek bir AD DS ormanına kavramsal olarak eşdeğerdir. Bu örnek ormandaki hesaplar, yalnızca iki orman arasında dış güven veya orman güveni ilişkisi olduğunda ve kullanıcıların erişim sağlamaya çalıştıkları kaynaklar, uygun yetkilendirme izinleri ile ayarlandığında, kaynak ormanındaki kaynaklara erişebilir.

Not

Bu benzeştirmenin amacı, AD FS'deki hesap ve ortak kuruluşları arasındaki ilişkinin, kavram olarak, AD DS'deki hesap ormanı ve kaynak ormanı arasındaki ilişkiye benzerliğini vurgulamaktır. Dış güvenler ve orman güvenleri, AD FS'nin çalışması için gerekli değildir.

Kaynak ortağına giden talepleri üretme

Talep, sunucunun bir istemciyle ilgili yaptığı bildirimdir (örneğin, ad, kimlik, anahtar, grup, ayrıcalık veya yetenek). Hesap ortağı, kaynak ortağı Federasyon Hizmeti'nin kullandığı talepleri üretir. Aşağıdaki listede, kaynak federasyon sunucusu tarafındaki hesap ortağında yapılandırılabilen farklı talep türleri açıklanmıştır:

  • UPN talebi

    Hesap ortağını yapılandırırken, hesap ortağından kabul edilebilen kullanıcı asıl adı (UPN) etki alanlarının ve soneklerinin listesini belirtebilirsiniz. Etki alanı bölümü listede olmayan bir UPN kimliği alınırsa, istek reddedilir.

  • E-posta talebi

    Hesap ortağını yapılandırırken, hesap ortağından kabul edilebilen e-posta etki alanlarının ve soneklerinin listesini belirtebilirsiniz. UPN talebinde olduğu gibi, etki alanı bölümü listede olmayan bir e-posta kimliği alınırsa, istek reddedilir.

  • Ortak ad talebi

    Hesap ortağını yapılandırırken, hesap ortağından ortak ad talepleri alınıp alınamayacağını belirtebilirsiniz. Bu talep türü eşlenemez; etkinleştirilirse, yalnızca geçişi sağlanır.

  • Grup talepleri

    Hesap ortağını yapılandırırken, ortaktan kabul edilebilen gelen grup talepleri kümesi belirtebilirsiniz. Daha sonra her olası gelen grubu bir kuruluş grubu talebi ile ilişkilendirebilirsiniz. Bunun bir grup eşlemesi oluşturduğuna dikkat edin. Eşlemesi olmayan bir gelen grupla karşılaşılırsa, bu atılır.

  • Özel talepler

    Hesap ortağını yapılandırırken, ortaktan kabul edilen özel talepler için gelen adlar kümesi belirtebilirsiniz. Daha sonra her olası gelen adı, bir kuruluş özel talebine eşleyebilirsiniz. Bunun bir ad eşlemesi oluşturduğuna dikkat edin. Eşlemesi olmayan bir gelen özel taleple karşılaşılırsa, bu atılır.

Kaynak ortağı

Kaynak ortağı, federasyon güveni ilişkisinde ikinci kuruluş ortağıdır. Kaynak ortağı, bir veya daha çok Web tabanlı uygulamayı (kaynaklar) barındıran AD FS özellikli Web sunucularının bulunduğu kuruluştur. Kaynak ortağı, kullanıcıların kimliğini doğrulamak için hesap ortağına güvenir. Bu nedenle kaynak ortağı, yetkilendirme kararları vermek için, hesap ortağındaki kullanıcılardan gelen güvenlik belirteçlerinde paketlenmiş talepleri kullanır.

Başka bir deyişle, kaynak ortağı, AD FS özellikli Web sunucuları kaynak tarafı Federasyon Hizmeti tarafından korunan kuruluşu temsil eder. Kaynak ortağındaki Federasyon Hizmeti, kaynak ortağında bulunan AD FS özellikli Web sunucularıyla ilgili yetkilendirme kararlarını vermek için, hesap ortağı tarafından üretilen güvenlik belirteçlerini kullanır.

AD FS kaynağı olarak çalışması için, kaynak ortağı kuruluştaki AD FS özellikli Web sunucusunda AD FS'nin AD FS Web Aracısı bileşeninin yüklü olması gerekir. AD FS kaynağı olarak çalışan Web sunucuları, talep kullanan uygulamaları veya Windows NT belirteci tabanlı uygulamaları barındırabilir.

