Active Directory Federasyon Hizmetleri (AD FS) dağıtımınızı tasarlama işleminin parçası olarak, AD DS tarafından güvenliğinin sağlanmasını istediğiniz federasyon uygulamalarının türünü belirleyin. Bir uygulamanın federe olması için, uygulamanın aşağıdaki bölümlerde açıklanan uygulama türlerinden en az birinde olması gerekir.

AD FS'nin bu sürümündeki geliştirilmiş uygulama desteği hakkında daha fazla bilgi edinmek için bkz. Windows Server 2008 AD FS'deki Yenilikler (https://go.microsoft.com/fwlink/?LinkId=85684) (Bu sayfa İngilizce içeriğe sahip olabilir).

Talep kullanan uygulama

Talepler, kullanıcılar hakkında yapılan ve AD FS federasyonundaki her iki ortak tarafından anlaşılan, bir uygulamada yetkilendirme amacıyla kullanılan açıklamalardır (örneğin ad, kimlik, anahtar, grup, ayrıcalık veya yetenek).

Talep kullanan uygulama, AD FS sınıf kitaplığı kullanılarak yazılmış bir Microsoft ASP.NET uygulamasıdır. Bu tür bir uygulama, yetkilendirme kararlarını doğrudan almak için AD FS taleplerini tam olarak kullanabilir. Talep kullanan uygulama, Federasyon Hizmetleri'nin AD FS güvenlik belirteçlerinde gönderdiği talepleri kabul eder. Federasyon Hizmetleri'nin güvenlik belirteçlerini ve talepleri nasıl kullandığı konusunda daha fazla bilgi için bkz. Federasyon Hizmeti Rol Hizmetini Anlama.

Talep eşleme; eşleme, kaldırma veya filtreleme ya da gelen talepleri giden taleplere geçirme işlemidir. Talepler bir uygulamaya gönderilirken talep eşleme gerçekleşmez. Bunun yerine, uygulamaya yalnızca kaynak ortağındaki Federasyon Hizmeti yöneticisi tarafından belirtilen kuruluş talepleri gönderilir. (Kuruluş talepleri, bir kuruluşun ad alanında ara veya normalleştirilmiş formdaki taleplerdir.) Talepler ve talep eşleme konusunda daha fazla bilgi için bkz. Talepleri Anlama.

Aşağıdaki listede, talep kullanan uygulamalar tarafından kullanılabilen kuruluş talepleri açıklanmıştır:

  • Kimlik talepleri (UPN, e-posta, ortak ad)

    Uygulamayı yapılandırırken, bu kimlik taleplerinin hangisinin uygulamaya gönderileceğini belirtirsiniz. Eşleme veya filtreleme işlemi yapılmaz.

  • Grup talepleri

    Uygulamayı yapılandırırken, uygulamaya gönderilecek kuruluş grubu taleplerini belirtirsiniz. Uygulamaya gönderilmek üzere belirlenmemiş kuruluş grubu talepleri atılır.

  • Özel talepler

    Uygulamayı yapılandırırken, uygulamaya gönderilecek kuruluş özel taleplerini belirtirsiniz. Uygulamaya gönderilmek üzere belirlenmemiş kuruluş özel talepleri atılır.

Talep kullanan yetkilendirme

Talep kullanan yetkilendirme, bir Köprü Metni Aktarım Protokolü (HTTP) modülünden ve AD FS güvenlik belirtecinde taşınan taleplerin sorgulanmasına yönelik nesnelerden oluşur. Talep kullanan yetkilendirme yalnızca Microsoft ASP.NET uygulamaları için desteklenir.

HTTP modülü, Web uygulamasının Web.config dosyasındaki yapılandırma ayarlarını temel alarak AD FS protokol iletilerini işler. Web sayfaları, kimlik doğrulama ve yetkilendirme görevlerini yerine getirir. HTTP modülü ayrıca tanımlama bilgilerinin kimliğini doğrular ve tanımlama bilgilerinden talepleri alır.

Windows NT belirteci tabanlı uygulama

Windows NT belirteci tabanlı bir uygulama, geleneksel Windows yerel yetkilendirme mekanizmalarını kullanmak için yazılmış bir Internet Information Services (IIS) uygulamasıdır. Bu tür bir uygulama, AD FS taleplerini kullanmak için hazırlanmamıştır.

Windows NT belirteç tabanlı uygulamaları, yerel bölgedeki veya yerel bölge tarafından güvenilen herhangi bir bölgedeki Windows kullanıcıları tarafından, diğer bir deyişle, yalnızca bilgisayarda Windows NT belirteç tabanlı kimlik doğrulama yöntemleriyle oturum açabilen Windows kullanıcıları tarafından kullanılabilir.

