Active Directory 联合身份验证服务 (AD FS) 支持联合身份设计(也称为联合身份验证方案),该设计使用 Web Services 联合身份验证(WS-联合身份验证)、WS 联合身份验证被动请求者配置文件 (WS-F PRP) 和 WS 联合身份验证被动请求者互操作性配置文件规范。AD FS 解决方案有助于管理员处理联合身份管理问题,方法是使组织可以通过联合身份验证信任安全地共享用户的标识信息。下列三项对部署设计的说明介绍如何根据组织的需要,使用 AD FS 服务器角色的组合来联合管理身份。有关各种服务器角色的详细信息,请参阅了解 AD FS 角色服务

联合 Web SSO

联合 Web 单一登录 (SSO) 设计涉及的安全通信,除了跨越整个 Internet 路由基础结构之外,通常还会跨越多个防火墙、外围网络和名称解析服务器。通过联合 Web SSO 环境进行通信,有助于更加安全有效地在建立联合身份验证信任关系的组织之间进行联机交易。

如下图所示,可以在两个公司之间建立联合身份验证信任关系。在此设计中,联合服务器将 Tailspin Toys 中的用户帐户发出的身份验证请求传送到位于 Online Retailer 网络中的基于 Web 的应用程序。

联合 Web SSO 方案

联合服务器根据伙伴的凭据对来自受信任伙伴的请求进行身份验证。凭据的表示形式以安全令牌的形式进行交换。

为了提高安全性,可以使用联合服务器代理将请求中继到无法直接通过 Internet 访问的联合服务器。

具有林信任的联合 Web SSO

具有林信任的联合 Web SSO 设计涉及单个组织中的两个 Active Directory 林,如下图所示。一个林位于组织的外围网络(也称为隔离区、Extranet 或屏蔽子网)中。另一个林位于内部网络中。建立单向林信任,使外围网络中的林信任内部网络中的林。两个网络中均部署联合服务器。建立联合身份验证信任,使内部林中的帐户可以用于访问外围网络中的基于 Web 的应用程序,无论帐户从 intranet 林还是从 Internet 访问站点都是如此。

具有林信任的联合 Web SSO 方案

在此设计中,外部用户(例如客户)可以通过在外部帐户联合服务器(该服务器位于外围网络中)进行身份验证来访问 Web 应用程序。外部用户拥有外围网络 Active Directory 林中的用户帐户。内部用户(例如员工)也可以通过在内部帐户联合服务器(该服务器位于内部网络中)进行身份验证来访问 Web 应用程序。内部用户拥有内部 Active Directory 林中的帐户。

如果基于 Web 的应用程序是基于 Windows NT 令牌的应用程序,则 Web 应用程序服务器上运行的 AD FS Web 代理将截获请求并创建 Windows NT 安全令牌,Web 应用程序在做出授权决定时需要该令牌。对于外部用户,因为承载基于 Windows NT 令牌的应用程序的支持 AD FS 的 Web 服务器加入外部林中的域,所以可能会出现这种情况。对于内部用户,通过外围林和内部林之间存在的林信任关系启用该功能。

如果基于 Web 的应用程序是声明感知应用程序,Web 应用程序服务器上运行的 AD FS Web 代理不必为用户创建 Windows NT 安全令牌。AD FS Web 代理可以公开经过的声明,这样,应用程序有可能根据帐户联合服务器提供的安全令牌的内容做出授权决定。因此,部署声明感知应用程序时,启用 AD FS 的 Web 服务器不必加入域,也不必建立外部林对内部林的信任。

Web SSO

在 AD FS Web SSO 设计中,用户必须只进行一次身份验证来访问多个基于 Web 的应用程序。在此设计中,所有用户都是外部用户,不存在任何联合身份验证信任。因为启用 AD FS 的 Web 服务器必须可以通过 Internet 访问并且还必须加入 Active Directory 域,所以 Web 服务器连接到两个网络上;即 Web 服务器是多主机服务器。第一个网络面向 Internet(外围网络),提供所需的连接。第二个网络包含 Active Directory 林(受保护的网络),无法直接通过 Internet 访问。联合服务器代理也是多主机代理,提供到联合服务器和 Internet 的必要连接。在此设计中,在网络上添加无法直接通过 Internet 访问的联合服务器,可以明显降低联合服务器的风险。

Web SSO 方案

目录