Not

AD FS özellikli Web sunucusunda barındırılan uygulama Windows NT belirteci tabanlı bir uygulamaysa, kaynak ortağı kuruluştaki AD DS ormanı için bir kaynak hesabı gerekebilir.

AD DS açısından, kaynak ortağı kavramsal olarak, kaynakları, fiziksel olarak başka bir ormanda depolanan hesaplarla bir dış güven veya orman güveni ilişkisi üzerinden kullanılabilen tek bir ormana eşdeğerdir.

Not

Bu benzeştirmenin amacı, AD FS'deki hesap ve ortak kuruluşları arasındaki ilişkinin, kavram olarak, AD DS'deki hesap ormanı ve kaynak ormanı arasındaki ilişkiye benzerliğini vurgulamaktır. Dış güvenler ve orman güvenleri, AD FS'nin çalışması için gerekli değildir.

Hesap ortağından gelen talepleri kullanma

Kaynak ortağı, hesap ortağı Federasyon Hizmetleri'nin ürettiği ve güvenlik belirteçlerinde paketlediği talepleri kullanır. Aşağıdaki listede, taleplerin kaynak ortağa nasıl gönderilebileceği açıklanır:

  • UPN talebi

    Kaynak ortağını yapılandırırken, kaynak ortağına UPN talebi gönderilip gönderilmeyeceğini belirtebilirsiniz. Bir sonekin belirli bir giden soneke eşlenmesini sağlamak için, bir sonek eşlemesi de belirtebilirsiniz. Örneğin, julianp@sales.tailspintoys.com, julianp@tailspintoys.com ile eşlenebilir. Tek bir giden soneki belirtilebildiğine dikkat edin.

  • E-posta talebi

    Kaynak ortağını yapılandırırken, kaynak ortağına e-posta talebi gönderilip gönderilmeyeceğini belirtebilirsiniz. Bir sonekin belirli bir soneke eşlenmesini sağlamak için bir sonek eşlemesi de belirtebilirsiniz. Örneğin, vernettep@sales.tailspintoys.com, vernettep@tailspintoys.com ile eşlenebilir. Tek bir giden soneki belirtilebildiğine dikkat edin.

  • Ortak ad talebi

    Kaynak ortağını yapılandırırken, kaynak ortağına ortak ad talepleri gönderilip gönderilemeyeceğini belirtebilirsiniz. Bu talep türü eşlenemez; etkinleştirilirse, yalnızca kaynak ortağına geçişi sağlanır.

  • Grup talepleri

    Kaynak ortağını yapılandırırken, kaynak ortağından kabul edilecek giden grup talepleri kümesi belirtebilirsiniz. Daha sonra her olası giden grup talebini, kuruluş grubu talepleriyle ilişkilendirebilirsiniz. Bunun bir grup eşlemeleri kümesi oluşturduğuna dikkat edin. Bir giden grup talebi ile eşleşmeyen kuruluş grubu talepleri oluşturulmaz.

  • Özel talepler

    Kaynak ortağını yapılandırırken, kaynak ortağından kabul edilen giden özel talepler kümesi belirtebilirsiniz. Her olası giden özel talebi, bir kuruluş özel talebiyle eşleyebilirsiniz. Bunun bir ad eşlemeleri kümesi oluşturduğuna dikkat edin. Bir giden özel taleple eşleşmeyen kuruluş özel talepleri oluşturulmaz.

Gelişmiş kimlik gizliliği

Gelişmiş kimlik gizliliği, güven ilkesindeki kaynak ortağında yapılandırabileceğiniz isteğe bağlı bir ayardır. Gelişmiş kimlik gizliliği seçeneği etkinleştirilirse, bu ayar giden UPN taleplerinin ve e-posta taleplerinin kullanıcı adı bölümünü karıştırır. Ortak ad yerine rasgele bir değer koyar.

Bu özelliğin amacı aşağıdakileri engellemektir:

  • Kaynak ortağının, kimlik talepleri ile kişisel olarak tanımlanabilen kullanıcı bilgileri arasında ilişki kurması.

  • Ortaklar arasında, kimlik talepleri ile kişisel olarak tanımlanabilen kullanıcı bilgileri arasında ilişki kurmak için gizli anlaşma yapılması. Bu ayar, kimlik talebi değerlerinin farklı güven bölgesi ortaklarında farklı, ancak tek bir ortağın oturumlarında tutarlı olmasını sağlayacak şekilde, her ortak için benzersiz bir karma değer oluşturur.

  • Kullanıcı değerine güven ilkesindeki verileri (kaynak ortakları tarafından bilinmeyen veriler) "katarak," karma değere karşı düzenlenen basit sözlük saldırıları.


İçindekiler