Not

Federasyon tasarımlarında bu, Windows NT belirteci tabanlı kimlik doğrulama için kaynak hesapları veya kaynak grupları gerekebileceği anlamına gelir.

Windows NT belirteci tabanlı aracıya gönderilen AD FS güvenlik belirteci aşağıdaki talep türlerinden herhangi birini içerebilir:

  • Kullanıcı için kullanıcı asıl adı (UPN) talebi

  • Kullanıcı için e-posta talebi

  • Grup talebi

  • Kullanıcı için özel talep

  • Kullanıcının güvenlik tanımlayıcılarını (SID) içeren bir UPN, e-posta, grup talebi veya özel talep. (Bu yalnızca Windows Güveni seçeneği etkin olduğunda geçerlidir.)

AD FS özellikli Web sunucusu, bir Windows özelliklerini alma düzeyi erişim belirteci üretir. Özelliklerini alma düzeyi erişim belirteci, bir istemci işleminin güvenlik bilgilerini yakalar ve bu da bir hizmetin, güvenlik işlemlerinde istemci işleminin "özellikleri almasına" olanak sağlar.

Aşağıdaki işlem sırası, Windows NT belirteci tabanlı Web uygulamaları için Windows NT belirtecinin nasıl oluşturulacağını belirler:

  1. Güvenlik Onayı Biçimlendirme Dili (SAML) belirteci, SAML öneri öğesinde SID içeriyorsa, Windows NT belirtecini üretmek için SID'ler kullanılır.

  2. SAML belirteci SID içermiyorsa ve onun yerine UPN kimlik talebi içeriyorsa, Windows NT belirtecini üretmek için UPN talebi kullanılır.

  3. SAML belirteci SID içermiyorsa ve e-posta kimlik talebinde UPN kimlik talebi varsa, bu UPN olarak değerlendirilir ve Windows NT belirtecini üretmek için kullanılır.

Bu davranış, Federasyon Hizmetinde Web uygulaması için güven ilkesi girişini oluşturduğunuzda, Windows NT belirtecini üretmek için kullanılan kimlik talebinin UPN veya e-posta kimlik talebi olarak belirtilmiş olmasını dikkate almaz.

Geleneksel Windows tabanlı yetkilendirme

AD FS güvenlik belirtecini bir özelliklerini alma düzeyi Windows NT erişim belirtecine dönüştürmek için destek, bir dizi bileşen gerektirir:

  • Internet Sunucusu Uygulama Programı Arabirimi (ISAPI) uzantısı: Bu bileşen, AD FS tanımlama bilgilerinin, Federasyon Hizmeti'nden AD FS güvenlik belirteçlerinin olup olmadığını denetler, uygun protokol yeniden yönlendirmelerini gerçekleştirir ve AD FS 'nin çalışması için gerekli tanımlama bilgilerini yazar.

  • AD FS kimlik doğrulama paketi: AD FS kimlik doğrulama paketi, etki alanı hesabı için UPN verilmiş bir özelliklerini alma düzeyi erişim belirteci üretir. Paket, arayanın Güvenilen Bilgi İşlem Altyapısı (TCB) ayrıcalığı olmasını gerektirir.

  • IIS Yöneticisi ek bileşenindeki AD FS Web Aracısı ve Federasyon Hizmetleri URL'si özellik sayfaları: Bu özellik sayfalarını, AD FS güvenlik belirteçlerini ve tanımlama bilgilerini doğrulamak amacıyla ilke ve sertifikaları yönetmek için kullanabilirsiniz.

  • AD FS Web Aracısı Kimlik Doğrulama Hizmeti: AD FS Web Aracısı Kimlik Doğrulama Hizmeti, Service-for-User (S4U) veya AD FS kimlik doğrulama paketini kullanarak belirteç üretmek için Yerel Sistem olarak çalışır. Bununla birlikte, Yerel Sistem olarak çalışmak için Internet Information Services (IIS) uygulama havuzu gerekmez. AD FS Web Aracısı Kimlik Doğrulama Hizmeti, uzak yordam çağrısı (RPC) ile değil, yalnızca yerel uzak yordam çağrısı (LRPC) ile çağrılabilen arabirimlere sahiptir. AD FS güvenlik belirteci veya AD FS tanımlama bilgisi verildiyse, hizmet, bir özelliklerini alma düzeyi Windows NT erişim belirteci döndürür.

  • AD FS Web aracısı ISAPI Filtresi: Belirli geleneksel IIS Web uygulamaları, örneğin Tekdüzen Kaynak Konum Belirleyicisi (URL) gibi gelen verileri değiştirebilecek ISAPI filtresi kullanır. Bu durumda, AD FS Web aracısı ISAPI Filtresi etkinleştirilmelidir ve en yüksek öncelikli filtre olarak yapılandırılmalıdır. Bu filtre varsayılan olarak etkin değildir.


İçindekiler