Active Directory Federasyon Hizmetleri (AD FS), Windows Server® 2003 R2, Windows Server 2008 ve Windows Server 2008 R2 işletim sistemlerinde bulunan ve kullanıcının tek bir çevrimiçi oturum üzerinden, bu oturum süresince ilgili birden çok Web uygulamasında kimlik doğrulamasının yapılması için Web çoklu oturum açma (SSO) teknolojilerini sağlayan bir özelliktir. AD FS bunu güvenlik ve kuruluş sınırları içinde dijital kimlik ve yetki verme haklarını veya "taleplerini" güvenli şekilde paylaşarak gerçekleştirir.
AD FS'deki Özellikler
Windows Server 2008 ve Windows Server 2008 R2 işletim sistemlerinde, AD FS, Windows Server 2003 R2'de bulunmayan yeni özellikler içermektedir. Bu yeni özellikler hakkında daha fazla bilgi edinmek için bkz. Windows Server 2008 AD FS'deki Yenilikler (
Aşağıdakiler, AD FS'nin bazı anahtar özellikleridir:
-
Federasyon ve Web SSO'su
Bir kuruluş Active Directory Etki Alanı Hizmetleri'ni (AD DS) kullandığında, Windows Tümleşik Kimlik Doğrulaması sayesinde, kendi güvenlik ve kurumsal sınırları içinde SSO işlevlerinden yararlanır. AD FS bu işlevleri Internet ile bağlantılı uygulamaları kapsayacak şekilde genişletmektedir. Bu da kuruluşun Web tabanlı uygulamalarına eriştiklerinde müşterilerin, ortakların ve tedarikçilerin benzer, gelişmiş Web SSO kullanıcı deneyimi yaşamalarına olanak sağlar. Ayrıca, federasyon sunucuları, ortak kuruluşlar arasındaki işyerinden işyerine (B2B) federe işlemleri kolaylaştırmak için birden çok kuruluşta dağıtılabilir. AD FS federasyonu hakkında daha fazla bilgi için bkz. Federasyon Tasarımlarını Anlama.
-
Web Hizmetleri (WS)-* birlikte çalışabilirliği
AD FS, WS-* Web Hizmetleri Mimarisi'ni destekleyen diğer güvenlik ürünleriyle birlikte çalışan bir federe kimlik yönetimi çözümü sağlar. AD FS bunu WS-Federasyon denen WS-* federasyon belirtimini kullanarak yapar. WS-Federasyon belirtimi, Microsoft® Windows® kimlik modelini kullanmayan ortamların Windows ortamlarıyla federasyona olanak sağlar. WS-* belirtimleri hakkında daha fazla bilgi için bkz. AD FS için Kaynaklar.
-
Genişletilebilir mimari
AD FS, Güvenlik Onayı Biçimlendirme Dili (SAML) 1.1 belirteç türünü ve Kerberos kimlik doğrulamasını (Orman Güveni Olan Federe Web SSO'su tasarımında) destekleyen genişletilebilir bir mimari sağlar. Örneğin, AD FS erişim isteğinde bir değişken olarak özel iş mantığı kullanıp, talepleri değiştirerek de talep eşleme gerçekleştirilebilir. Kuruluşlar, AD FS'yi geçerli güvenlik altyapısı ve iş ilkeleriyle birlikte bulunacak şekilde değiştirmek için bu genişletilebilir mimariyi kullanabilir. Talepleri değiştirme konusunda daha fazla bilgi için bkz. Talepleri Anlama.
AD DS'yi Internet'e Genişletme
AD DS, birçok kuruluşta birincil kimlik belirleme ve kimlik doğrulama hizmeti olarak görev yapar. Windows Server 2003 Active Directory ve Windows Server 2008 ve Windows Server 2008 R2 AD DS ile, farklı iş birimlerinde veya kuruluşlarda bulunan kaynaklara erişim sağlamak için iki veya daha çok Windows Server 2003, Windows Server 2008 veya Windows Server 2008 R2 ormanı arasında orman güvenleri oluşturulabilir. Orman güvenleri hakkında daha fazla bilgi için bkz. Etki Alanı ve Orman Güvenleri Nasıl Çalışır? (
Bununla birlikte, orman güvenlerinin uygun bir seçenek olmadığı tasarımlar da vardır. Örneğin, kuruluşlar arası erişimin bir ormanın her üyesine açık olmayıp, küçük bir alt kümeyle sınırlandırılması gerekebilir.
Kuruluşlar AD FS kullanarak, varolan Active Directory altyapılarını, güvenilen ortaklar tarafından Internet üzerinden sunulan kaynaklara erişim sağlayacak şekilde genişletebilirler. Bu güvenilen ortaklar, dış üçüncü tarafları veya aynı kuruluştaki diğer bölümleri veya alt kuruluşları içerebilir.
AD FS, Internet üzerinden dağıtılmış kimlik doğrulaması ve yetkilendirmeyi destekler. AD FS, kuruluşta kullanılan talepleri bir federasyonun parçası olarak üzerinde anlaşılmış taleplere çevirmek için, kuruluşun veya bölümün varolan erişim yönetimi çözümü içinde bütünleştirilebilir. AD FS, kuruluşlar arasında taşınan talepler oluşturabilir, bunların güvenliğini sağlayabilir ve bunları doğrulayabilir. İşlemlerin güvenliğini sağlamaya yardımcı olmak için, kuruluşlar ve bölümler arasındaki iletişim etkinliğini de denetleyebilir ve izleyebilir.
AD FS ile ilgili ek genel bilgiler için aşağıdaki konulara bakın: